De gemeente Utrecht is in de fout gegaan met het anonimiseren van Wob-verzoeken. De gemeente publiceerde op haar website afgelopen maanden de namen van zeker achttien indieners van een Wob-verzoek, terwijl die anoniem hadden moeten blijven. “We zien inderdaad persoonsgegevens die daar niet mogen staan”, zegt de gemeente in een reactie.
Beveiligingsincident bij gemeente Utrecht; namen van indieners Wob-verzoeken gepubliceerd
Via een verzoek op basis van de Wet openbaarheid van bestuur (Wob) kan iedereen documenten opvragen bij de gemeente. Dit soort verzoeken wordt door de gemeente op haar website geplaatst, waarbij persoonsgegevens van onder meer de indiener van het Wob-verzoek geanonimiseerd worden. DUIC ontdekte begin deze week dat het daar misging bij de gemeente Utrecht.
De namen waren in de documenten zelf wel zwartgelakt, maar in de link die naar de documenten op de website leidde, stond de achternaam van de indiener. De fout met de URL werd afgelopen maanden zeker achttien keer gemaakt.
Volgens de Algemene Verordening Gegevensbescherming (AVG) en de Wet openbaarheid van bestuur (Wob) moeten de persoonsgegevens van de indiener van een Wob-verzoek onleesbaar worden gemaakt, schrijft de gemeente Utrecht op haar website. Hoewel de namen in de documenten zelf wel waren weggelakt, was bij de gemeente Utrecht in een aantal gevallen dus makkelijk te achterhalen wie welk Wob-verzoek had ingediend.
Tekst loopt door onder afbeelding
[caption id=”attachment_365472” align=”aligncenter” width=”1024”]
Zo was onder meer de achternaam te achterhalen van een Utrechter die vroeg om kopieën van documenten die door de gemeente Utrecht werden aangeleverd aan politie en justitie. Weer iemand anders had een verkeersboete gehad en vroeg bij de gemeente om een lijst met de in de afgelopen zes jaar in Rivierenwijk uitgeschreven boetes voor hetzelfde vergrijp – parkeren binnen vijf meter van een kruispunt. Ook zijn achternaam stond in de link op de gemeentewebsite.
Een ander Wob-verzoek waarbij het misging, had betrekking op de koopovereenkomst van een huis in een Utrechtse straat. In de URL stond een achternaam, waardoor in combinatie met de straatnaam de vermoedelijke indiener via het telefoonboek makkelijk te achterhalen was.
Reactie
De gemeente Utrecht heeft donderdag gereageerd op de gepubliceerde persoonsgegevens. “We hebben jullie signaal doorgegeven en een datalek gemeld. Die melding wordt bekeken”, reageert een woordvoerder. “Los daarvan gaan we bij de zaken waar persoonsgegevens te zien zijn die niet te zien zouden moeten zijn nu zo snel mogelijk die gegevens verwijderen.”
Op grond van de AVG is de gemeente naar eigen zeggen zelf verantwoordelijk voor het doen van een eerste beoordeling. Het incident is daarop gemeld bij de DISO (Decentrale Informatie- en Security Officer) van de gemeente. Die oordeelt dat het gaat om een beveiligingsincident en niet om een datalek. Het incident is volgens de woordvoerder om die reden niet gemeld bij de Autoriteit Persoonsgegevens.
