Schiermonnikoog overtrad mogelijk jarenlang privacywetgeving

zaterdag, 11 april 2026 (07:12) - Leeuwarder Courant

In dit artikel:

De gemeente Schiermonnikoog blijkt jarenlang zonder een integraal vastgesteld privacybeleid te hebben geopereerd, zo volgt uit interne evaluaties na een groot datalek. Bij een ransomware-aanval op afvalverwerker Omrin in oktober kwamen namen, adressen en bsn-nummers van vrijwel alle eilandbewoners, bedrijven en eigenaren van vakantiewoningen in handen van hackers. Dat lek werd deels veroorzaakt doordat een gemeentemedewerker per ongeluk een uitgebreidere lijst meestuurde dan gevraagd werd; Omrin had alleen om postcodes en huisnummers verzocht.

In de evaluatie staat dat bij drie verschillende organisaties onjuiste handelingen zijn verricht. Als reactie neemt de gemeente diverse maatregelen om toekomstige datalekken te voorkomen; één actiepunt is expliciet het implementeren van een privacybeleid. Dat leidde tot vragen: gemeentesecretaris Trineke Kroeze bevestigt dat er geen integraal vastgesteld beleid bestond, maar benadrukt dat er wel al langdurig stappen zijn gezet om persoonsgegevens te beschermen. Volgens Kroeze is er in september 2025 wel een privacybeleid vastgesteld; dat document wordt intern gebruikt en staat niet online omdat dat niet verplicht is.

De functionaris gegevensbescherming, Sandra van Riet, concludeerde in haar jaarrapport over 2024 al dat er geen privacybeleid was; de gemeente liet haar slechts één document zien, onvoldoende bewijs volgens haar. De Autoriteit Persoonsgegevens reageert verbaasd en noemt het laat invoeren van beleid opvallend. De gemeente investeert inmiddels in bewustwording en permanente trainingen voor personeel. Begin vorig jaar is bovendien een ondersteunende privacy officer aangesteld, samen met de andere Waddeneilanden; een tweede jaarrapport over gegevensbescherming wordt binnenkort aan de gemeenteraad aangeboden om voortgang te tonen.

Context: onder de AVG zijn overheden verplicht beleid en passende maatregelen te hebben om persoonsgegevens te beschermen; het gebrek daaraan verhoogt risico op schade, boetes en verlies van vertrouwen.