Privacy
- Wat niemand over je mag weten
Datalek BLUNDER
Alkmaar, 10 december 2025 – Een fout bij een aanbesteding van regiotaxi-vervoer in 2015 heeft zes Noord-Hollandse gemeenten duur komen te staan. Het gerechtshof Amsterdam heeft vandaag bevestigd dat de gemeenten Alkmaar, Bergen, Castricum, Heiloo, Uitgeest en Langedijk (nu Dijk en Waard) gezamenlijk €134.853 schadevergoeding moeten betalen aan de voormalige vervoerders ZCN Totaalvervoer en Reva Groep. Aanleiding: vertrouwelijke bedrijfsgegevens van de twee vervoerders werden per ongeluk openbaar gepubliceerd op TenderNed, het officiële Nederlandse platform voor overheidsaanbestedingen.
Wat ging er mis?
In 2015 schreven de zes gemeenten gezamenlijk een Europese aanbesteding uit voor het Wmo-vervoer en het leerlingenvervoer in de regio Alkmaar. ZCN en Reva, die destijds het vervoer uitvoerden, dienden een inschrijving in. Bij het indienen van hun offerte voegden zij – zoals gebruikelijk – een groot aantal vertrouwelijke bijlagen toe, zoals kostprijsberekeningen, personeelsinzet, winst- en risicomarges en gedetailleerde tariefopbouw.
Door een menselijke fout van een medewerker van de gemeente Alkmaar werden deze vertrouwelijke documenten niet afgeschermd, maar volledig openbaar gezet op TenderNed (www.tenderned.nl). Iedereen met een account op het platform kon de bestanden downloaden. Pas maanden later, toen een concurrerende vervoerder de gegevens bleek te hebben gebruikt bij een bezwaarprocedure, kwam het datalek aan het licht.
Jarenlange rechtszaak
ZCN en Reva stapten onmiddellijk naar de rechter en eisten schadevergoeding wegens schending van hun bedrijfsgeheim en oneerlijke concurrentie. De rechtbank Noord-Holland wees de vordering in eerste instantie af, maar in hoger beroep draaide het gerechtshof Amsterdam dit vonnis volledig om.
Het hof oordeelde dat de gemeenten “ernstig onzorgvuldig” hebben gehandeld en dat het datalek “directe schade” heeft veroorzaakt heeft. De vervoerders moesten in de volgende aanbestedingsronde (2017-2022) concurreren met partijen die exact wisten wat hun kostprijs en marge was – een onherstelbaar concurrentienadeel.
De schadevergoeding van €134.853 bestaat uit:
gederfde winst in de periode 2017-2022
extra juridische kosten
reputatieschade
TenderNed: veilige haven of valkuil?
TenderNed is sinds 2010 hét verplichte platform voor alle Europese en veel nationale overheidsaanbestedingen in Nederland. Het systeem kent een functie om bepaalde bijlagen als “vertrouwelijk” te markeren, zodat alleen de aanbesteder ze kan inzien. Juist die functie werd in 2015 niet gebruikt.
Naar aanleiding van deze zaak heeft TenderNed de procedures aangescherpt en verschijnen er nu extra waarschuwingen bij het uploaden van bijlagen. Desondanks blijft het een terugkerend probleem: uit cijfers van het ministerie van Economische Zaken blijken jaarlijks tientallen meldingen van per ongeluk openbaar gemaakte bedrijfsgeheimen.
Reacties
Een woordvoerder van de gemeente Alkmaarse gemeente laat weten “teleurgesteld” te zijn in de uitspraak, maar beraadt zich nog op cassatie bij de Hoge Raad. ZCN en Reva zijn blij met de erkenning: “Dit is een belangrijk signaal dat overheden zorgvuldiger moeten omgaan met de bedrijfsvertrouwelijke informatie van inschrijvers”, aldus hun advocaat.
De zaak onderstreept eens te meer dat een simpele muisklik bij een aanbesteding verstrekkende financiële en juridische gevolgen kan hebben – in dit geval bijna tien jaar later en ruim €134.000 armer.
Wat ging er mis?
In 2015 schreven de zes gemeenten gezamenlijk een Europese aanbesteding uit voor het Wmo-vervoer en het leerlingenvervoer in de regio Alkmaar. ZCN en Reva, die destijds het vervoer uitvoerden, dienden een inschrijving in. Bij het indienen van hun offerte voegden zij – zoals gebruikelijk – een groot aantal vertrouwelijke bijlagen toe, zoals kostprijsberekeningen, personeelsinzet, winst- en risicomarges en gedetailleerde tariefopbouw.
