Schiermonnikoog overtrad mogelijk jarenlang privacywetgeving

In dit artikel:

De gemeente Schiermonnikoog blijkt jarenlang zonder een integraal vastgesteld privacybeleid te hebben gewerkt; dat komt naar voren uit een evaluatie die volgde op een omvangrijk datalek. Bij de ransomware-aanval op afvalverwerker Omrin afgelopen oktober belandden namen, adresgegevens en bsn‑nummers van vrijwel alle inwoners, bedrijven en eigenaren van vakantiewoningen in handen van hackers. Een gemeentelijke medewerker had per ongeluk meer gegevens meegestuurd dan gevraagd (in plaats van alleen postcodes en huisnummers).

In het evaluatierapport staat dat bij drie betrokken organisaties handelingen zijn verricht die niet hadden mogen plaatsvinden. Als reactie heeft de gemeente diverse maatregelen ingezet om toekomstige datalekken te voorkomen, waaronder het officieel invoeren van privacybeleid — iets wat in het rapport als actiepunt staat. „Het klopt dat wij geen integraal vastgesteld privacybeleid hadden”, erkent gemeentesecretaris Trineke Kroeze, die erbij benadrukt dat er wel langer losse maatregelen bestonden en dat die nu worden gebundeld. Het formele beleid is pas in september 2025 vastgesteld en verschijnt niet online, omdat plaatsing niet verplicht is.

De functionaris gegevensbescherming, Sandra van Riet, concludeerde in haar jaarrapport 2024 dat er geen voldoende bewijs van beleid was en zegt verrast te zijn dat haar naam boven het rapport staat. De Autoriteit Persoonsgegevens reageert eveneens verbaasd dat Schiermonnikoog zo laat met een beleid kwam. De gemeente investeert nu in permanente trainingen voor personeel en heeft samen met Vlieland, Ameland en Terschelling een ondersteunende privacy‑officer aangesteld; een tweede jaarrapport wordt binnenkort aan de raad gestuurd.