"Schokkend": Gemeentebestuurders mailen vertrouwelijke info naar privé-Gmail – experts slaan alarm

Begin januari 2025 vraagt de toenmalige gemeentesecretaris van Alphen aan den Rijn in een mail aan een ambtenaar: „Wil je dit soort dingen voortaan naar mijn privé zenden s.v.p.?” De ambtenaar antwoordt een minuut later braaf: „Excuus, doe ik normaal wel. Te snel verstuurd.” De mailwisseling, die vertrouwelijke informatie bevatte, kwam naar boven via een Woo-verzoek van het AD Groene Hart. Het is geen incident. Uit de opgevraagde documenten blijkt dat tientallen keren gevoelige informatie werd verstuurd naar of vanaf privé-e-mailadressen. Meerdere (oud-)bestuurders en hoge ambtenaren deden eraan mee.

Gemeenten hebben hele boeken vol protocollen over digitale veiligheid en privacy. Het beschermen van burgerservicenummers, persoonlijke dossiers en andere gevoelige data zou topprioriteit zijn. Toch omzeilen bestuurders en topambtenaren diezelfde protocollen doodleuk door naar onbeveiligde privé-accounts te mailen.

Hoogleraar privacy- en gegevensbeschermingsrecht Gerrit-Jan Zwenne (Universiteit Leiden) is duidelijk in zijn oordeel: „Dit is wel schokkend. In de eerste plaats omdat een gemeentesecretaris en andere mensen in de top van de organisatie het goede voorbeeld moeten geven. Anders zouden medewerkers kunnen denken: oh, dan mag ik het ook. Dat kan niet, natuurlijk.” Zwenne wijst op meerdere risico’s. Je omzeilt veiligheidsprotocollen, de mail belandt mogelijk op servers buiten Nederland, en een buitenlands regime kan er toegang toe krijgen. „Om meerdere redenen zorgelijk”, vat de hoogleraar het samen. Hij heeft enig begrip voor het gemak: soms is het makkelijker om even niet al die ingewikkelde beveiligingsstappen te doorlopen. Maar dat verandert niets aan het oordeel: het is dom, riskant en onverantwoord.

Dit is precies het soort hypocrisie waar burgers steeds meer genoeg van krijgen. Van bovenaf wordt gehamerd op strenge AVG-regels, datalekken en digitale veiligheid – met boetes en moralistische vermaningen richting burgers en bedrijven. Maar als het erop aankomt, gelden voor de bestuurlijke elite blijkbaar andere regels. Of liever: helemaal geen regels.

Hoeveel gevoelige persoonsgegevens van Alphenaren nu rondslingeren op privé-servers weten we niet. Wel weten we dat dit soort slordigheid precies het soort lekken in de hand werkt waar later weer dure onderzoeken en excuses op volgen.

De les is pijnlijk eenvoudig: als de top zelf de regels aan de laars lapt, waarom zou de rest van de organisatie zich er dan nog aan houden? En waarom zou de burger nog vertrouwen hebben in de digitale veiligheid van zijn eigen overheid?

Het wordt tijd dat gemeenten niet alleen protocollen schrijven, maar ze ook zelf naleven. Vooral als het om de privacy van hun eigen inwoners gaat.