Door een menselijke fout van een medewerker van de gemeente Alkmaar werden deze vertrouwelijke documenten niet afgeschermd, maar volledig openbaar gezet op TenderNed (www.tenderned.nl). Iedereen met een account op het platform kon de bestanden downloaden. Pas maanden later, toen een concurrerende vervoerder de gegevens bleek te hebben gebruikt bij een bezwaarprocedure, kwam het datalek aan het licht.
Jarenlange rechtszaak
ZCN en Reva stapten onmiddellijk naar de rechter en eisten schadevergoeding wegens schending van hun bedrijfsgeheim en oneerlijke concurrentie. De rechtbank Noord-Holland wees de vordering in eerste instantie af, maar in hoger beroep draaide het gerechtshof Amsterdam dit vonnis volledig om.
Het hof oordeelde dat de gemeenten “ernstig onzorgvuldig” hebben gehandeld en dat het datalek “directe schade” heeft veroorzaakt heeft. De vervoerders moesten in de volgende aanbestedingsronde (2017-2022) concurreren met partijen die exact wisten wat hun kostprijs en marge was – een onherstelbaar concurrentienadeel.
De schadevergoeding van €134.853 bestaat uit:
gederfde winst in de periode 2017-2022
extra juridische kosten
reputatieschade
TenderNed: veilige haven of valkuil?
TenderNed is sinds 2010 hét verplichte platform voor alle Europese en veel nationale overheidsaanbestedingen in Nederland. Het systeem kent een functie om bepaalde bijlagen als “vertrouwelijk” te markeren, zodat alleen de aanbesteder ze kan inzien. Juist die functie werd in 2015 niet gebruikt.
Naar aanleiding van deze zaak heeft TenderNed de procedures aangescherpt en verschijnen er nu extra waarschuwingen bij het uploaden van bijlagen. Desondanks blijft het een terugkerend probleem: uit cijfers van het ministerie van Economische Zaken blijken jaarlijks tientallen meldingen van per ongeluk openbaar gemaakte bedrijfsgeheimen.
Reacties
Een woordvoerder van de gemeente Alkmaarse gemeente laat weten “teleurgesteld” te zijn in de uitspraak, maar beraadt zich nog op cassatie bij de Hoge Raad. ZCN en Reva zijn blij met de erkenning: “Dit is een belangrijk signaal dat overheden zorgvuldiger moeten omgaan met de bedrijfsvertrouwelijke informatie van inschrijvers”, aldus hun advocaat.
De zaak onderstreept eens te meer dat een simpele muisklik bij een aanbesteding verstrekkende financiële en juridische gevolgen kan hebben – in dit geval bijna tien jaar later en ruim €134.000 armer.
Reacties (8)
10-12-2025, 23:29 door
Anoniem
En dat is niet de eerste keer dat het bij TenderNet fout ging.
In Januari 2018 werden de gegevens van 332 WMO klanten gelekt, waarbij NAW-gegevens en BSN-nummers op straat lagen. In 2022/2023 werden ook al NAW-gegevens en zelfs medische informatie gelekt van een grote Nederlandse gemeente, ook weer via TenderNet.
De meeste incidenten vinden plaats bij aanbestedingen voor sociale diensten zoals Wmo- of leerlingenvervoer, waar cliëntgegevens onvermijdelijk zijn voor een juiste inschatting van de opdrachtomvang. Door menselijke fouten – zoals het niet markeren van bijlagen als vertrouwelijk of het opnemen van data in openbare aanvullende informatie – belandt gevoelige info in het openbare domein van TenderNed.
Zoals het er nu naar uitziet is een datalek bij TenderNed meer regel dan uitzondering.
In Januari 2018 werden de gegevens van 332 WMO klanten gelekt, waarbij NAW-gegevens en BSN-nummers op straat lagen. In 2022/2023 werden ook al NAW-gegevens en zelfs medische informatie gelekt van een grote Nederlandse gemeente, ook weer via TenderNet.
De meeste incidenten vinden plaats bij aanbestedingen voor sociale diensten zoals Wmo- of leerlingenvervoer, waar cliëntgegevens onvermijdelijk zijn voor een juiste inschatting van de opdrachtomvang. Door menselijke fouten – zoals het niet markeren van bijlagen als vertrouwelijk of het opnemen van data in openbare aanvullende informatie – belandt gevoelige info in het openbare domein van TenderNed.
Zoals het er nu naar uitziet is een datalek bij TenderNed meer regel dan uitzondering.
11-12-2025, 08:52 door
Bitje-scheef
Overheden en IT zijn geen goede combinatie.
11-12-2025, 08:59 door
Anoniem
Door Bitje-scheef: Overheden en IT zijn geen goede combinatie.
Het is erger dan dat: Overheid = ambtenaren = mensen (niet ITers)
Mensen (niet ITers) en IT zijn geen goede combinatie. Dat blijkt keer op keer.
