Datalek privacygevoelige gegevens bij aanbesteding leerlingenvervoer 2015.

  • Een grote gemeente zal zo’n datalek niet gauw overkomen. Meer kennis in huis over ICT. De balans slaat steeds meer door naar de vorming van een gemeente Land van Cuijk. Keerpunt 2010 wil de burgers via een bindend referendum mee laten beslissen over de bestuurlijke toekomst van Grave, Escharen, Gassel en Velp.
    Raadsinformatiebrief

    Datalek privacygevoelige gegevens bij aanbesteding leerlingenvervoer 2015 
    Actieve informatie    J. Joon

    page1image6904

    RTL nieuws is bezig geweest met een onderzoek naar publicatie van persoonsgegevens bij de
    aanbesteding van leerlingenvervoer door gemeenten.
    Hierbij is naar voren gekomen dat 21 gemeenten privacy gevoelige persoonsgegevens hebben
    gepubliceerd. RTL heeft hier op 5 september jl. een nieuwsitem aan besteed. Zie onderstaande link:
    https://www.rtlnieuws.nl/nederland/gevoelige-gegevens-1800-kwetsbare-kinderen-op-straat

    De CGM-gemeenten maken geen deel uit van de 21 genoemde gemeenten. Bij een vervolgonderzoek door
    RTL is echter naar voren gekomen dat ook de CGM-gemeenten bij de aanbesteding in 2015 van het
    leerlingenvervoer gevoelige persoonsgegevens hebben gepubliceerd. Het betreft 70 personen in de
    gemeente Grave.
    Inhoud
    De gemeente is verantwoordelijk voor leerlingenvervoer voor kinderen die niet op een andere wijze naar
    school kunnen, bijvoorbeeld vanwege een beperking. Zij worden dan gebracht en opgehaald met een taxi-
    of rolstoelbus. De gemeente koopt dit leerlingenvervoer in via een zogeheten openbare
    aanbestedingsprocedure. .Alle vervoerders mogen hier een bod voor uitbrengen en daarom worden op een
    landelijke openbare website (Tenderned) documenten met informatie over deze inkoop geplaatst. Om
    inzicht te bieden in de omvang van de opdracht en routes te kunnen berekenen worden
    geanonimiseerde leerlingenlijsten met informatie over de vervoersstromen opgenomen in de
    openbare aanbestedingsdocumenten. Uit het onderzoek van RTL blijkt nu dat in 2015 gepubliceerde
    leerlingenlijsten abusievelijk privacygevoelige informatie bevatten. Deze informatie is mogelijk herleidbaar
    naar individuele leerlingen.
    Deze documenten zijn op 25 september 2017 van de website Tenderned verwijderd.
    page1image19104
    In de betreffende documenten stond de volgende informatie:
    •   Adresgegevens van de leerlingen: straatnaam + huisnummer, postcode en plaatsnaam alsmede
      voor zover van toepassing een eventueel afwijkend ophaal- of afzetadres (met name
      buitenschoolse opvangadressen)
    •   Gegevens van de scholen: naam school, straat + huisnummer, postcode en plaatsnaam,
      schooltijden
    •   Soort vervoer: taxi- of rolstoelbus
    •   Ingangs- en einddata vervoer
      In deze documenten stond niet de volgende informatie:
    •   Namen van de leerlingen*
    •   Burgerservicenummer (BSN) van de leerlingen
    •   Geboortejaar van de leerlingen

      *Bij 2 personen wordt een voornaam vermeld. In combinatie met een afwijkend adres.
      Bij 1 persoon is er een vermelding van een afwijkend adres in de vorm van een woongroep

      Informatie aan ouders
      Alle betrokken ouders zijn inmiddels per brief geïnformeerd. Hierbij wordt ouders inzicht geboden in de
      gepubliceerde informatie.
      Melding datalek bij Autoriteit Persoonsgegevens
      Als privacygevoelige informatie openbaar is geworden (datalek), dan is de gemeente verplicht om daar
      melding van te doen bij de Autoriteit Persoonsgegevens (AP). Op 22 september 2017 is het datalek gemeld.
      Consequenties voor ouders
      Bij de melding aan de AP hebben wij de inschatting gemaakt dat het minder aannemelijk is dat de informatie
      in deze documenten leidt tot (identiteits)fraude.
      Consequenties gemeente
      De AP zal naar verwachting nu met name monitoren welke acties de gemeente gaat ondernemen om
      herhaling in de toekomst te voorkomen. Eventueel kan de AP overgaan tot het opleggen van een boete.

      Mogelijk zullen ouders juridische stappen ondernemen richting gemeente.

      Voorkoming datalekken in het algemeen en bij aanbestedingen van persoonsgebonden
      voorzieningen in het bijzonder.

      Intern is een scholingstraject uitgezet voor alle medewerkers gericht op informatieveiligheid en
      privacy, waarbij ook nadrukkelijk wordt ingegaan op het omgaan met persoonsgegevens.
      Daarnaast wordt de procedure m.b.t. het (aanleveren van gegevens t.b.v.) aanbesteden zodanig herzien dat
      er in deze procedure een nadrukkelijk toetsing plaatsvindt op de gegevens die gepubliceerd zullen worden.

    Hoogachtend,
    burgemeester en wethouders van Grave,

    drs. J.J.L. Heerkens
    secretaris
    A.M.H. Roolvink MSc
    burgemeester

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

%d bloggers liken dit: