Print 🖨 PDF 📄 eBook 📱

jeugdzorgdata

Jeugdzorgdata en diagnoses onveilig bij gemeenteambtenaren

Op de website www.security.nl stond op vrijdag 19 december 2025 het artikel:  “Gemeente Eindhoven lekte persoonlijke gegevens inwoners via AI-websites”. Ambtenaren bleken bijzondere persoonsgegevens van een onbekend aantal burgers, waarschijnlijk enkele duizenden, naar openbare Artificial Intelligence(AI)-websites gestuurd te hebben. Het gaat daarbij om Claude.ai en ChatGTP.com en betreft bijv. documenten met betrekking tot de Jeugdwet, met informatie over o.a.  de mentale en fysieke gezondheid van minderjarige kinderen (vaak ook broertjes en zusjes) en ouders. Ook BSN en soms zelfs een foto van het kind zijn onderdeel van het dossier.

Tevens gaat het om overdrachtsdocumenten Wet maatschappelijke ondersteuning, met gegevens over o.a. fysieke en mentale gezondheid, diagnoses, verslavingen, financiële problematiek, schulden, problemen op woon en/of werkgebied, inclusief naam, adresgegevens en BSN-nummer. Tevens zijn reflectieverslagen van medewerkers, met besprekingen van werkprestaties en informatie over collega’s en cv’s van sollicitanten geüpload.

Beroepsgeheim

Los van de identificerende persoonsgegevens gaat het voor een aanzienlijk deel over gegevens die onder het beroepsgeheim van de jeugdhulpverlener vallen en om diagnoses, gegevens die onder het medisch beroepsgeheim vallen.

Het enkele feit dat gemeenteambtenaren in staat waren om die data te doen lekken naar openbare AI-platforms geeft al te denken.  Dit soort data die onder het (medisch) beroepsgeheim vallen, dienen niet en mogen niet in het bezit te zijn van gemeenteambtenaren, die niet vallen onder enig beroepsgeheim en zonder benul daarvan de gevoeligheid van dergelijke data die op een openbaar AI-platform zetten.

Verantwoordelijkheid

Het zal echt niet zo zijn gegaan dat individuele ambtenaren zomaar opeens bedachten om de gewraakte data naar openbare AI-platforms te sturen. Dat moet aangestuurd zijn door enige leidinggevende, hoog of laag in de gemeente-hiërarchie. over de verantwoordelijkheid voor de acties van de ambtenaren hebben noch B&W, noch het adviesbureau Hooghiemstra en Partners het. Het gaat bij dit handelen om het schenden van het ambtsgeheim. Dat is strafbaar volgens artikel 272 van hert Wetboek van Strafrecht.

Stuitend aantal

De gemeente Eindhoven liet onderzoek doen naar wat je toch echt een fors datalek kunt noemen. De opdracht ging naar het strategisch en juridisch adviesbureau Hooghiemstra en Partners. Er verschenen twee stukken over dit datalek. Een raadsbrief van B&W en het rapport van Hooghiemstra en Partners. Het bleek alleen mogelijk om met behulp van de Microsoft Activity Explorer om activiteiten van de periode 23 september tot en met 23 oktober te bekijken. Wanneer de downloaden van data naar AI-platforms begon is niet bekend. Dat kunnen dus maanden geweest zijn. Van de periode van 23-09 tot en met 23-10 bekeek het adviesbureau een periode van 10 dagen waarin van 9971 bestande 5%(=525)verstuurd werd naar AI-domeinen. Over de 30 dagen ging het om 25.000 bestanden waarvan 9,5 %(=2368) naar AI-domeinen gingen.

Die 10 daagse periode geeft dus een veel te rooskleurig beeld.

AI-geletterdheid?!

B&W schrijven in eerste instantie:

“Omgang met AI Het gebruik van AI biedt mogelijkheden ons werk efficiënter te doen. Vanuit die optiek is het positief dat medewerkers kansen zien en met AI aan de slag gaan. Eerste duiding is dat medewerkers het hebben gebruikt om de gemeentelijke taken en dienstverlening aan de inwoners te verbeteren.”

Hiermee geven ze de motivatie aan van gemeenteambtenaren om (openbare) AI-tools te gebruiken.

Even later schrijft men:

“Wij hebben 18 november jl. de AI-gedragscode vastgesteld en er is een plan van aanpak voor de verdere verbetering van de privacy opgesteld. Er liep al een bewustwordingscampagne met trainingen op het gebied van gegevensbescherming en privacy in het algemeen. Verder zijn we een campagne gestart voor het verbeteren van AI-geletterdheid (hoe kun je veilig en verantwoord omgaan met AI) en we gaan begin 2026 door met verplichte trainingen voor de medewerkers.”

Dit is echter mosterd na de maaltijd.  

Bewijs geleverd

Met deze casus is het bewijs geleverd dat zorgdata die onder het (medisch) beroepsgeheim van de zorgverlener vallen niet in het bezit dienen te zijn van gemeenteambtenaren. Juist het feit dat ze er over konden/kunnen beschikken maakt het mogelijk die te delen met(op te sturen naar) onbevoegden. Allerlei mitigerende uitspraken, dat het niet duidelijk is of de bijzondere persoonsgegevens misbruikt zijn na plaatsing op de AI-platforms doen daar niets aan af.

De gemeente Eindhoven schrijft bijv. zelf ook sussende woorden:

“Volgens door ons geraadpleegde experts is het risico beperkt in vergelijking met bijvoorbeeld een datalek waarbij gegevens zijn gestolen. Individuele gegevens die zijn geüpload in een AI-tool kunnen niet eenvoudig door derden uit de tool worden gehaald en worden misbruik”.   

Dit gebeurde bij de gemeente Eindhoven die open kaart speelde. Het is absoluut niet uit te sluiten dat hetzelfde bij andere gemeenten speelde/speelt.

 W.J. Jongejan, 22 december 2025

Afbeelding van José Miguel via Pixabay 

Op 22-12-2025 om 11.44 uur is de alinea Verantwoordelijkheid toegevoegd.

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie gegevens worden verwerkt.