In plaats van de schuld elke keer af te schuiven op de gebruiker, zouden ITers eens na moeten denken wat zij fout doen dat gebruikers zo slecht om kunnen gaan met hun IT.
En omdat IT maar een tool is, deze misschien eens voldoende aanpassen aan de kuren van mensen (niet ITers)?
11-12-2025, 10:10 door
Ism Majhool
Door Anoniem: En dat is niet de eerste keer dat het bij TenderNet fout ging.
In Januari 2018 werden de gegevens van 332 WMO klanten gelekt, waarbij NAW-gegevens en BSN-nummers op straat lagen. In 2022/2023 werden ook al NAW-gegevens en zelfs medische informatie gelekt van een grote Nederlandse gemeente, ook weer via TenderNet.
De meeste incidenten vinden plaats bij aanbestedingen voor sociale diensten zoals Wmo- of leerlingenvervoer, waar cliëntgegevens onvermijdelijk zijn voor een juiste inschatting van de opdrachtomvang. Door menselijke fouten – zoals het niet markeren van bijlagen als vertrouwelijk of het opnemen van data in openbare aanvullende informatie – belandt gevoelige info in het openbare domein van TenderNed.
Zoals het er nu naar uitziet is een datalek bij TenderNed meer regel dan uitzondering.
In Januari 2018 werden de gegevens van 332 WMO klanten gelekt, waarbij NAW-gegevens en BSN-nummers op straat lagen. In 2022/2023 werden ook al NAW-gegevens en zelfs medische informatie gelekt van een grote Nederlandse gemeente, ook weer via TenderNet.
De meeste incidenten vinden plaats bij aanbestedingen voor sociale diensten zoals Wmo- of leerlingenvervoer, waar cliëntgegevens onvermijdelijk zijn voor een juiste inschatting van de opdrachtomvang. Door menselijke fouten – zoals het niet markeren van bijlagen als vertrouwelijk of het opnemen van data in openbare aanvullende informatie – belandt gevoelige info in het openbare domein van TenderNed.
Zoals het er nu naar uitziet is een datalek bij TenderNed meer regel dan uitzondering.
Volgens mij is de tool "TenderNed" niet het probleem, maar de ambtenaren die de documenten erop zetten. Als je dat een blunder wilt noemen, prima. Ik noem het een menselijke fout. En zeker geen (technisch) probleem van het platform.
In het geval van de aanbesteding mag je niet zomaar gegevens van concurrenten publiceren (bedrijfsgeheimen). Dit levert de bedrijven veel schade op.
In het geval van de WMO vervoerders, mag je geen adresgegevens publiceren van cliënten (persoonsgegevens), ook al is het relevant voor de offerte van de vervoerders.
Let wel: dit zijn twee verschillende zaken, waarbij verschillende 'wetten' worden overtreden. De aard van de overtreding is fundamenteel anders. Dus ik zou in dit artikel niet spreken van een datalek in de zin van de AVG.
Waar komt dat artikel eigenlijk vandaan?
11-12-2025, 10:11 door
Ism Majhool
Door Anoniem:
Het is erger dan dat: Overheid = ambtenaren = mensen (niet ITers)
Mensen (niet ITers) en IT zijn geen goede combinatie. Dat blijkt keer op keer.
In plaats van de schuld elke keer af te schuiven op de gebruiker, zouden ITers eens na moeten denken wat zij fout doen dat gebruikers zo slecht om kunnen gaan met hun IT.
En omdat IT maar een tool is, deze misschien eens voldoende aanpassen aan de kuren van mensen (niet ITers)?
Door Bitje-scheef: Overheden en IT zijn geen goede combinatie.
Het is erger dan dat: Overheid = ambtenaren = mensen (niet ITers)
Mensen (niet ITers) en IT zijn geen goede combinatie. Dat blijkt keer op keer.
In plaats van de schuld elke keer af te schuiven op de gebruiker, zouden ITers eens na moeten denken wat zij fout doen dat gebruikers zo slecht om kunnen gaan met hun IT.
En omdat IT maar een tool is, deze misschien eens voldoende aanpassen aan de kuren van mensen (niet ITers)?
IT-ers kunnen onwetendheid en gemakzucht niet zomaar oplossen.
11-12-2025, 11:09 door
Anoniem
Door Anoniem:
Mensen (niet ITers) en IT zijn geen goede combinatie. Dat blijkt keer op keer.
En omdat IT maar een tool is, deze misschien eens voldoende aanpassen aan de kuren van mensen (niet ITers)?
Door Bitje-scheef: Overheden en IT zijn geen goede combinatie.
Mensen (niet ITers) en IT zijn geen goede combinatie. Dat blijkt keer op keer.
En omdat IT maar een tool is, deze misschien eens voldoende aanpassen aan de kuren van mensen (niet ITers)?
