Hooghiemstra & Partners onderzoekt datalek in gemeente Eindhoven
Binnen de gemeente Eindhoven was eind vorig jaar sprake van een datalek. Vele bestanden belandden hierdoor op het internet. Adviesbureau Hooghiemstra & Partners heeft in opdracht van de gemeente een onderzoek uitgevoerd naar het incident.
Het gaat om persoonsgegevens van inwoners en medewerkers. Deze zijn door het datalek verstuurd naar openbare AI-websites zoals ChatGPT en Gemini. Daarover lichtte de gemeente Eindhoven de Autoriteit Persoonsgegevens (AP) eind vorig jaar in.
De Noord-Brabantse gemeente en de AP waren de jaren daarvoor al veelvuldig met elkaar in contact. Eindhoven stond tot medio oktober 2025 namelijk onder verscherpt toezicht van de AP, die zorgen had over de manier waarop de gemeente persoonsgegevens beschermde.
De AP had begin oktober vorig jaar echter het idee dat Eindhoven zich op dit vlak had verbeterd en verloste de gemeente – na een periode van twee jaar – van het verscherpt toezicht.
Kort daarop kwam de kwetsbare beveiliging van Eindhoven echter weer aan het licht. Uit een steekproef die de gemeente zelf uitvoerde tussen 23 september 2025 en 23 oktober dat jaar, bleek onder andere dat Jeugdwetdocumenten, verslagen en cv’s waren geüpload naar openbare AI-websites.
“Het is alleen op basis van de persoonsnaam te achterhalen of er bestanden met die naam zijn geüpload in de periode van 23 september tot 23 oktober”, laat de gemeente weten in een publieke reactie.
In die reactie geeft de gemeente ook aan dat het niet is vast te stellen of er vóór 23 september eveneens persoonsgegevens zijn gelekt. Dergelijke data wordt maar 30 dagen bewaard. Hierdoor is het dus ook niet mogelijk om gedupeerden te informeren.
Extern onderzoek
Nadat Eindhoven de AP had geïnformeerd over het datalek, schakelde de gemeente Hooghiemstra & Partners in voor een onderzoek naar het datalek. Eind vorig jaar rondde het adviesbureau zijn analyse af.
In zijn onderzoeksrapport bevestigt Hooghiemstra & Partners het eerder door de gemeente Eindhoven geschetste beeld van het datalek. Verder adviseert het bureau de gemeente onder meer om haar medewerkers beter in te lichten over het gebruik van AI. Een algemene bewustwordingscampagne voor alle inwoners kan volgens het adviesbureau ook nuttig zijn.
In een brief aan de gemeenteraad benadrukt de gemeente Eindhoven het belang van het onderzoek van Hooghiemstra & Partners. Daarin geeft de gemeente ook aan geschrokken te zijn van het datalek. “Het is heel vervelend voor inwoners en medewerkers en het is betreurenswaardig dat niet precies bekend is om welke gegevens het gaat. De gemeente Eindhoven doet er alles aan om dit in de toekomst te voorkomen.”
AI-websites geblokkeerd
Na de ontdekking van het datalek blokkeerde de gemeente op eigen initiatief direct alle openbare AI-websites. Hierdoor kunnen medewerkers sinds 23 oktober 2025 alleen nog maar gebruikmaken van Copilot Chat – die AI-tool is volgens de gemeente wel veilig.
In een poging de schade van het datalek te beperken, heeft de gemeente Eindhoven contact gezocht met OpenAI – het bedrijf achter ChatGPT – en verzocht om de eerder geüploade bestanden te verwijderen.
Verder heeft Eindhoven de interne monitoring van het dataverkeer naar externe websites verscherpt. “Daarnaast lopen er al trajecten op het gebied van gegevensbescherming”, meldt de gemeente in haar publieke reactie.
“Het is te prijzen dat de gemeente Eindhoven na het datalek zelf maatregelen heeft getroffen, een uitgebreid feitenonderzoek heeft gedaan en van deze situatie wil leren”, schrijft Hooghiemstra & Partners in zijn rapport.
Meer aandacht
Na het verscherpte toezicht van de AP heeft de gemeente Eindhoven een nieuw team ingezet voor het optimaliseren van haar gegevensbescherming. Dat team zal zich de komende tijd onder andere gaan bezighouden met een rapport van de Eindhovense Rekenkamer. Dat bevat aanbevelingen over hoe de gemeente beter zou kunnen omgaan met AI.
