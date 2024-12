Een groot deel van de gegevens die de gemeente Amersfoort over inwoners heeft gelekt had volgens beleid van de gemeente zelf al lang verwijderd moeten zijn. Deze week maakte de gemeente bekend dat de gegevens van honderdduizend inwoners bij een externe softwareleverancier gestolen. Het gaat om twee datasets met gegevens van 2009 tot en met 10 oktober 2024. De "oude" dataset met persoonsgegevens van 2009 tot en met 2019. De "nieuwe dataset" beslaat de periode van 2016 tot en met 10 oktober 2024.

Het gaat om naam, adres, woonplaats, geboortedata, geslacht, e-mailadressen en telefoonnummers van mensen die tussen 2009 en 2024 een afspraak hebben gemaakt met de afdeling Burgerzaken. Van zevenduizend personen gaat het ook om het Burgerservicenummer (BSN). In het verwerkingsregister van de gemeente Amersfoort staat dat gegevens over afspraken die met de afdeling Burgerzaken zijn gemaakt na vijf jaar moeten zijn verwijderd na een succesvolle afhandeling van het verzoek. Bij een 'afgebroken verzoek' moet de data al na een jaar weg zijn (pdf).

De gemeente stelt dat er twee redenen zijn dat de gegevens niet na vijf jaar zijn verwijderd. "De oude dataset is afkomstig uit een oude applicatie die niet meer in gebruik is. In 2016 kreeg dit oude afsprakensysteem een update. Deze update is gebouwd op de fundamenten van het oude systeem, maar er is sprake van een volledig vernieuwde datastructuur. Dat was niet zichtbaar en ook niet bekend op het moment dat de data werd gedeeld. Wij konden via de nieuwe applicatie niet weten dat deze oude dataset aanwezig was", aldus het college in een brief.

De gemeente erkent dat een ander deel van de data wel verwijderd had moeten worden. Amersfoort is bezig om de afsprakenapplicatie naar de cloud te migreren. Vanwege 'beperkte capaciteit en middelen' is er voor gekozen om te wachten met het vernietigen van de persoonsgegevens, zo laat het college verder weten.