Antwoord op vragen VVD over datalek leerlingenvervoer

Beantwoording Artikel 36 vragen WD betreffende datalek verouderde persoonsgegevens bij aanbesteding van perceel 4 leerlingenvervoer in 2013

Geachte leden van de raad,

Op 28 september 2017 is er een document met persoonlijke informatie van 151 Westfriese leerlingen op de Europese aanbestedingswebsite TenderNed ontdekt. Dit document bevat persoonlijke informatie zoals naam, adresgegevens en de zorgindicatie (bijvoorbeeld een elektrische rolstoel) van betreffend kind. Deze gegevens had de gemeente Hoorn niet in dit document mogen opnemen.

U heeft ons over betreffend datalek een aantal vragen gesteld. Hieronder beantwoorden wij uw vragen.

1. Het gaat om 151 leerlingen waarvan er van 28 individuele leerlingen ook informatie over hun zorgindicatie (zoals een elektrische rolstoel) door de gemeente Hoorn is opgenomen maar destijds niet is verwijderd.

Vraag 1a: Waarom is dit bij de gemeente Hoorn niet gebeurd en bij 330 andere gemeenten wel?

Antwoord: De inschrijvers hebben zoveel mogelijk gegevens nodig om de offerte zo goed mogelijk en nauwkeurig mogelijk te bepalen. Daarbij zijn de routes aangeleverd op basis de destijds bestaande routeplanning. De ritten zijn gebaseerd op de adresgegevens van de desbetreffende reizigers. Daarbij is over het hoofd gezien dat daar specifieke persoonlijke gegevens aan gekoppeld waren. Betreffende data had moeten worden verwijderd.

Vraag 1 b: Tevens vraagt de W D zich af hoe dit heeft kunnen gebeuren. Was dit onoplettendheid, laksheid, onwetendheid of anderszins?

Antwoord: Ten tijde van de aanbesteding in 2013 was men zich onvoldoende bewust van de risico’s die onzorgvuldige omgang met persoonsgegevens met zich mee kan brengen. Door de digitalisering is de noodzaak om zorgvuldig met persoonsgegevens om te gaan gegroeid de afgelopen jaren.

2. Door de al genomen maatregelen (er worden geen persoonsgegevens meer gepubliceerd) gaat het College er vanuit dat dit datalek niet meer kan voorkomen. De maatregelen betreffen het zes ogenprincipe en andere verscherpte veiligheidsmaatregelen.

Vraag 2a: Wat houden die andere verscherpte veiligheidsmaatregelen in?

Antwoord: Het team Onderwijs en doelgroepenven/oer gaat aan de slag met de invoering van de Algemene Verordening Gegevensbescherming (AVG). Daarnaast zijn er twee privacy medewerkers benoemd. Deze personen gaan een training volgen op het gebied van privacy. Met deze kennis kunnen ze een bijdrage leveren aan bewustwording en het treffen van de eventuele maatregelen. Organisatie breed is een privacy beleid vastgesteld, daarnaast worden er diverse bewustwordingscampagnes, trainingen etc. georganiseerd.

Vraag 2b: Welke garantie kan het College afgeven dat dit datalek of andere datalekken door de gemeente Hoorn ten aanzien van privacy gevoelige gegevens over leerlingen niet meer zullen voorkomen?

Antwoord: Datalekken kunnen nooit helemaal worden voorkomen. Waar mensen werken worden fouten gemaakt. De wetgever eist dat er passende technische en organisatorische maatregelen worden getroffen. Een voorbeeld van maatregelen is bewustwordingscampagnes en trainingen. Ref. antwoord bij vraag 2a.

Vraag 2c: Bent u er van op de hoogte dat de Tweede Kamer op 10 oktober 2017 de motie Becker heeft aangenomen die regelt dat gemeenten via een standaard zo snel mogelijk het anonimiseren en beveiligen van leerling gegevens op orde hebben en verwacht u dat dit een oplossing gaat geven om datalekken te voorkomen?

Antwoord: De motie betreft het afsluiten van een convenant tussen de Vereniging van Nederlandse Gemeenten (VNG) en sectororganisaties in het onderwijs, zodat gemeenten via een standaard zo snel mogelijk het anonimiseren en beveiligen van leerling gegevens op orde hebben. De verwachting is zeker dat deze motie een bijdrage gaat leveren aan het voorkomen van datalekken In de toekomst.

Vraag 3: In hoeverre heeft u de ouders van de betreffende leerlingen geïnformeerd over het datalek en de door u getroffen maatregelen om dit in de toekomst te voorkomen?

Antwoord: We hebben ouders geïnformeerd via een brief (zie bijlage), er is een informatiepunt ingericht bij Klant Contact Centrum en er is een melding geplaatst op de website van de gemeente Hoorn.

Vraag 4: Heeft u reactie(s) van de ouders van deze leerlingen gekregen en zo ja, kunt u aangeven wat de reacties waren en hoe u hierop gaat reageren.

Antwoord: Er zijn bij het Klant Contact Centrum en bij de afdeling Doelgroepenvervoer geen reacties van desbetreffende ouders ontvangen. Ook vanuit de regio gemeenten zijn geen reacties binnengekomen.

Wij betreuren de gang van zaken die zijn ontstaan en hebben inmidels maatregelen genomen om ervoor te zorgen dat datalekken in de toekomst worden voorkomen.

Wij hopen u hiermee voldoende te hebben geïnformeerd. Heeft u nog vragen naar aanleiding van deze brief, kunt u contact opnemen met Yvon Trigallez, beleidsadviseur Doelgroepenvervoer.

Met vriendelijke groet.

Namens het college van burgemeester en wethouders,

Burgemeester en wethouders van Hoorn

de secretaris

de burgemeester