Hackers slaan Gigaslag bij gemeente Almelo

ALMELO – Hackers hebben bij de gemeente Almelo zo’n 20 gigabyte aan gegevens gestolen van de gemeentelijke computerservers. Volgens de gemeente betreft het zo goed als zeker persoonsgegevens die zijn gehackt via de netwerkomgeving van het Werkplein, het samenwerkingsverband van de gemeentelijke sociale dienst van o.a. de Twentse gemeenten Almelo, Tubbergen, Wierden, Dinkelland en het UWV. De gestolen data is een enorme hoeveelheid en werd bij toeval ontdekt.  Het hackerssucces werd nog enige tijd verzwegen want het gespecialiseerde bedrijf Securelabs deed vorige week onderzoek naar het lek. Over dat onderzoek hoe en door wie is nauwelijks nog iets bekend. Ook hield de gemeente Almelo niet structureel het dataverkeer bij waardoor niet bekend is hoelang de hackers al hun gang konden gaan.
De diefstal van data-gegevens is gemeld bij de Informatiebeveiligingsdienst Gemeenten van de VNG. Deze instantie voert nu binnen een extra beveiligde computeromgeving simulaties uit hoe de data kon worden ontvreemd, mede omdat op de servers van de gemeente Almelo geen malware werd aangetroffen. De nog onbekende hackers beschikken nu over vertrouwde gegevens van duizenden cliënten en oud- cliënten van de sociale diensten van de betrokken gemeenten en het UWV Twente. Wethouder Javier Cornelissen stelde de gemeenteraad donderdag schriftelijk op de hoogte van de data-hack. Of de gemeente Almelo als uitvoerend orgaan wet Werk en Inkomen voor de andere drie gemeenten, de hack en het verlies van data heeft gemeld bij de Autoriteit Persoonsgegevens, wordt niet duidelijk in de brief aan de gemeenteraad. De gemeente Almelo heeft tot het moment van deze update, in ieder geval geen publieke informatie vermeld over de data-hack op de gemeentelijke website.

Al 1.000 data-lekken gemeldt in 5 maanden na wetswijziging
Vandaag werd eveneens bekend dat privégegevens van 25.000 inwoners van Rotterdam en 8.000 inwoners van Oegstgeest ongeveer twee maanden lang online toegankelijk zijn geweest voor onbevoegden. Een ambtenaar had namen, adresgegevens en burgerservicenummers uit belastingbestanden tussen 1996 tot 2004 van Rotterdammers niet goed afgeschermd. Hetzelfde gebeurde met de gegevens van inwoners van Oegstgeest  over de periode 2007 t/m 2009. Het betrof dezelfde ambtenaar die eerder in dienst was bij een applicatieleverancier. Hij sloeg de gegevens op op zijn laptop en deelde dit onbedoeld met een netwerkschijf die online stond. De gemeenten Rotterdam en Oegstgeest hielden dit al sinds februari onder de pet.

In juni jl. schreef Binnenlands Bestuur een artikel over datalekken bij gemeentelijke overheden. In het artikel wordt gewaggemaakt dat er dagelijks wel een lek bij gemeenten voorkomt. De Autoriteit Persoonsgegevens heeft sinds de invoering van de wettelijke meldingsplicht in januari van dit jaar in vijf maanden tijd al 147 meldingen van data-lekken gekregen. Van regionale samenwerkingsorganen kwamen 24 meldingen. Van provincies 4 en van de waterschappen 1 melding.
Inclusief de meldingen van bedrijven, werden door de  Autoriteit Persoonsgegevens in de eerste 5 maanden van dit jaar al 1.000 meldingen geturfd.