En mis ging het: in juni dit jaar nog. Uit antwoorden op vragen van D66-raadslid Annemieke Strijers bleek dat een medewerkers van de gemeente Leiden ‘veelvuldig persoonsgegevens had geraadpleegd’ zonder daar bevoegd voor te zijn. Burgemeester en wethouders hebben toen een ‘passende disciplinaire maatregel’ opgelegd en beterschap beloofd. Die beterschap is neergeslagen in officieel beleid dat naast Leiden ook voor Oegstgeest, Leiderdorp en Zoeterwoude geldt.

Nieuwe functie

De afdelingshoofden worden nu verantwoordelijk voor het zorgvuldig gebruik van persoonsgegevens, daarbij ondersteund door ‘experts’. Om te voorkomen dat alle afdelingen met hun experts zelf aan de slag gaan, komt er een functionaris gegevensbescherming. Die functionaris krijgt het druk. Hij is niet alleen adviseur, maar moet ook de verwerking van de gegevens controleren, incidenten onderzoeken en regelmatig melden aan het stadsbestuur en is contactpersoon met het College Bescherming Persoonsgegevens in Den Haag. De functionaris is nog niet aangesteld.

Meld kwetsbaarheden

Vanaf 1 januari 2016 is de gemeente ook verplicht ‘datalekken’ te melden. Een lek kan ontstaan door een virtuele inbreker in de gemeentelijke systemen (hackers), een zoekgeraakte USB-stick of rondsnuffelen in gegevens zonder daartoe bevoegd te zijn. Het stadsbestuur neemt die de bescherming van de gegevens en het sluitend houden van de systemen zo serieus, dat ze deze week heeft opgeroepen om kwetsbaarheden in haar systemen te melden.

Beloning

Gebruikers van Leidse computersystemen kunnen daar bij toeval op stuiten of actief naar op zoek gaan. Wie dat doet en het lek in de systemen niet misbruikt, hoeft volgens dit nieuwe beleid geen straf te vrezen. Sterker: er is zelfs een (maximale) beloning van driehonderd euro vrijgemaakt, ,,afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding”.