4 okt. 2017

Datalek privacygevoelige gegevens bij aanbesteding leerlingenvervoer 2015.

  • Een grote gemeente zal zo'n datalek niet gauw overkomen. Meer kennis in huis over ICT. De balans slaat steeds meer door naar de vorming van een gemeente Land van Cuijk. Keerpunt 2010 wil de burgers via een bindend referendum mee laten beslissen over de bestuurlijke toekomst van Grave, Escharen, Gassel en Velp.

    Raadsinformatiebrief


    Datalek privacygevoelige gegevens bij aanbesteding leerlingenvervoer 2015 

    Actieve informatie    J. Joon


    page1image6904

    RTL nieuws is bezig geweest met een onderzoek naar publicatie van persoonsgegevens bij de aanbesteding van leerlingenvervoer door gemeenten.
    Hierbij is naar voren gekomen dat 21 gemeenten privacy gevoelige persoonsgegevens hebben gepubliceerd. RTL heeft hier op 5 september jl. een nieuwsitem aan besteed. Zie onderstaande link: https://www.rtlnieuws.nl/nederland/gevoelige-gegevens-1800-kwetsbare-kinderen-op-straat


    De CGM-gemeenten maken geen deel uit van de 21 genoemde gemeenten. Bij een vervolgonderzoek door RTL is echter naar voren gekomen dat ook de CGM-gemeenten bij de aanbesteding in 2015 van het leerlingenvervoer gevoelige persoonsgegevens hebben gepubliceerd. Het betreft 70 personen in de gemeente Grave.

    Inhoud
    De gemeente is verantwoordelijk voor leerlingenvervoer voor kinderen die niet op een andere wijze naar school kunnen, bijvoorbeeld vanwege een beperking. Zij worden dan gebracht en opgehaald met een taxi- of rolstoelbus. De gemeente koopt dit leerlingenvervoer in via een zogeheten openbare aanbestedingsprocedure. .Alle vervoerders mogen hier een bod voor uitbrengen en daarom worden op een landelijke openbare website (Tenderned) documenten met informatie over deze inkoop geplaatst. Om inzicht te bieden in de omvang van de opdracht en routes te kunnen berekenen worden geanonimiseerde leerlingenlijsten met informatie over de vervoersstromen opgenomen in de openbare aanbestedingsdocumenten. Uit het onderzoek van RTL blijkt nu dat in 2015 gepubliceerde leerlingenlijsten abusievelijk privacygevoelige informatie bevatten. Deze informatie is mogelijk herleidbaar naar individuele leerlingen.
    Deze documenten zijn op 25 september 2017 van de website Tenderned verwijderd.

    page1image19104
    In de betreffende documenten stond de volgende informatie:
    •   Adresgegevens van de leerlingen: straatnaam + huisnummer, postcode en plaatsnaam alsmede voor zover van toepassing een eventueel afwijkend ophaal- of afzetadres (met name buitenschoolse opvangadressen)
    •   Gegevens van de scholen: naam school, straat + huisnummer, postcode en plaatsnaam, schooltijden
    •   Soort vervoer: taxi- of rolstoelbus
    •   Ingangs- en einddata vervoer

      In deze documenten stond niet de volgende informatie:
    •   Namen van de leerlingen*
    •   Burgerservicenummer (BSN) van de leerlingen
    •   Geboortejaar van de leerlingen

      *Bij 2 personen wordt een voornaam vermeld. In combinatie met een afwijkend adres.
      Bij 1 persoon is er een vermelding van een afwijkend adres in de vorm van een woongroep


      Informatie aan ouders
      Alle betrokken ouders zijn inmiddels per brief geïnformeerd. Hierbij wordt ouders inzicht geboden in de gepubliceerde informatie.

      Melding datalek bij Autoriteit Persoonsgegevens
      Als privacygevoelige informatie openbaar is geworden (datalek), dan is de gemeente verplicht om daar melding van te doen bij de Autoriteit Persoonsgegevens (AP). Op 22 september 2017 is het datalek gemeld.

      Consequenties voor ouders
      Bij de melding aan de AP hebben wij de inschatting gemaakt dat het minder aannemelijk is dat de informatie in deze documenten leidt tot (identiteits)fraude.

      Consequenties gemeente
      De AP zal naar verwachting nu met name monitoren welke acties de gemeente gaat ondernemen om herhaling in de toekomst te voorkomen. Eventueel kan de AP overgaan tot het opleggen van een boete.

      Mogelijk zullen ouders juridische stappen ondernemen richting gemeente.


      Voorkoming datalekken in het algemeen en bij aanbestedingen van persoonsgebonden voorzieningen in het bijzonder.

      Intern is een scholingstraject uitgezet voor alle medewerkers gericht op informatieveiligheid en privacy, waarbij ook nadrukkelijk wordt ingegaan op het omgaan met persoonsgegevens. Daarnaast wordt de procedure m.b.t. het (aanleveren van gegevens t.b.v.) aanbesteden zodanig herzien dat er in deze procedure een nadrukkelijk toetsing plaatsvindt op de gegevens die gepubliceerd zullen worden.



    Hoogachtend,
    burgemeester en wethouders van Grave,

    drs. J.J.L. Heerkens secretaris
    A.M.H. Roolvink MSc burgemeester

Geen opmerkingen: