Gegevens medewerkers gemeente Hengelo op aanbestedingswebsite, onderzoek naar mogelijk datalek
De gemeente Hengelo heeft bij het uitzetten van een externe opdracht de personeelsgegevens van zes medewerkers gepubliceerd op een aanbestedingswebsite. Hoewel namen ontbreken, zijn in meerdere excel-bestanden onder meer personeelsnummers, woonplaats, geslacht, geboortedata, contractgegevens en salarisinformatie te zien, blijkt uit een data-analyse van 1Twente. De gemeente stelt een onderzoek in. "Als er sprake is van een datalek, dan worden noodzakelijke vervolgstappen genomen."
De personeelsgegevens zijn opgenomen in de aanbestedingsstukken van een opdracht voor beveiligingsdiensten voor het stadhuis en de vluchtelingenopvang aan de Hazenweg. Geïnteresseerde bedrijven konden de afgelopen maanden inschrijven op deze werkzaamheden. Onderdeel van de opdracht aan de partij die deze klus wordt gegund, is het overnemen van een aantal personeelsleden in de functie van beveiliger.
Arbeidsongeschikt
In de overzichten zijn, naast contracturen en hoogte van salarissen, ook vergoedingen en aanvullende afspraken te zien, zoals reiskosten en inzetbaarheid. Bij één medewerker staat bijvoorbeeld vermeld dat deze niet in de nacht of in het weekend inzetbaar is. Een andere werknemer is uitsluitend inzetbaar tijdens de dagdienst. Ook blijkt uit het document dat twee medewerkers arbeidsongeschikt zijn.
Een woordvoerder van de gemeente wijst er maandag op dat 'gegevens van medewerkers gepseudonimiseerd zijn opgenomen in de aanbestedingsdocumenten en dat het de betreffende gegevens beschikbaar moet stellen op de aanbestedingswebsite'.
'Dezelfde informatie'
"Alle geïnteresseerde partijen moeten dezelfde informatie hebben. Dit is belangrijk, omdat er volgens de CAO een verplichting kan gelden om personeel van de huidige leverancier over te nemen. Om het prijzenblad goed in te vullen, moet een inschrijver weten wat de financiële gevolgen kunnen zijn van zo’n overname."
Gepseudonimiseerd?
Gepseudonimiseerd betekent dat persoonsgegevens zo zijn verwerkt zodat ze niet direct naar een individu herleidbaar zijn, maar dat betekent niet dat de gegevens volledig anoniem zijn. Juridisch wordt gepseudonimiseerde data beschouwd als persoonsgegevens onder de AVG en vereisen dus nog steeds beveiliging.
Bijzondere persoonsgegevens
Het openbaar maken van de betreffende personeelsgegevens op een openbaar platform is mogelijk in strijd met privacywetgeving. Informatie over arbeidsongeschiktheid is daarnaast extra gevoelig en mag volgens de wet vrijwel nooit openbaar worden gemaakt. Die informatie valt onder bijzondere persoonsgegevens, waarvoor volgens de privacywetgeving strengere regels gelden dan voor gewone persoonsgegevens. (artikel 9 AVG)
Lees verder onder de afbeelding.
Hoewel de namen van de zes medewerkers niet expliciet worden genoemd, kunnen de specifieke gegevens wel degelijk herleidbaar zijn tot de betreffende personen. De combinatie van functie, werklocatie, salaris, contractvorm en inzetbaarheid kan herkenbaar zijn voor collega’s of andere betrokkenen en schaadt daarmee dus de privacy van de betreffende werknemers.
Onderzoek naar datalek
Of er sprake is van een datalek kan de gemeente niet zeggen. De gemeente heeft met de bevindingen van 1Twente intern een melding gedaan naar de betreffende data.
"De melding wordt onderzocht volgens de vastgestelde datalekprocedure van de gemeente Hengelo. Op basis van dit onderzoek wordt vastgesteld of er daadwerkelijk sprake is van een datalek. Indien dit het geval is, zal de gemeente noodzakelijke vervolgstappen nemen."
Om verdere verspreiding van mogelijk privacygevoelige informatie te voorkomen, bevat dit artikel geen link naar de documenten.
gerelateerd
Download onze app
