Kan een ambtenaar persoonlijk verantwoordelijk worden gesteld op het veroorzaken van een datalek, waarna er volgens het college van B en W geen melding hoeft te worden gemaakt bij de Autoriteit Persoonsgegevens?

Dat vraagt de PvdA in de Asser gemeenteraad zich af. Nadat bekend was geworden dat er in maart van dit jaar een groot datalek was geweest bij de gemeente Assen – waarbij 530 persoonsgegevens na een foutief verstuurde e-mail in verkeerde handen terecht waren gekomen – meldden de sociaaldemocraten dat er daarna nóg een datalek bij de gemeente was geweest.  

Het betrof hier privacygevoelige gegevens, die eveneens vanuit het stadhuis waren verzonden naar een verkeerde ontvanger. Het ging deze keer om medische gegevens en persoonsgegevens. Het eerste voorval was wel gemeld bij Autoriteit Persoonsgegevens, het tweede niet, aldus het college. Volgens B en W hoefde dat niet, omdat de betrokken ambtenaar die de mail verzond persoonlijk als schuldige werd aangemerkt.

‘Het college heeft geconcludeerd dat de opsteller van de mail deze zelf heeft geadresseerd. B en W trekken vervolgens de conclusie dat het daarom niet is te kwalificeren als datalek van de gemeente Assen. Maar is het niet zo, dat een ambtenaar zijn werk verricht námens de gemeente? En dat die een mail niet op persoonlijke titel verzend, maar námens de gemeente? Op welk moment kan een ambtenaar persoonlijk worden aangesproken op zijn werk, waar ligt de verantwoordelijkheid? Kortom, wat ligt eraan ten grondslag dit niet te melden bij de Autoriteit Persoonsgegevens?’

Rengers verwijst vervolgens nog maar eens naar het rapport van de Rekenkamercommissie, die na onderzoek naar de beveiliging van informatie in het gemeentehuis kenbaar maakte dat dit in veel gevallen ‘zo lek als een mandje’ was. En dat er echt iets moest gebeuren om die informatie beter te beschermen. Rengers vraagt zich af wat er met die aanbeveling is  gedaan.

Alles bij de bron; AsserCourant