Nieuws
image

Schiermonnikoog erkent fouten na datalek door ransomware-aanval

maandag 13 april 2026, 11:37 door Redactie, 15 reacties

De gemeente Schiermonnikoog heeft fouten gemaakt in de verwerking van persoonsgegevens van inwoners en eigenaren van een recreatiewoning, zo laat het college van b&w laten weten na een evaluatie van het datalek bij afvalbedrijf Omrin (pdf). De afvalverwerker werd vorig jaar getroffen door een ransomware-aanval waarbij ook een bestand werd gestolen met bsn-nummers. De data werd vervolgens op internet gepubliceerd.

De burgemeester van Schiermonnikoog liet eerder al weten dat de gemeente met Omrin een bestand had gedeeld dat te veel informatie bevatte. Het bestand was bedoeld om mensen te informeren over nieuwe tags voor de ondergrondse containers op het eiland. Omrin had daarvoor namen en adressen nodig. Het bestand bevatte echter ook de burgerservicenummers van iedere individuele bewoner.

"Dit had nooit mogen gebeuren”, stelde de burgemeester eind vorig jaar. "Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt." Omrin liet in een reactie weten dat er destijds contact is geweest met de gemeente en het bestand is aangepast. "Maar we balen dat het nog op de gehackte schijf stond", aldus een verklaring van het afvalbedrijf.

Schiermonnikoog liet een evaluatie naar het datalek uitvoeren. "Er zijn op drie plekken handelingen verricht die niet hadden gemoeten. Data aanleveren met overbodige persoonsgegevens, doorsturen van de data zonder check, en het opslaan van data door een andere partij", aldus het college van b&w in een brief aan de gemeenteraad.

Daarnaast zijn er verschillende maatregelen door de gemeente aangekondigd. Het gaat onder andere om het implementeren van het privacybeleid, ontwikkelen van een informatiebeheerplan, het verwijderen van onnodige gegevens, opstellen van DPIA's, opstellen van verwerkersovereenkomsten, werken met een datalekprocedure, AVG-checks, datacontroles en interne bewustwordingscampagnes en trainingen.

Tegenover Dagblad van het Noorden bevestigt de gemeente dat er geen integraal vastgesteld privacybeleid was. "Maar we zijn wel allerlei maatregelen aan het treffen. Het is ook niet zo dat we niks aan privacygevoelige informatiebescherming doen. Dat doen we al sinds jaar en dag", aldus een gemeentesecretaris. Die voegt toe dat ze graag had gehad dat er eerder beleid voor privacy was opgesteld.

Reacties (15)
Reageer met quote
13-04-2026, 12:05 door Anoniem
“Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt.”

Lees ik dat nou goed???
Reageer met quote
13-04-2026, 12:21 door AX0
Zeer bijzondere visie van de nieuwe burgemeester van Schiermonnikoog, Meendering.

Het bijzondere is dat zijn voorgangster, Ineke van Gent, klaarblijkelijk en geen DPA heeft aangesteld en zelf niet op de hoogte is, althans de ambtenaren van Schiermonnikoog, dat er regelgeving is binnen de behandeling van persoonsgegevens. Dat het anno 2026 kan/kon voorkomen mag zeker bijzonder worden genoemd.

"Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt."
Wat een instelling is dit? Het is zeer eenvoudig, zonder schriftelijke in en toestemming van de personen wiens persoonsgegevens het betreft, kan en mag er helemaal niets worden gedeeld. Ook een gemeente mag dat niet. Dat betekend dus dat er bij de gemeente Schiermonnikoog iets heel erg scheef zit. Een bagatelliserende opmerkin als deze geeft te denken over de huidige processen en zienswijze bij de gemeente daar.

