Een Britse woningcorporatie heeft door een configuratiefout in een online portal de gegevens gelekt van mensen die hadden geklaagd over asociaal gedrag door andere huurders, wat volgens de organisatie grote gevolgen voor bewoners had. De Clyde Valley Housing Association biedt sociale huisvesting in de regio van Lanarkshire. In 2022 lanceerde de woningcorporatie een portaal waar huurders de voortgang van hun klacht konden bekijken.

Op de eerste dag dat het portaal werd gelanceerd ontdekte een huurder dat hij documenten over de klachten van andere bewoners kon bekijken. Het ging onder andere om zaken als namen, adresgegevens en geboortedata. Dit was mogelijk door een configuratiefout in een widget waarmee huurders informatie over hun zaak konden opvragen. Door de fout waren 394 zaken over asociaal gedrag zichtbaar. Daarvan bleken er 286 voldoende informatie te bevatten om personen te identificeren. Volgens de woningcorporatie was er voor 62 huurders een groot risico voor hun rechten en vrijheden.

De huurder die het datalek ontdekte rapporteerde dit, maar er werd niets met de melding gedaan, waardoor de persoonlijke informatie vijf dagen lang online bleef staan. Nadat de woningcorporatie een e-mail had verstuurd waarin het huurders op de online portal wees, maakten nog eens vier andere bewoners melding van het datalek. Daarop werd het systeem tijdelijk offline gehaald.

Volgens de Britse privacytoezichthouder ICO had de woningcorporatie het systeem niet goed getest voordat het live ging en was personeel niet goed ingelicht over de procedures om een datalekmelding door te zetten. Vanwege het datalek heeft de ICO de woningcorporatie een reprimande gegeven en aanbevelingen gedaan om herhaling te voorkomen (pdf).