Schiermonnikoog deelde onbedoeld BSN-nummers inwoners met afvalbedrijf
De gemeente Schiermonnikoog heeft onbedoeld een bestand met de BSN-nummers van alle inwoners en eigenaren van een recreatiewoning gedeeld met afvalbedrijf Omrin. Het bestand kwam onlangs in handen van criminelen die wisten in te breken op systemen van het bedrijf. "Er is door ons een bestand gedeeld met te veel informatie”, laat de burgemeester van Schiermonnikoog tegenover de Leeuwarder Courant weten. Eerder had de gemeente al gemeld dat het met Omrin gedeelde bestand meer gegevens dan noodzakelijk bevatte.
Het bestand was bedoeld om mensen te informeren over nieuwe tags voor de ondergrondse containers op het eiland. Omrin had daarvoor namen en adressen nodig. Het bestand bevatte echter ook de burgerservicenummers van iedere individuele bewoner. "Dit had nooit mogen gebeuren”, stelt de burgemeester. "Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt."
Omrin laat in een reactie aan de Leeuwarder Courant weten dat er destijds contact is geweest met de gemeente en het bestand is aangepast. "Maar we balen dat het nog op de gehackte schijf stond", aldus een verklaring van het afvalbedrijf. De BSN-nummers werden in 2024 door een gemeenteambtenaar naar Omrin gestuurd. Er werd daarna geen melding bij de Autoriteit Persoonsgegevens gedaan. Volgens de burgemeester is er geen sprake van een datalek. Wel doet een privacyexpert binnen de gemeente onderzoek naar het voorval.
Omrin meldde op 13 oktober dat het slachtoffer was geworden van een ransomware-aanval. Daardoor zag de afvalverwerker zich genoodzaakt om verschillende kringloopwinkels te sluiten. Ook was de klantenservice telefonisch niet bereikbaar en waren er problemen met de Afvalapp. Inmiddels zijn de kringloopwinkels weer open, is de klantenservice weer telefonisch bereikbaar en werkt ook de Afvalapp weer naar behoren. Bij de aanval werden ook persoons- en bedrijfsgegevens buitgemaakt.
En de data wordt nu misbruikt!! Wat een achterlijke opmerking.
Ze hebben nagelaten om data minimalisatie te doen. De gemeente heeft hier echt boter op haar hoofd.
En als de burgemeester het niet erg vind, dan mag hij ook ff zijn/haar gegevens hieronder posten...
TheYOSH
Dat is pijnlijk.
*Kuch* O nee, vast niet.
Nou ja, dat dus.
Ik zou inderdaad vooral overal je BSN rondstrooien, samen met je andere persoonlijke gegevens. Dat is namelijk niet erg. Totdat ze misbruikt worden dan in elk geval. Maar bij nader inzien, doe het maar niet. Het verschil is: als puntje bij paaltje komt en jij het doet dan ben je dom dat je dat deed en mag je zelf op de blaren zitten. Als een overheid dat doet dan is het niet meer dan "supervervelend". Voor jou dan. (En dan mag je ook op de blaren zitten.)
Dus: "we balen dat het nog op de gehackte schijf stond". Ja, dat zou ik ook doen. Dat gezegd hebbende: ze zeggen het bestand te hebben aangepast. Dus hoe kan het dan toch nog worden gevonden? (Hint: er bestaan te veel en/of onbeheerde kopieën van dat bestand. Het is ook maar de vraag of dat het enige andere kopie was dat niet is verwijderd.)
En zo kan je er dus vanuit gaan dat als je gegevens eenmaal ergens terecht zijn gekomen, ze nooit echt compleet worden verwijderd; ook niet als daar om wordt gevraagd. En dat maakt de kans groter dat ze ooit misbruikt kunnen/zullen worden.
Hoezo... Geen datalek? De gegevens zijn door een gemeenteambtenaar ergens heen gestuurd waar ze niet thuishoren. Hoe kan dat nu geen datalek zijn?
Het mooiste is nog dat dat we niet verder komen dan "Het is gewoon supervervelend" en "we balen dat".
Onze overheid blijkt op elk niveau steeds opnieuw totaal incapabel en begrijpt niet echt hoe de dingen in de echte wereld werken, en probeert ons ondertussen in slaap te sussen. Moeten we daar nu echt vertrouwen in hebben?
Het is hoogtijd dat er serieuze consequenties c.q. boetes worden uitgedeeld door AP bij zulke datalekken. Men komt er doorgaans vanaf met de opmerking "zeer vervelend" en "we balen", terwijl onschuldige burgers steeds vaker de dupe worden van ID fraude.
Maar ik begrijp nu uit de woorden van de Burgervader, dat hij de verantwoordelijkheid wil ontlopen? Is dat soms de manier op het op te lossen? Ik denk van niet.
Wat is er allemaal fout gegaan:
- De gemeente lekt BSN-nummers aan een partij die deze gegevens niet nodig had, en niet mocht verwerken.
- OMRIN laat na om het bestand (direct) te verwijderen (maar meldt de fout wel aan de gemeente)
- De gemeente laat na om een melding bij het AP te doen (binnen 72 uur).
- De burgemeester is van mening (tioen of nu?) dat er geen datalek is geweest (toen het bestand naar OMRIN verstuurd was)
Hoe gaan de burgemeester, OMRIN en de betreffende ambtenaar de indentiteitsfraude problemen van de getroffen burgers actief oplossen?
Wat moet er gebeuren voordat politici (en ambtenaren) zien wat voor problemen ze op burgers afschuiven.
En zoals dat in Nederland gebruikelijk is: de prutser hoort er nooit meer wat van. En de slachtoffers zoeken het maar uit.
Hoe VERZIN je het om zoiets 'per ongeluk' aan een extern bedrijf te geven. Vooraf is er niet over nagedacht. Voor dat het over de schutting ging is het blijkbaar niet gecontroleerd. Daar heb je geen procedure ofzo voor nodig, dat is gewoon nadenken bij wat je doet.
Dergelijk gepruts wordt alleen in de zachte sector op prijs gesteld. De prutser zelf heeft er geen last van.
En die burgemeester? Op staande voet ontslaan ofzo. Maar dat zal wel weer niet kunnen. Ohja... ook een verbod om nog *iets* in overheidsdienst te doen. De onkunde druipt er vanaf.
5 november 2025, 13:16 • Datalek
https://dvhn.nl/groningen/wadden/schiermonnikoog-blundert-met-identiteitsgegevens-inwoners-het-is-gewoon-supervervelend-47714373.html
Persoonsgegevens van alle inwoners Schiermonnikoog gelekt na cyberaanval op Omrin
1 november 2025, 11:30 • Hack
https://dvhn.nl/groningen/wadden/persoonsgegevens-van-alle-inwoners-schiermonnikoog-gelekt-na-cyberaanval-op-omrin-47681875.html
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?