D9D1E2

Datalekken in Nederland

2012

Enquete-site lekt gegevens drank- en drugsgebruik jongeren (12/05/23)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

Gemeente Leeuwarden / Partoer.

Verwerking

Enquete.

Betrokkenen

"7.127 jongeren [...] van 12 tot 18 jaar" [Bron]

Soort (persoons)gegevens

"[Antwoorden op vragen over] alcohol- en drugsgebruik, maar ook of iemand ooit in de gevangenis heeft gezeten en hoe de familie met de jongeren omgaat. [...] Niet alleen zijn de vragen zichtbaar, maar ook de naam van de jongere, zijn GSM-nummer en e-mailadres." [Bron]

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"De 18-jarige [...] was een van de 7.127 jongeren die door de gemeente werd gevraagd mee te doen aan de enquête 'Veilig opgroeien in Leeuwarden'. Het onderzoek wordt gehouden onder jongeren van 12 tot 18 jaar, die via een brief zijn uitgenodigd. Die gegevens waren afkomstig uit de gemeentelijke basisadministratie. Om de vragenlijst te kunnen invullen moeten de jongeren een code invoeren. Maar wie een cijfer verandert, komt vervolgens in de vragenlijst van een ander uit. Als die al is ingevuld, dan worden de resultaten zichtbaar. Dat zijn vragen over alcohol- en drugsgebruik, maar ook of iemand ooit in de gevangenis heeft gezeten en hoe de familie met de jongeren omgaat." [Bron]

"Een van de jongeren die meedeed aan de enquête 'Veilig opgroeien in Leeuwarden' ontdekte dat als hij een cijfer in zijn login veranderde hij een mogelijk al ingevulde enquête van iemand anders kon inzien. De gemeente Leeuwarden gebruikte voor het benaderen van de ruim 7000 jongeren gegevens uit de gemeentelijk basisadministratie. In de vragenlijst stonden ook vragen over of iemand ooit in de gevangenis had gezeten en hoe de familie met hem of haar omgaat. De jongere legde zijn ontdekking aan journalistiekstudent [...] die op zijn beurt journalist [...] voor Webwereld inschakelde om de zaak te onderzoeken. Zij ontdekten dat ook de persoonsgegevens zichtbaar waren, terwijl toch anonimiteit werd gewaarborgd. Jongeren konden hun persoonlijke gegevens wel invullen als ze een iPad wilden winnen. De gegevens waren in totaal twee weken onbeveiligd." [Bron]

Respons van de organisatie

"Volgens het bedrijf Partoer, dat in opdracht van de gemeente Leeuwarden het onderzoek organiseert, vallen de risico's wel mee. 'Je moet een hele dag lang 10.000 verschillende codes invullen om in te kunnen loggen. Dan is het mogelijk om de enquête van een ander te kunnen bekijken,' stelt zegsvrouw [...] Terecht of niet, het gevolg is wel dat als iemand zich toegang verschaft de enquête toch niet zo anoniem is als beloofd. Niet alleen zijn de vragen zichtbaar, maar ook de naam van de jongere, zijn GSM-nummer en e-mailadres. Die blijken namelijk samen met de antwoorden te worden bewaard. 'In de brief die jongeren hebben ontvangen is aangegeven dat de vragenlijst anoniem is en dat het invullen van de naam en adres niet nodig is. Willen jongeren echter kans maken op de iPad/iPod, dan is het vermelden van een emailadres nodig', zegt [...] van de gemeente Leeuwarden. 'Zoals afgesproken met Partoer worden de persoonsgegevens alleen voor het communiceren over de uitslag van de prijzen gebruikt. Dit is ook in de enquête als zodanig aangegeven.' Maar los van het gebruik blijkt dat de gegevens wel aan elkaar gekoppeld kunnen worden en is er sprake van een persoonsadministratie. [...] De Leeuwarders ontkennen dat dit hun verantwoordelijkheid is. 'Gelet op de verdeling van de verantwoordelijkheden is Partoer hiervoor verantwoordelijk', betoogt [...]. Dat bedrijf zou ook verantwoordelijk zijn voor zaken als beveiliging. 'In de overeenkomst die met Partoer (onderzoeker) is afgesloten is vastgelegd dat zij de geheimhouding van persoonsgegevens waarborgen.'" [Bron]

"De gemeente Leeuwarden zet informatieadviseurs in om de oorzaak van het datalek te vinden waardoor persoonlijke gegevens van jongeren over hun alcohol- en drugsgebruik in te zien waren. 'Wij hebben hierin ook een verantwoordelijkheid.' [...] Tegenover Webwereld ontkende de gemeente verantwoordelijk te zijn voor het waarborgen van de privacy en wees ze naar het bureau, maar tegenover Binnenlands Bestuur geeft de gemeente toe uiteindelijk verantwoordelijk te zijn voor haar burgers. 'De gegevens komen uit onze GBA. Je kunt over de waarborg wel afspraken maken, maar daarmee ben je niet geheel vrijgesproken', aldus een gemeentewoordvoerder. De gemeente vindt de situatie 'heel vervelend' en heeft onmiddellijk informatieadviseurs ingezet om te onderzoeken hoe het lek kon ontstaan en hoe dit in de toekomst kan worden voorkomen. 'We zijn onaangenaam verrast door het lek. Het is de wereld van de techniek tegenover de wereld van het onderzoek. Beiden hebben geen verstand van elkaars vakgebied. Maar we moeten toch een check inbouwen op privacy en veiligheid. Dat is nu onderwerp van gesprek.' Of het ontstaan van het lek ook gevolgen heeft voor de samenwerking met Partoer weet de woordvoerder niet. 'Ook daar zal nog goed over worden gepraat. Maar ik denk dat eerder voor nieuwe onderzoeken eerder een opbouwend kritische toon dan een verwijtende toon wordt gehanteerd.' Of jongeren al klachten hebben ingediend is de woordvoerder ook niet bekend. 'Ik zie ze wel op Webwereld staan. We gaan nog informeren of er reacties zijn binnengekomen.' Het onderzoek zelf is inmiddels van internet gehaald. Hoeveel enquêtes al waren ingevuld is de woordvoerder ook niet bekend. Of de gegevens nog bruikbaar zijn evenmin. 'In principe is er niets mis met de gegevens zelf.' Indien nodig, zal de gemeente de jongeren die hebben meegedaan nog nader informeren. 'Dat is wel zo netjes. We weten niet zeker dat de geegvens niet in verkeerde handen zijn gevallen. Dit had niet mogen gebeuren.'" [Bron]

Bronnen

12/05/23

12/05/25

.