Je kunt een verkoper van hamers en kettingzagen niet veroordelen op het feit dat zijn producten gebruikt kunnen worden op desastreuze manieren.
Met andere woorden: Als IT levert wat er gevraagd wordt, uitgelegd wordt hoe het product gebruikt moet worden en daar boven op nog meldt wat eventuele beveiligingsrisico's zijn, dan kun je de IT daar niet verantwoordelijk voor houden.
Domheid en gemakzucht winnen altijd van logica.
11-12-2025, 12:16 door
Anoniem
Door Ism Majhool:
Volgens mij is de tool "TenderNed" niet het probleem, maar de ambtenaren die de documenten erop zetten. Als je dat een blunder wilt noemen, prima. Ik noem het een menselijke fout. En zeker geen (technisch) probleem van het platform.
An sich heb je gelijk in dat het platform netjes doet wat het ontworpen is om te doen, en dat het 'lek' veroorzaakt is door een gebruikersfout. Volgens mij is de tool "TenderNed" niet het probleem, maar de ambtenaren die de documenten erop zetten. Als je dat een blunder wilt noemen, prima. Ik noem het een menselijke fout. En zeker geen (technisch) probleem van het platform.
Als je echter een product oplevert waarmee een dergelijke kleine gebruikersfout (één vinkje vergeten aan te zetten) direct tot zulke omvangrijke schade kan lijden, en die fouten zich blijkbaar ook nog eens regelmatig voordoen, dan kun je wel degelijk stellen dat het platform (al dan niet juridisch) gebrekkig is.
Gebruikersfouten kun je nooit voorkomen, maar je kunt het platform wel degelijk zo opbouwen of inrichten dat ze niet direct tot zulke situaties kunnen leiden. Je kunt bijlagen prima instellen als 'vertrouwelijk, tenzij' in plaats van 'openbaar, tenzij'. We richten om dezelfde reden in bedrijven werkprocessen en procedures in zodat een simpele fout van één medewerker niet meteen tot een catastrofe kan leiden.
11-12-2025, 13:49 door
thegodthatfailed
Door Ism Majhool:
IT-ers kunnen onwetendheid en gemakzucht niet zomaar oplossen.
Door Anoniem:
Het is erger dan dat: Overheid = ambtenaren = mensen (niet ITers)
Mensen (niet ITers) en IT zijn geen goede combinatie. Dat blijkt keer op keer.
In plaats van de schuld elke keer af te schuiven op de gebruiker, zouden ITers eens na moeten denken wat zij fout doen dat gebruikers zo slecht om kunnen gaan met hun IT.
En omdat IT maar een tool is, deze misschien eens voldoende aanpassen aan de kuren van mensen (niet ITers)?
Door Bitje-scheef: Overheden en IT zijn geen goede combinatie.
Het is erger dan dat: Overheid = ambtenaren = mensen (niet ITers)
Mensen (niet ITers) en IT zijn geen goede combinatie. Dat blijkt keer op keer.
In plaats van de schuld elke keer af te schuiven op de gebruiker, zouden ITers eens na moeten denken wat zij fout doen dat gebruikers zo slecht om kunnen gaan met hun IT.
En omdat IT maar een tool is, deze misschien eens voldoende aanpassen aan de kuren van mensen (niet ITers)?
IT-ers kunnen onwetendheid en gemakzucht niet zomaar oplossen.
Klopt, maar dat geldt voor alle gebruikers, niet alleen ambtenaren. Ook hierboven komen weer de standaard "overheid en IT" opmerkingen, zoals te verwachten viel. Enig idee hoe vaak zaken in het bedrijfsleven fout gaan? Publiek toegankelijke S3 buckets zonder eigenaar waar zeer gevoelige (financiële) gegevens in staan en waarvan niemand enig idee heeft wat ze ermee aan moeten zijn aan de orde van de dag. Kijk naar de berichten op deze website. Shodan scans leveren iedere week ellende op. En dat doen IT'ers helemaal zelf.
De titel kan in hoofdletters 'BLUNDER' bevatten, maar het zijn gebruikersfouten, en die vinden bij iedereen plaats die werkt. Klote dat het nu zoveel geld kost. Maar: ook in het bedrijfsleven zie ik niet anders. De voorbeelden zijn legio. Denk aan contracten die slecht in elkaar zitten en waar bedrijven niet meer onderuit komen, met tonnen aan extra kosten tot gevolg. Denk aan een beleggingsinstituut dat een fout maakte en de prijs en het aantal aandelen verwisselde, met tonnen aan verlies, en dat met het vier-ogenprincipe (velen zullen voorbeelden hebben hoe goed dat mechanisme werkt).
Als het bedrijfsleven net zoveel media-aandacht zou krijgen als de overheid bij IT-fouten, dan heb ik een dagtaak aan het lezen van alle artikelen op deze site.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?