In de FG-Nieuwsbrief van de Autoriteit Persoonsgegevens, de AP stond in de editie van 17 maart 2026 te lezen “datalekken bij misbruik persoonsgegevens bij gemeenten blijven vaak onder de radar”.
De titel intrigeerde mij en wat bleek: het raadplegen van persoonsgegevens door een medewerker die geautoriseerd is om die gegevens te raadplegen is een datalek, wanneer voor het raadplegen geen noodzaak bestaat voor de uitvoering van het werk. Hieronder een stukje uit het verkennend onderzoek (te downloaden via de website van de AP).
Voor mij een leermoment; ik had me dit niet gerealiseerd. Ik moest meteen denken aan de recente ophef rond de inzage van het politiedossier van de moord op Lisa, de verontwaardiging, de schade voor de nabestaanden, de beschuldigingen en de excuses. Daarmee is de misvatting die de AP noemt ineens actueel en met nieuwswaarde. En omdat dit een toelichting is op regelgeving is dit niet alleen een ambtenaren-topic maar een generiek topic dat voor ons allemaal geldt.
Op 9 oktober 2025 verscheen een bericht dat het Albert Schweitzer Ziekenhuis twee medewerkers had ontslagen omdat ze ongeoorloofd in ruim 1.100 dossiers van patiënten hadden gekeken. Ik had dit bericht wel gezien, maar heb me niet meteen gerealiseerd dat dit ook als datalek kwalificeert.
Ik hoor in mijn omgeving dat bij banken het inzien van het eigen dossier of van relaties is verboden en dat hierop wordt gemonitord. Bij ziekenhuizen kan ik me dat ook voorstellen. En bij organisaties die met gevoelige gegevens omgaan.
Maar dit breder: dit betreft alle verwerkingen van persoonsgegevens! En case by case zal de organisatie een afweging moeten maken van het risico op onbevoegde inzage en de technische en organisatorische beveiligingsmaatregelen die dit kunnen voorkomen of inperken. Het risico voor betrokkenen (de slachtoffers) en de kosten van maatregelen zijn daarbij twee aspecten die worden afgewogen (de proportionaliteit).
Een DPIA zou een mooi moment zijn om aan dit onderwerp aandacht te geven. Want onder andere daar ga je kijken naar toegangsrechten. En dus (weet ik nu) ook aan het toezicht op het gebruik van persoonsgegevens door de mensen met toegang.
 |
En misschien nog wel veel belangrijker is de mindset van de mensen met toegang, met name tot gevoelige persoonsgegevens. Men moet zich bewust zijn van de eigen toegangsrechten en wat betrokken dus van jou mogen verwachten. |
Toegangsrechten brengen verantwoordelijkheden met zich mee. Dat moeten we mensen soms vertellen, of in een later stadium herhalen. Awareness voor beschermen van persoonsgegeven is en blijft essentieel.
Voldoen aan de AVG omvat dus ook dit onderdeel. Stond bij mij niet zo expliciet op het netvlies. Bij jou wel?
Peter Westdijk, tekst
AI (Copilot en ChatGPT), grafische bijdragen
