Vragen en antwoorden datalek

Over het incident

Wat is er gebeurd?
Op 28 november is een laptop van een leverancier, die voor de gemeente werkzaamheden uitvoert in het kader van de Wet Onroerende Zaakbelasting (WOZ) is gestolen. Mogelijk stonden er gegevens van inwoners (burgerservicenummers, achternamen en initialen, adressen en geboortedata) en bedrijven (inschrijvingsnummer KvK en RSIN-nummer) van de deelnemende gemeente Munitax (Berg en Dal, Beuningen, Druten, Heumen en Wijchen).

Wanneer is de gemeente hiervan op de hoogte gebracht?
De gemeente is op 30 november geïnformeerd over een gestolen laptop van de leverancier. De leverancier heeft melding gemaakt bij het IBD (Informatie BeveiligingsDienst) over diefstal van de laptop. Bij deze melding heeft de leverancier aangegeven op dit moment niet te kunnen achterhalen welke gegevens er op de laptop staan.

Is alleen Munitax getroffen?
Nee, er zijn meerdere gemeenten gedupeerd.

Over de gegevens

Welke gegevens zijn mogelijk naar buiten gekomen?
Gegevens vanuit de applicatie voor de gemeentelijke belastingen. Deze gegevens betreffen onder meer naam, geboortedatum, adresgegevens, geslacht en Burgerservicenummer. Naast de mogelijke persoonlijke gegevens stonden er mogelijk ook gemeentelijke belastinggegevens (Onroerendezaakbelasting) van de eigenaren en huurders op de gestolen laptop.

Stond ook mijn DigiD in de bestanden?
Nee, uw DigiD stond niet in de genoemde bestanden. Ook uw bankrekeninggegevens of e-mailadres kwamen niet in de bestanden voor.

Deze gegevens kwamen NIET voor in de bestanden:

  • geen inlogcodes
  • geen bankrekeningnummer(s)
  • geen DigiD
  • geen e-mailadressen
  • geen wachtwoorden

Over de laptop

Is de laptop beveiligd?
De leverancier, Geotax, had de laptop helaas niet beveiligd.

Heeft de laptop een wachtwoord?
De leverancier, Geotax, had de laptop niet voorzien van een wachtwoord.

Is de data versleuteld opgeslagen?
De data is beveiligd beschikbaar gesteld aan leverancier Geotax en daar vermoedelijk niet versleuteld opgeslagen.

Is de laptop traceerbaar?
Dit heeft Geotax niet bij ons bekendgemaakt.

Is het mogelijk bij deze laptop om op afstand de HD te laten crashen?
Dit heeft Geotax niet bij ons bekendgemaakt.

Over het waarom van het gebruik van een laptop

Waarom stonden de gegevens op een laptop en bijvoorbeeld niet op een server?
Leverancier Geotax kan niet met 100 procent zekerheid aangeven dat de gegevens ook daadwerkelijk op de laptop stonden. We kunnen het dus ook niet uitsluiten. Als de bestanden op de laptop staan, is het ons onbekend waarom dat het geval is.

Over mogelijke consequenties van de diefstal

Is er nu sprake van een 'datalek'?
We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Omdat Munitax niet kan uitsluiten of persoonsgegevens op de laptop door onbevoegden gelezen, gebruikt of vernietigd zijn, is er mogelijk sprake van een datalek.

Hoe groot is de kans op een datalek?
Hoe groot is de kans op identiteitsfraude door deze diefstal?

We kunnen hier geen reële schatting van maken. Wij vermoeden dat de laptop is gestolen om doorverkocht te worden. De harde schijf zal dan gewist worden.

Waarom is er niet met zekerheid te zeggen of mijn gegevens gelekt zijn?
Er is onderzoek gedaan om vast te stellen wat precies op de laptop stond. Dit heeft geen resultaat opgeleverd. De gemeente kan verder niet uitsluiten of gegevens op de laptop door onbevoegden zijn gebruikt of gelezen of zijn vernietigd.

