De gemeente Eindhoven meldt een datalek waarbij persoonsgegevens van inwoners en medewerkers mogelijk zijn ingezien. Het gaat om een incident bij een externe IT-dienstverlener die voor de gemeente werkt. Eindhoven onderzoekt wat er precies is gebeurd en welke gegevens zijn geraakt. Het incident roept ook vragen op over de Europese AI-verordening (AI Act) en de gevolgen voor de overheid, die steeds meer digitale systemen inzet.
Gemeente bevestigt datalek
De gemeente zegt dat er persoonsgegevens kunnen zijn buitgemaakt na een digitale inbraak bij een leverancier. Welke data precies zijn getroffen, is op het moment van schrijven nog niet volledig duidelijk. Het onderzoek richt zich op de herkomst van het lek en de omvang van de gegevensset.
Inwoners en medewerkers die geraakt kunnen zijn, worden stap voor stap geïnformeerd. De gemeente stelt een informatiepunt in voor vragen en biedt ondersteuning waar nodig. Ook worden extra beveiligingsmaatregelen genomen om verdere toegang te blokkeren.
Eindhoven heeft melding gedaan bij relevante instanties en werkt samen met experts om systemen door te lichten. Daarbij kijkt men naar logbestanden, toegangsrechten en versleuteling. Doel is om het lek te stoppen en herhaling te voorkomen.
Leverancier blijkt zwakke schakel
Het incident is ontstaan bij een externe IT-leverancier die diensten levert aan de gemeente. Zulke partijen verwerken vaak grote aantallen documenten en accountgegevens. Een fout of aanval in die schakel kan veel mensen raken.
Onder de AVG blijft de gemeente verwerkingsverantwoordelijke, ook als werk wordt uitbesteed. Dat betekent dat Eindhoven moet zorgen voor duidelijke contracten, passende beveiliging en controle op de leverancier. In de praktijk schiet die controle soms tekort door complexiteit en tijdsdruk.
Veel lokale overheden gebruiken cloudsoftware en digitale platforms voor dienstverlening. Dat vergroot gemak, maar ook de afhankelijkheid van derden. Een keten is zo sterk als de zwakste schakel.
AVG en meldplicht gelden direct
Bij een datalek geldt in Europa de Algemene verordening gegevensbescherming (AVG). Organisaties moeten binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP) als er risico is voor betrokkenen. Zij moeten getroffen personen ook informeren als er kans is op schade, zoals identiteitsfraude of phishing.
De AVG verplicht organisaties een datalek binnen 72 uur te melden bij de toezichthouder en betrokkenen te informeren als er een hoog risico is.
De gemeente beoordeelt nu de ernst per categorie gegevens. Versleuteling en dataminimalisatie kunnen de impact beperken; dat zijn basisprincipes uit de AVG. Zijn gevoelige gegevens als BSN of financiële data geraakt, dan is extra waarschuwing en ondersteuning nodig.
De AP kan om aanvullende informatie vragen en geeft richtsnoeren voor opvolging. Denk aan monitoring van misbruik, het loggen van toegang en het versneld patchen van systemen. Ook wordt bekeken of de verwerkersovereenkomst met de leverancier moet worden aangescherpt.
Gevolgen voor inwoners en personeel
Voor inwoners en medewerkers kan het risico liggen bij gerichte phishing en fraude. Criminelen gebruiken vaak echte namen, adressen of dossiernummers om vertrouwen te winnen. Wees daarom alert op onverwachte e-mails, sms’jes en telefoontjes die om persoonlijke gegevens vragen.
De gemeente adviseert om wachtwoorden te vernieuwen als die bij de getroffen dienst zijn gebruikt. Gebruik unieke wachtwoorden en, waar mogelijk, tweefactorauthenticatie. Controleer bankafschriften en MijnOverheid-berichten extra goed.
Dienstverlening van de gemeente blijft in principe beschikbaar. Waar onderdelen tijdelijk worden afgesloten voor onderzoek, worden alternatieven aangeboden. Eindhoven publiceert updates via de website en directe mailings naar betrokkenen.
NIS2 en AI-verordening raken gemeenten
Naast de AVG krijgen publieke organisaties te maken met NIS2, de nieuwe Europese cybersecurityregels. Nederland werkt aan invoering hiervan in nationale wetgeving, op het moment van schrijven voorzien in 2025. NIS2 vraagt om strengere risicobeoordeling, ketenbeheer en incidentrapportage, ook bij toeleveranciers.
De Europese AI-verordening (AI Act) stelt bovendien eisen aan algoritmen die overheden inzetten, bijvoorbeeld in besluitvorming of risicobeoordeling. Zulke systemen vallen vaak in de categorie hoog risico. Dat vereist robuuste dataÂbeheerprocessen, auditbare logs en duidelijke verantwoordelijkheden.
Een datalek raakt direct aan die eisen, omdat datakwaliteit, beveiliging en herkomst centraal staan. Gemeenten zullen bij inkoop van software en AI-diensten strengere contracteisen moeten stellen. Denk aan onafhankelijke audits, versleuteling standaard en heldere exit- en incidentclausules.
Stappen die Eindhoven neemt
De gemeente werkt met de leverancier aan forensisch onderzoek en herstel. Prioriteit is het veiligstellen van systemen en het afsluiten van ongeautoriseerde toegang. Daarna volgt structurele verbetering, zoals het aanscherpen van toegangsbeheer en het verkorten van bewaartermijnen.
Eindhoven beoordeelt verwerkersovereenkomsten opnieuw en verhoogt de eisen voor monitoring en penetratietests. Zero trust-principes, zoals het beperken van rechten tot het strikt nodige, worden breder doorgevoerd. Ook komt er extra training voor medewerkers en leveranciers.
Tot slot volgt transparantie over bevindingen en lessen. Dat is nodig voor vertrouwen van inwoners en als voorbeeld voor andere gemeenten. De uitkomsten kunnen direct richting geven aan inkoop en beheer van digitale systemen en toekomstige AI-toepassingen.
