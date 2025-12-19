De gemeente Eindhoven heeft persoonlijke gegevens van inwoners en medewerkers via openbare AI-websites gelekt. Het gaat om veel gevoelige en bijzondere categorieën van persoonsgegevens van vermoedelijk heel veel mensen, aldus onderzoekers. Slachtoffers zullen niet persoonlijk worden geïnformeerd, omdat de gemeente zegt dat het niet kan vaststellen van wie de gegevens op straat zijn beland. "Dit komt doordat deze gegevens tijdelijk, slechts 30 dagen, bewaard worden. Het is alleen op basis van de persoonsnaam te achterhalen of er bestanden met die naam zijn geüpload in de periode van 23 september tot 23 oktober", aldus de verklaring.

Volgens de gemeente zijn er in een specifieke periode duizenden bestanden naar AI-websites geüpload. Het gaat om de periode van 23 september tot 23 oktober. "We kunnen helaas geen compleet beeld krijgen om welke bestanden dit gaat. Door de omvang is het niet haalbaar om al deze bestanden te analyseren op de aanwezigheid van persoonsgegevens", zo laat de gemeente in een uitleg over het datalek weten. Daarnaast stelt de gemeente dat er voor de genoemde periode waarschijnlijk ook bestanden zijn geüpload.

"Het gebruik van AI biedt mogelijkheden ons werk efficiënter te doen. Vanuit die optiek is het positief dat medewerkers kansen zien en met AI aan de slag gaan. Eerste duiding is dat medewerkers het hebben gebruikt om de gemeentelijke taken en dienstverlening aan de inwoners te verbeteren", aldus burgemeester Jeroen Dijsselbloem in een brief aan de gemeenteraad over onder andere de reden waarom ambtenaren gebruikmaakten van openbare AI-diensten. Verdere uitleg hierover is niet gegeven (pdf).

Gevoelige en bijzondere categorieën van persoonsgegevens

Een bureau dat het datalek onderzocht stelt dat er veel gevoelige en bijzondere categorieën van persoonsgegevens naar de AI-websites zijn geüpload. "Daarbij is onze inschatting dat het ook om veel betrokkenen gaat." Het zou onder andere gaan om documenten met betrekking tot de Jeugdwet, met informatie over onder andere de mentale en fysieke gezondheid van minderjarige kinderen (vaak ook broertjes en zusjes) en ouders. Ook BSN en soms zelfs een foto van het kind zijn onderdeel van het dossier.

Verder gaat het ook om overdrachtsdocumenten WMO, met gegevens over onder andere fysieke en mentale gezondheid, diagnoses, verslavingen, financiële problematiek, schulden, problemen op woon en/of werkgebied, inclusief naam, adresgegevens en BSN-nummer. Tevens zijn ook reflectieverslagen van medewerkers, met besprekingen van werkprestaties en informatie over collega’s en cv’s van sollicitanten geüpload (pdf).

Misbruik valt niet uit te sluiten

De gemeente merkt tevens op dat de AI-platformen de geüploade bestanden en data kunnen gebruiken voor trainingsdoeleinden. "De kans dat data misbruikt kunnen worden, is volgens experts zeer beperkt maar het is niet uitgesloten." Naar aanleiding van het datalek zijn publiek toegankelijke AI-websites, zoals ChatGPT, voor ambtenaren geblokkeerd. Medewerkers kunnen sinds 23 oktober alleen Microsoft Copilot binnen de gemeente-omgeving gebruiken.

Verder heeft de gemeente OpenAI verzocht om de geüploade bestanden te verwijderen en is de monitoring van het dataverkeer naar externe websites aangescherpt. Het datalek is op 23 oktober bij de Autoriteit Persoonsgegevens gemeld. De gemeente noemt het datalek "heel vervelend" voor inwoners en medewerkers. "Het is betreurenswaardig dat niet precies bekend is om welke gegevens het gaat. De gemeente Eindhoven doet er alles aan om dit in de toekomst te voorkomen."

Begin dit jaar stopte de Autoriteit Persoonsgegevens, na twee jaar, met het verscherpte toezicht op de gemeente Eindhoven. De maatregel werd op 1 maart 2023 ingesteld na signalen dat de gemeente datalekken niet of niet op tijd meldde, dat gegevens van mensen in Eindhoven structureel te lang werden bewaard en de gemeente persoonsgegevens verzamelde en gebruikte zonder eerst de privacyrisico’s te analyseren, terwijl dat wel verplicht is.