Over misbruik van gegevens

Wanneer weet je dat je gegevens misbruikt worden (op welke signalen moet je letten)?
Wat voorbeelden:

  • U ontvangt brieven van advocaten of incassobureaus en gerechtsdeurwaarders over schulden waar u niets van weet.
  • U ontvangt rekeningen of ontvangstbevestigingen voor goederen of diensten. Maar u heeft deze niet besteld.
  • Op uw bankafschriften of creditcardoverzichten staan uitgaven die u niet herkent.
  • U kunt geen lening krijgen omdat er een signalering op uw naam staat bij het BKR.

Op www.rijksoverheid.nl/identiteitsfraude vindt u meer voorbeelden.

Wat kan een kwaadwillende met deze informatie?
Met alleen het in bezit hebben van een Burgerservicenummer en persoonsgegevens is het risico klein dat men, met uw gegevens, identiteitsfraude zou kunnen plegen. Om een identiteit vast te kunnen stellen is er bewijs nodig dat u die persoon bent. Uw identiteit kan alleen vastgesteld worden door een combinatie van deze gegevens. Maar het is verstandig om alert te blijven op mogelijk misbruik. Op www.rijksoverheid.nl/identiteitsfraude leest u op welke signalen u kunt letten. En hoe u zelf misbruik van persoonsgegevens kunt voorkomen.

Over procedures rond gebruik van privacygevoelige gegevens

Welke maatregelen gaat de gemeente nemen om te zorgen dat in de toekomst mijn gegevens wel goed beschermd zijn?
Munitax heeft op een correcte en veilige manier de gegevens geleverd aan de leverancier. Wij bekijken welke maatregelen wij kunnen nemen om een dergelijke situatie met al onze leveranciers te voorkomen. Bijvoorbeeld door de contracten met externe leveranciers te herzien, waar het gaat over het omgaan met persoonsgegevens. De afspraken zijn soms wel tien jaar oud en de moderne tijd vraagt om strengere beveiliging. Ook zijn we alert op signalen van misbruik. En mogelijk komt er ook een boete voor onzorgvuldig handelen.

Waarom had de leverancier de persoonsgegevens nodig?
De leverancier, Geotax, levert onder andere software waarmee WOZ processen worden uitgevoerd. Daarnaast levert dit bedrijf diensten die Munitax ondersteunt bij het uitvoeren van de processen binnen de Wet WOZ.

De leverancier krijgt bestanden om de data in haar applicaties die Munitax afneemt te verversen. Deze bestanden zijn opgebouwd in het standaard uitwisselingsformaat Stuf TAX (een landelijk uitwisselingsformaat voor de gegevenslevering tussen gemeente en dienstverlener) waarin naast adressen ook personen staan. Munitax gebruikt persoonsgegevens onder andere voor correspondentie en objectafbakening. Munitax levert gegevens aan Rijksbelastingdienst en Waterschap. Het BSN nummer wordt hiervoor gebruikt.

Voor het vaststellen van de waarde van een woning zijn persoonsgegevens niet nodig. Waarom deze dan toch afgeven aan een externe partij?
Voor het bepalen van alleen de waarde zijn inderdaad geen persoonsgegevens nodig, echter in het gehele proces om uitvoer te geven aan de Wet WOZ zijn persoonsgegevens soms noodzakelijk. Uiteraard bekijken wij nu opnieuw naar de noodzaak van het leveren van bepaalde gegevens voor bepaalde werkzaamheden.

Over procedures bij (mogelijke) diefstal van privacygevoelige gegevens

Is de diefstal gemeld bij de autoriteit persoonsgegevens?
Ja.

Is er aangifte hiervan gedaan bij de politie?
Ja, de leverancier heeft aangifte gedaan bij de politie.

Communicatie

Worden de mensen van wie de gegevens op de laptop zaten persoonlijk geïnformeerd (door Munitax)?
Nee. We proberen inwoners te bereiken via de (lokale) krant(en), websites, facebook, twitter en de gemeentepagina in de Koerier. De lijst bevatte namelijk rond de 80.000 inwoners.

Meer informatie

Deze korte animatiefilm geeft aan hoe u identiteitsfraude beter kunt herkennen en hoe u dit kunt voorkomen.
Bron: www.rijksoverheid.nl/identiteitsfraude.

 

Volg ons