Pijnlijk!
Reageer met quote
13-04-2026, 12:22 door Anoniem
Wat fijn dat er erkenning is en dat er wordt uitgeproken dat er maatregelen genomen worden in de wetenschap dat deze achteraf tot stand komen. Kunnen we weer rustig doorslapen.
Reageer met quote
13-04-2026, 12:35 door Anoniem
Quote:
"Dit had nooit mogen gebeuren”, stelde de burgemeester eind vorig jaar. "Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt."

Inderdaad.

Die gaskamers waren niet zo erg. Pas als er mensen vergast worden dan hebben we een probleem.

Experimentele gen-therapie als oplossing voor een niet bestaande ziekte opdringen is niet zo erg. Pas als oversterfte optreedt dan hebben we een probleem.

Uigt welke gesloten inrichting is deze burgemeester ontsnapt?
Reageer met quote
13-04-2026, 12:51 door Anoniem
Grappig, de geboden oplossingen en maatregelen zijn allemaal paper compiance.
Reageer met quote
13-04-2026, 13:25 door Drs Security en Privacy
Door AX0: Zeer bijzondere visie van de nieuwe burgemeester van Schiermonnikoog, Meendering.

Het bijzondere is dat zijn voorgangster, Ineke van Gent, klaarblijkelijk en geen DPA heeft aangesteld en zelf niet op de hoogte is, althans de ambtenaren van Schiermonnikoog, dat er regelgeving is binnen de behandeling van persoonsgegevens. Dat het anno 2026 kan/kon voorkomen mag zeker bijzonder worden genoemd.

"Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt."
Wat een instelling is dit? Het is zeer eenvoudig, zonder schriftelijke in en toestemming van de personen wiens persoonsgegevens het betreft, kan en mag er helemaal niets worden gedeeld. Ook een gemeente mag dat niet. Dat betekend dus dat er bij de gemeente Schiermonnikoog iets heel erg scheef zit. Een bagatelliserende opmerkin als deze geeft te denken over de huidige processen en zienswijze bij de gemeente daar.

Pijnlijk!
DPIA's voer je uit, DPA aanstellen?
Daarnaast hangt het er helemaal vanaf wat de relatie tussen die afval verwerker en de gemeente is of toestemming nodig is of niet. Is de eerstgenoemde verwerker in de zin van de AVG, mogelijk ook in de uitvoering van het verstrekken van de tags, dan mag dat zeker wel. Mits natuurlijk met de juiste maatregelen omkleed.
Dat het bestand met ondermeer BSN nummer is gedeeld, vooral dat laatste, is slordig. Dat de afval verwerker het bestand vervolgens niet verwijdert heeft, terwijl ze wisten dat ze daar niets mee mochten, is ronduit nalatig.
Dit laatste is wat mij betreft net zo problematisch als het delen van te veel gegevens.

Lang niet overal is toestemming voor vereist, we leven niet in canada. En zelfs daar geldt dat niet voor alles.
Reageer met quote
13-04-2026, 13:40 door Anoniem
De term valt niet, maar in analyse en aanpak wordt de noodzaak van dataminimalisme gezien en erkend. Dat noem ik positief.

(Verder ben ik van mening dat Microslop te dienende vernietigd.)
Reageer met quote
13-04-2026, 17:54 door Anoniem
De afvalverwerker werd vorig jaar getroffen door een ransomware-aanval
Het blijft maar doorgaan. Dankzij het gebruik van een windows monocultuur komt dit lek boven water.
Reageer met quote
13-04-2026, 18:48 door Anoniem
Is die NIS2 er al door, en dit gewoon een proefprocesje aansprakelijkheid Burgemeesters? Ik neem aan dat deze Burgemeester best met pensioen wil op dat Waddeneilandje, en haar geld wel veilig gestald heeft zodat het lijkt of ze niets bezit.

Ik wordt hier zo cynisch van dat ik opzet vermoed, zeker gezien de ligging van Schier, met zijn Oosterburen en Westerburen. Zijn die platen weer zichtbaar? Zijn er mensen gesignaleerd?

