Schiermonnikoog blundert bij Omrin-hack met privégegevens inwoners. 'Had nooit mogen gebeuren'

woensdag, 5 november 2025 (14:26) - Leeuwarder Courant

In dit artikel:

De gemeente Schiermonnikoog stuurde per vergissing een bestand met namen, woonadressen en de burgerservicenummers (bsn’s) van alle inwoners naar afvalverwerker Omrin. Dat bestand was bedoeld om bewoners te informeren over nieuwe tags voor ondergrondse containers, maar bevatte onbedoeld te veel persoonsgegevens, waaronder ook gegevens van bedrijven en eigenaren van vakantiewoningen op het eiland.

Op 12 oktober 2024 werd Omrin het doelwit van een grote cyberaanval. Twee weken later publiceerden de aanvallers duizenden documenten van het afvalbedrijf; daartussen zat het door Schiermonnikoog geleverde bestand met de bsn’s. Omrin had volgens zowel de gemeente als een woordvoerder van het afvalbedrijf dat soort nummers niet mogen verzamelen — alleen specifieke organisaties in sectoren als zorg en onderwijs mogen bsn’s bewaren.

De fout kwam volgens burgemeester Ineke van Gent voort uit het delen van een bestand met te veel informatie door een gemeentemedewerker. De gemeente meldt dat er later intern een privacyonderzoek loopt. Toen de gegevens in 2024 naar Omrin zijn gestuurd, werd daar geen melding van gemaakt bij de Autoriteit Persoonsgegevens (AP), zoals de AVG vereist bij een datalek binnen 72 uur. De gemeente en Omrin deden pas melding nadat de data uitlekten bij de hack. De AP ziet het toesturen van bsn’s naar een derde partij als een datalek, al kan de vraag of er direct een meldplicht bestond in dit specifieke geval juridisch gezien discussie oproepen als de ontvanger een zakelijke relatie was en werd gevraagd de data te verwijderen.

Beveiligingsexperts waarschuwen dat bsn’s in combinatie met naam en adres sterk de kans op identiteitsfraude vergroten; het bsn is niet vervangbaar en maakt het voor criminelen makkelijker om phishing of andere vormen van misleiding te plegen. Omrin zegt spijt te hebben van het incident en stelt dat procedures zijn aangescherpt; de gemeente benadrukt dat de schade pas echt groot is als kwaadwillenden misbruik maken van de gegevens.

Voor inwoners betekent dit risico op gerichte fraude via valse e-mails of telefoontjes. Het is verstandig alert te zijn op ongevraagde berichten, bankzaken en identiteitsgebruik te monitoren, verdachte berichten te melden bij gemeente of instanties en indien nodig advies in te winnen over verdere bescherming. Op bestuursniveau roept de zaak vragen op over interne gegevenshandelingen bij gemeenten en over hoe strikt organisaties omgaan met de wettelijke regels rond het bewaren en delen van bsn’s.