Honderden datalekken bij gemeenten in 2016: 'Informatieveiligheid kun je nooit garanderen'

BREDA - De Bredase wethouder Patrick van Lunteren werd donderdag flink wakker geschud toen RTL Nieuws inbrak in zijn LinkedIn-account. Hij veranderde zijn wachtwoord meteen. "Niks menselijks is ook een bestuurder vreemd. Het kan iedereen gebeuren", zo reageert de wethouder. En dat is ook zo, beaamt Remco Groet van de Informatiebeveiligingsdienst (IBD). De IBD regelt alles op het gebied van internetveiligheid voor de 388 gemeenten in Nederland. Het afgelopen jaar zijn er een paar honderd datalekken gemeld door gemeenten.

"Gemeenten lopen weliswaar voorop in vergelijking met bijvoorbeeld banken en ziekenhuizen en de rest van de overheid, maar honderd procent veiligheid bestaat niet."

RTL ontfutselde wachtwoord
Van zijn meeste accounts op social media verandert Van Lunteren het wachtwoord regelmatig. "LinkedIn gebruik ik niet vaak en dat wachtwoord was al behoorlijk oud", zo legt hij uit. Het wachtwoord bleek terug te vinden in een lijst van een datalek uit 2012. RTL gebruikte het wachtwoord op die lijst om in het account van de wethouder te komen en met succes.

"Het is echt een wake up-call. Binnen de gemeenten hebben we allerlei protocollen waar we ons aan moeten houden en dat is voor zover mogelijk, goed georganiseerd. Maar dit was natuurlijk een privé-pagina. Gelukkig was het RTL en zat er niet een kwaadwillend persoon achter."

5500 datalekken per jaar
Groet adviseert gemeenten hoe ze hun informatie beter moeten beveiligen. "Als er een veiligheidsincident is, zijn wij 24 uur per dag bereikbaar om het op te lossen." Gemeenten moeten datalekken altijd melden bij de Autoriteit Persoonsgegevens, net als banken en ziekenhuizen.  

"Afgelopen jaar waren er bijna 5500 incidenten gemeld, waarvan 15 procent van gemeenten afkomstig is. Gemeenten lopen in vergelijking met andere organisaties voorop, maar criminelen zijn ook slim. En de trucs om gegevens te ontfutselen zijn zo gehaaid dat in een grote organisatie er altijd wel iemand is die er in trapt."

Groet heeft het bijvoorbeeld over e-mails die ambtenaren ontvangen van de post waarin staat dat er een pakket naar je onderweg is en dat je op een link moet klikken om het te volgen. "Ook al verwacht je zo'n pakket niet, je denkt misschien dat het een verrassing van je vrouw is en je drukt toch op de link om de status van het pakket te volgen. Dat er vervolgens op de achtergrond een programma opstart dat gegevens van je harde schijf haalt, heb je dan niet in de gaten. Totdat je het bericht krijgt dat je ze terug kunt kopen voor bitcoins."

Privégegevens van kwetsbare kinderen
In een organisatie waar duizenden mails per dag worden verstuurd en veel mensen werken, gaat het dus weleens mis. Dat is pijnlijk als het over gevoelige privégegevens van mensen gaat, zoals kinderen die jeugdzorg krijgen. De verantwoordelijkheid van jeugdzorg ligt bij gemeenten en dus gaat er informatie over kinderen rond binnen de gemeente.

"We adviseren hoe je de opslag van dit soort gegevens zo veilig mogelijk kunt maken. Maar waar veel partijen samenwerken, zoals de GGD, politie en de gemeente, moeten er allerlei gegevens over en weer gaan en kun je veiligheid nooit honderd procent garanderen. Het moet natuurlijk ook werkbaar blijven. Honderd procent veiligheid bestaat niet. Ik houd er niet van, maar het is zo."

print corrigeer
Publicatie: vrijdag 13 januari 2017 - 12:31
Auteur: Mathijs Pennings