De gemeente Amersfoort kampt met een datalek. De oorzaak is een cyberaanval op een (voormalig) leverancier. De gemeente lichtte getroffen inwoners in. En deed melding bij de Autoriteit Persoonsgegevens.
Dit bericht BinnenlandsBestuur. Kwaadwillenden maakten misbruik van een zwakke plek in de software van een leverancier. Bij de cyberaanval maakten de criminelen naam, geslacht, burgerservicenummer (BSN) en geboortedatum buit van 13 huidige en 7 voormalige inwoners van Amersfoort. Vier van hen leven niet meer.
Realistische tests
Het gaat om gegevens uit een testomgeving van de voormalig leverancier, waarin naast voornamelijk fictieve persoonsgegevens ook bestaande persoonsgegevens staan. Dat was, volgens de gemeente, nodig om realistische tests uit te voeren voor de werking van het systeem. Deze informatie deelt het college van burgemeester en wethouders in een bericht aan de gemeenteraad.
De gemeente lichtte de getroffen inwoners in. Ook deed men een voorlopige melding bij de Autoriteit Persoonsgegevens (AP). Het contract met de leverancier loopt in februari af en werd al niet verlengd. Op dat moment worden alle data bij de leverancier verwijderd. Dat schrijft het college. Er is nauw contact met de softwareleverancier over het vervolg van dit beveiligingsincident.
Eerdere incidenten
In december 2024 werden duizenden inwoners van Amersfoort slachtoffer van een datalek van een andere leverancier van de gemeente. Het college wil de schade van het eerdere datalek verhalen op deze leverancier. Opvallend aan de eerdere hack is dat men de persoonsgegevens veel te lang bewaarde in afwachting van de voltooiing van een cloudmigratie.
De gemeente hield het vorige lek lang stil, om, zoals men zegt, geen onnodige onrust te veroorzaken. Ditmaal is Amersfoort er echter sneller bij. De voormalige softwareleverancier meldde het lek op 16 januari aan de gemeente, die de voorlopige melding aan de AP deed op 17 januari. De brief aan de raad dateert van 24 januari.