Of komen de Erven Bernsdorff hun bezit zogenaamd opeisen? Na de Tweede Wereldoorlog verviel het bezit aan de Nederlandse Staat, dus je weet maar nooit, het hackende ransome ware house.

Is de aanval al door een groep opgeeist? Het was het laatste stukje SS in Nederland, in '45, dus de symbolische waarde spat er weer eens van af! Alsof ransomeware groepen niet politiek ideologisch terroristische hackersaanvallen uitvoeren.
Reageer met quote
14-04-2026, 06:53 door Anoniem
"Dit had nooit mogen gebeuren”, stelde de burgemeester eind vorig jaar. "Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt."
Maar die gegevens zijn door die ransomwareaanval in verkeerde handen terechtgekomen. Het niet delen onnodig delen van gegevens dient nou net om in dat soort situaties de schade niet onnodig groot te laten zijn. Het gaat er niet alleen om dat Omrin er zelf geen misbruik van maakt, het gaat erom dat het risico erdoor toeneemt.

Omrin liet in een reactie weten dat er destijds contact is geweest met de gemeente en het bestand is aangepast. "Maar we balen dat het nog op de gehackte schijf stond", aldus een verklaring van het afvalbedrijf.
Ah, dat wist ik nog niet. De gemeente heeft dus een herstelactie uitgevoerd, wat goed is, maar Omrin heeft een steek laten vallen.

Het illustreert goed dat je beter om te beginnen die steken niet kan laten vallen. Als je opereert vanuit het idee dat fouten niet zo erg zijn omdat ze wel weer rechtgezet kunnen worden verhoog je de kans dat er fout op fout wordt gestapeld, door verschillende partijen, dat het rechtzetten daardoor misgaat en je werkelijk met een probleem zit.

De kans daarop is op het internet veel groter dan de meeste mensen zich kunnen voorstellen, zo groot dat een gemoedelijke benadering niet volstaat, en de gevolgen kunnen makkelijk groot zijn en niet te herstellen. Voorkomen is echt beter dan genezen als genezen buiten je mogelijkheden ligt.
Reageer met quote
14-04-2026, 07:24 door Anoniem
Door Anoniem:
De afvalverwerker werd vorig jaar getroffen door een ransomware-aanval
Het blijft maar doorgaan. Dankzij het gebruik van een windows monocultuur komt dit lek boven water.
Daar gingen alleen een paar dingen aan vooraf die geen donder met een windows-monocultuur te maken hebben. De gemeente Schiermonnikoog heeft teveel gegevens aan Omrin doorgegeven en Omrin heeft ze niet goed verwijderd toen ze daarop gewezen werden.

Er is echt wel het nodige op Windows en op Microsoft aan te merken, maar reduceer het niet simplistisch tot alleen maar dat. Hoe dingen ingericht, geconfigureerd, beheerd en gebruikt worden maakt een wereld van verschil. Als je het alleen aan de productnaam ophangt en de rest negeert dan is de kans groot is dat je zelf de factor wordt die onveiligheid in een een systeem of netwerk introduceert.
Reageer met quote
14-04-2026, 11:43 door Anoniem
Door Anoniem:
Door Anoniem:
De afvalverwerker werd vorig jaar getroffen door een ransomware-aanval
Het blijft maar doorgaan. Dankzij het gebruik van een windows monocultuur komt dit lek boven water.
Daar gingen alleen een paar dingen aan vooraf die geen donder met een windows-monocultuur te maken hebben. De gemeente Schiermonnikoog heeft teveel gegevens aan Omrin doorgegeven en Omrin heeft ze niet goed verwijderd toen ze daarop gewezen werden.

