Nieuws
image

Schiermonnikoog erkent fouten na datalek door ransomware-aanval

maandag 13 april 2026, 11:37 door Redactie, 7 reacties

De gemeente Schiermonnikoog heeft fouten gemaakt in de verwerking van persoonsgegevens van inwoners en eigenaren van een recreatiewoning, zo laat het college van b&w laten weten na een evaluatie van het datalek bij afvalbedrijf Omrin (pdf). De afvalverwerker werd vorig jaar getroffen door een ransomware-aanval waarbij ook een bestand werd gestolen met bsn-nummers. De data werd vervolgens op internet gepubliceerd.

De burgemeester van Schiermonnikoog liet eerder al weten dat de gemeente met Omrin een bestand had gedeeld dat te veel informatie bevatte. Het bestand was bedoeld om mensen te informeren over nieuwe tags voor de ondergrondse containers op het eiland. Omrin had daarvoor namen en adressen nodig. Het bestand bevatte echter ook de burgerservicenummers van iedere individuele bewoner.

"Dit had nooit mogen gebeuren”, stelde de burgemeester eind vorig jaar. "Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt." Omrin liet in een reactie weten dat er destijds contact is geweest met de gemeente en het bestand is aangepast. "Maar we balen dat het nog op de gehackte schijf stond", aldus een verklaring van het afvalbedrijf.

Schiermonnikoog liet een evaluatie naar het datalek uitvoeren. "Er zijn op drie plekken handelingen verricht die niet hadden gemoeten. Data aanleveren met overbodige persoonsgegevens, doorsturen van de data zonder check, en het opslaan van data door een andere partij", aldus het college van b&w in een brief aan de gemeenteraad.

Daarnaast zijn er verschillende maatregelen door de gemeente aangekondigd. Het gaat onder andere om het implementeren van het privacybeleid, ontwikkelen van een informatiebeheerplan, het verwijderen van onnodige gegevens, opstellen van DPIA's, opstellen van verwerkersovereenkomsten, werken met een datalekprocedure, AVG-checks, datacontroles en interne bewustwordingscampagnes en trainingen.

Tegenover Dagblad van het Noorden bevestigt de gemeente dat er geen integraal vastgesteld privacybeleid was. "Maar we zijn wel allerlei maatregelen aan het treffen. Het is ook niet zo dat we niks aan privacygevoelige informatiebescherming doen. Dat doen we al sinds jaar en dag", aldus een gemeentesecretaris. Die voegt toe dat ze graag had gehad dat er eerder beleid voor privacy was opgesteld.

Reacties (7)
Reageer met quote
Vandaag, 12:05 door Anoniem
“Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt.”

Lees ik dat nou goed???
Reageer met quote
Vandaag, 12:21 door AX0
Zeer bijzondere visie van de nieuwe burgemeester van Schiermonnikoog, Meendering.

Het bijzondere is dat zijn voorgangster, Ineke van Gent, klaarblijkelijk en geen DPA heeft aangesteld en zelf niet op de hoogte is, althans de ambtenaren van Schiermonnikoog, dat er regelgeving is binnen de behandeling van persoonsgegevens. Dat het anno 2026 kan/kon voorkomen mag zeker bijzonder worden genoemd.

"Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt."
Wat een instelling is dit? Het is zeer eenvoudig, zonder schriftelijke in en toestemming van de personen wiens persoonsgegevens het betreft, kan en mag er helemaal niets worden gedeeld. Ook een gemeente mag dat niet. Dat betekend dus dat er bij de gemeente Schiermonnikoog iets heel erg scheef zit. Een bagatelliserende opmerkin als deze geeft te denken over de huidige processen en zienswijze bij de gemeente daar.

Pijnlijk!
Reageer met quote
Vandaag, 12:22 door Anoniem
Wat fijn dat er erkenning is en dat er wordt uitgeproken dat er maatregelen genomen worden in de wetenschap dat deze achteraf tot stand komen. Kunnen we weer rustig doorslapen.
Reageer met quote
Vandaag, 12:35 door Anoniem
Quote:
"Dit had nooit mogen gebeuren”, stelde de burgemeester eind vorig jaar. "Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt."

Inderdaad.

Die gaskamers waren niet zo erg. Pas als er mensen vergast worden dan hebben we een probleem.

Experimentele gen-therapie als oplossing voor een niet bestaande ziekte opdringen is niet zo erg. Pas als oversterfte optreedt dan hebben we een probleem.

Uigt welke gesloten inrichting is deze burgemeester ontsnapt?
Reageer met quote
Vandaag, 12:51 door Anoniem
Grappig, de geboden oplossingen en maatregelen zijn allemaal paper compiance.
Reageer met quote
Vandaag, 13:25 door Drs Security en Privacy
Door AX0: Zeer bijzondere visie van de nieuwe burgemeester van Schiermonnikoog, Meendering.

Het bijzondere is dat zijn voorgangster, Ineke van Gent, klaarblijkelijk en geen DPA heeft aangesteld en zelf niet op de hoogte is, althans de ambtenaren van Schiermonnikoog, dat er regelgeving is binnen de behandeling van persoonsgegevens. Dat het anno 2026 kan/kon voorkomen mag zeker bijzonder worden genoemd.

"Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt."
Wat een instelling is dit? Het is zeer eenvoudig, zonder schriftelijke in en toestemming van de personen wiens persoonsgegevens het betreft, kan en mag er helemaal niets worden gedeeld. Ook een gemeente mag dat niet. Dat betekend dus dat er bij de gemeente Schiermonnikoog iets heel erg scheef zit. Een bagatelliserende opmerkin als deze geeft te denken over de huidige processen en zienswijze bij de gemeente daar.

Pijnlijk!
DPIA's voer je uit, DPA aanstellen?
Daarnaast hangt het er helemaal vanaf wat de relatie tussen die afval verwerker en de gemeente is of toestemming nodig is of niet. Is de eerstgenoemde verwerker in de zin van de AVG, mogelijk ook in de uitvoering van het verstrekken van de tags, dan mag dat zeker wel. Mits natuurlijk met de juiste maatregelen omkleed.
Dat het bestand met ondermeer BSN nummer is gedeeld, vooral dat laatste, is slordig. Dat de afval verwerker het bestand vervolgens niet verwijdert heeft, terwijl ze wisten dat ze daar niets mee mochten, is ronduit nalatig.
Dit laatste is wat mij betreft net zo problematisch als het delen van te veel gegevens.

Lang niet overal is toestemming voor vereist, we leven niet in canada. En zelfs daar geldt dat niet voor alles.
Reageer met quote
Vandaag, 13:40 door Anoniem
De term valt niet, maar in analyse en aanpak wordt de noodzaak van dataminimalisme gezien en erkend. Dat noem ik positief.

(Verder ben ik van mening dat Microslop te dienende vernietigd.)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components