Via Afspraakloket.nl konden gebruikers tegen betaling afspraken bij hun gemeente laten inplannen, bijvoorbeeld voor het verlengen van een paspoort of rijbewijs. Bij meerdere gemeenten kwamen klachten van inwoners over de website binnen. Gemaakte afspraken zouden niet aan de desbetreffende gemeente zijn doorgegeven. Gebruikers moesten daarnaast allerlei gevoelige persoonlijke informatie opgeven.

De gemeente Sliedrecht, Alkmaar, Coevorden, Emmen, Zwijndrecht, Dordrecht, Alblasserdam en Hendrik-Ido-Ambacht waarschuwden hun inwoners dat ze niet met Afspraakloket.nl samenwerken en adviseerden om geen gebruik van de website te maken. Afspraakloket.nl was sinds enkele weken actief.

Op een testpagina van de website waren interne wachtwoorden te zien, waaronder die van de database. Zo was het eenvoudig om op de database in te loggen en alle opgeslagen data in te zien. Het ging om burgerservicenummers, telefoonnummers, postcodes, e-mailadressen en verloopdata van identiteitsdocumenten, zo ontdekte de NOS. De data bleek afkomstig van 6000 gebruikers, waarvan 4200 hun e-mailadres hadden opgegeven en 2600 hun burgerservicenummer hadden ingevuld.

De website mocht burgerservicenummers helemaal niet opslaan omdat het hier om extra beschermde persoonsgegevens gaat. “Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Dit geldt bijvoorbeeld voor zorgverleners, zoals huisartsen, apotheken en zorgverzekeraars”, aldus de Autoriteit Persoonsgegevens.

De beheerder van de website laat aan de NOS weten dat het datalek nooit had mogen gebeuren en hij al bezig was om het burgerservicenummer uit te faseren. De website is inmiddels door de beheerder uit de lucht gehaald, die vooralsnog niet van plan is om het datalek bij de privacytoezichthouder te melden.

Lees meer op security.nl