Er is echt wel het nodige op Windows en op Microsoft aan te merken, maar reduceer het niet simplistisch tot alleen maar dat. Hoe dingen ingericht, geconfigureerd, beheerd en gebruikt worden maakt een wereld van verschil. Als je het alleen aan de productnaam ophangt en de rest negeert dan is de kans groot is dat je zelf de factor wordt die onveiligheid in een een systeem of netwerk introduceert.
Alle ransomware incidenten blijken afgerond 100% windows gebasseerd te zijn terwijl windows al lang niet meer het meest gebruikte OS is. Er moet dus iets gemeenschappelijks zijn. Hoe dingen ingericht, geconfigureerd, beheerd en gebruikt worden zou op een ander OS (vooral meer gebruikt OS zoals Android) dan ook een ransomware probleem moeten geven en dat is het niet, althans heel veel minder. Of Linux beheerders zijn bv zo veel slimmer en beter opgeleid dan windows beheerders.
Reageer met quote
14-04-2026, 18:47 door Anoniem
Door Anoniem:
Door Anoniem:
De afvalverwerker werd vorig jaar getroffen door een ransomware-aanval
Het blijft maar doorgaan. Dankzij het gebruik van een windows monocultuur komt dit lek boven water.
Daar gingen alleen een paar dingen aan vooraf die geen donder met een windows-monocultuur te maken hebben. De gemeente Schiermonnikoog heeft teveel gegevens aan Omrin doorgegeven en Omrin heeft ze niet goed verwijderd toen ze daarop gewezen werden.


Wie werken er bij Omrin, dat dit kon gebeuren, en hebben die een contract bij Omrin, of zijn het ZZP-ers, die dit gedaan hebben. Ik ben benieuwd of Burgemeester en netwerk hier iets tegenover gaan stellen. Vuilnisophaaldienst uitbesteden is niet altijd handig....
Reageer met quote
17-04-2026, 06:59 door AX0
Dank voor het aangeven van die omissie. Haast en snelheid ontslaan niet van precisie....

BSN's mogen uitsluitend door overheden zonder in en toestemming worden behandeld. Dat geld niet voor overige entiteiten en personen. Die dienen wel degelijk schriftelijke in en toestemming te hebben en aan te geven waarvoor een aspect als een BSN op nemen in hun systemen. Daar heb je een FG voor. Want export van persoonsgegevens, zelfs ter vernietiging, dient te zijn gemonitored. Iets wat overduidelijk hier niet het geval is gebleken.

We leven niet in Canada....

Precies, maar dat is waar de beweging in de EU wel degelijk naartoe aan het gaan is. In Ierland is die beweging al volop bezig, evenals het VK.


Pijnlijk![/quote]DPIA's voer je uit, DPA aanstellen?
Daarnaast hangt het er helemaal vanaf wat de relatie tussen die afval verwerker en de gemeente is of toestemming nodig is of niet. Is de eerstgenoemde verwerker in de zin van de AVG, mogelijk ook in de uitvoering van het verstrekken van de tags, dan mag dat zeker wel. Mits natuurlijk met de juiste maatregelen omkleed.
Dat het bestand met ondermeer BSN nummer is gedeeld, vooral dat laatste, is slordig. Dat de afval verwerker het bestand vervolgens niet verwijdert heeft, terwijl ze wisten dat ze daar niets mee mochten, is ronduit nalatig.
Dit laatste is wat mij betreft net zo problematisch als het delen van te veel gegevens.

Lang niet overal is toestemming voor vereist, we leven niet in canada. En zelfs daar geldt dat niet voor alles.[/quote]
Reageer met quote
19-04-2026, 21:18 door Anoniem
Door Anoniem: Is die NIS2 er al door, en dit gewoon een proefprocesje aansprakelijkheid Burgemeesters? Ik neem aan dat deze Burgemeester best met pensioen wil op dat Waddeneilandje, en haar geld wel veilig gestald heeft zodat het lijkt of ze niets bezit
Dat is net ongeveer twee jaar telaat door de tweede kamer, nu moet het nog naar de eerste kamer, en geaccepteerd worden, en publicatie in de staatscourant. meestal is het dan op 1 jan, of 1 jul daarna live, ik weet niet of voor deze wet nog een opwarmings periode geld.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components