Persoonsgegevens van circa 65.000 overheidsmedewerkers, die hoofdzakelijk werken bij het ministerie van Justitie en Veiligheid, zijn door een datalek op plekken terechtgekomen waar zij niet horen. Dat meldt verantwoordelijk minister Ferd Grapperhaus, die de zaak "hoog opneemt".
De fout ligt volgens Grapperhaus bij een externe medewerker die bij het ministerie kwaliteitscontroles uitvoerde op toegangsdiensten, zoals de Rijkspas waarmee medewerkers het gebouw in en uit kunnen. Hij kopieerde tegen de regels in software naar een "eigen werkomgeving" en vervolgens naar twee andere overheidsdiensten waarvoor hij werkte. Daarbij werden ook de daaraan gekoppelde data gekopieerd.
Het datalek kwam op 30 juni aan het licht toen de GGD GHOR de gekopieerde data tijdens een routinecontrole aantrof op het eigen netwerk. Daarna werden dezelfde data ook aangetroffen bij het Openbaar Ministerie. Het gaat om persoonsgegevens als naam, organisatie, soort dienstverband, paspoortnummer, mailadres, geboorteplaats- en datum, geslacht en nationaliteit. Er zijn geen privéadressen, telefoonnummers of wachtwoorden gelekt.
"Op dit moment heb ik geen indicatie dat deze data door onbevoegden zijn ingezien of gebruikt", schrijft Grapperhaus aan de Tweede Kamer. Er loopt nog een onderzoek dat daar duidelijkheid over moet geven. De gelekte data zijn inmiddels verwijderd of onbruikbaar gemaakt. De personen die voorkomen in het datalek worden daarover geïnformeerd. "Ik betreur het incident zeer en neem dit hoog op", aldus de minister.
Van het datalek is meteen melding gedaan bij de Autoriteit Persoonsgegevens. Beveiligingsbedrijf Fox-IT onderzoekt wat er precies is misgegaan en of de gelekte data door mensen buiten het ministerie van Justitie zijn ingezien. Daarnaast heeft Grapperhaus de accountantsdienst van de rijksoverheid (ADR) gevraagd zwakke plekken in de databeveiliging op het departement op te sporen en met suggesties te komen voor verbetering. Ook loopt er een intern onderzoek.
Grapperhaus benadrukt dat het op zijn ministerie "nadrukkelijk verboden" is vertrouwelijke of privacygevoelige informatie te verwerken op onveilige of zelf meegebrachte apparaten. Hij noemt het "zeer kwalijk" dat dit in dit geval toch lijkt te zijn gebeurd. De minister wacht eerst de uitkomsten van de lopende onderzoeken af. Pas daarna neemt hij een besluit over eventuele vervolgstappen.