DE STEEG – Meerdere inwoners van de gemeente Rheden zijn slachtoffer geworden van een ernstig datalek. Door een fout van een ambtenaar van de gemeente Rheden zijn veel gevoelige persoonsgegevens, waaronder het burgerservicenummer, terechtgekomen bij een bedrijf dat die informatie helemaal niet mocht ontvangen.
Dat bedrijf weigert de gegevens te verwijderen en zegt ze te willen gebruiken voor eigen bedrijfsbelangen.
Studio Rheden ontdekte het lek
Studio Rheden kwam na eigen onderzoek achter de omvang van het datalek. De gemeente Rheden heeft de gedupeerde al per brief geïnformeerd. Maar was zelf niet van plan om alle inwoners hierover te informeren.
Fout bij Woo-verzoek
De blunder van de gemeente Rheden ontstond bij het beantwoorden van een Woo-verzoek (voorheen WOB) op basis van de Wet open overheid. Bij het versturen van documenten zijn niet alle persoonsgegevens goed weggehaald. Daardoor werden de gegevens gedeeld met een bedrijf.
Een dag later, op 16 januari 2026, ontdekte de gemeente Rheden het lek. Er is direct een onderzoek gestart bij de medewerkers van de betreffende afdeling. Daaruit blijkt dat de gegevens (volgens de gemeente) één keer zijn gedeeld. Volgens de gemeente is er geen bewijs dat de informatie verder is verspreid. Maar uitgesloten kan dat niet worden.
Bedrijf weigert te wissen
De gemeente heeft het bedrijf (bekend bij de redactie) meteen gevraagd de onterecht ontvangen gegevens te verwijderen. Dat verzoek is geweigerd. Het bedrijf heeft (volgens de gemeente) laten weten de gegevens zelfs te willen gebruiken voor eigen bedrijfsbelangen ook al heeft het bedrijf geen bevoegdheid om de gegevens te gebruiken.
Tekst gaat verder onder de foto
Risico op identiteitsfraude
Hoewel namen van de inwoners niet zijn gedeeld, zijn de gegevens wel herleidbaar tot de personen. Het burgerservicenummer is een gevoelig gegeven. Daarmee kunnen instanties iemands identiteit controleren. Misbruik kan leiden tot identiteitsdiefstal, fraude en financiële schade.
De gemeente heeft alle bewuste inwoners van de gemeente gewaarschuwd voor ongewenste benadering door commerciële partijen. Ook bestaat het risico dat derden proberen aanvullende persoonsgegevens te verzamelen.
Melding bij Autoriteit Persoonsgegevens
Het datalek is wel gemeld bij de Autoriteit Persoonsgegevens (AP). De toezichthouder is geïnformeerd over de manier waarop het ontvangende bedrijf met de gegevens omgaat. De gemeente Rheden gaat het lek niet aan haar inwoners melden. Het is niet bekend of de afgelopen jaren al vaker een datalek is geweest.
Volgens de gemeente is de technische beveiliging niet doorbroken. Het gaat hier om een menselijke fout. Om herhaling te voorkomen, wordt het proces rond Woo-verzoeken nu aangescherpt. Ook komt er extra aandacht voor bewustwording bij medewerkers over het omgaan met persoonsgegevens. Hoe, is niet bekendgemaakt.
Wat kan de inwoner doen?
De gemeente adviseert alle inwoners die een brief hebben gekregen alert te zijn op ongevraagde benaderingen aan de deur of per post. Ook wordt gewaarschuwd voor partijen die zich voordoen als de gemeente en om extra persoonsgegevens vragen.
Bij vermoeden van misbruik kan contact worden opgenomen met de Fraudehelpdesk. Daarnaast wijst de gemeente erop dat op grond van de AVG schadevergoeding kan worden gevorderd bij de gemeente Rheden als er schade ontstaat door het datalek.
