Home > Verscherpt openbaar toezicht gemeente Rheden > Dossier datalek januari 2026
Geachte […]
In reactie op uw verzoek van heden, 22 februari 2026, deel ik u het volgende mede.
Naar aanleiding van een op grond van de Wet open overheid (Woo) aan mij verstrekt overzicht heb ik geconstateerd dat daarin persoonsgegevens waren opgenomen van mijzelf, van een cliënt van Ebenezer Advies en van voor mij onbekende verzoekers van Woo-verzoeken aan de gemeente Rheden. Zodra ik dit ontdekte, heb ik daarvan melding gemaakt als datalek bij de gemeente.
Het betreffende overzicht heb ik vervolgens terzijde gelegd, aangezien het meer gegevens bevatte dan waarop mijn verzoek betrekking had. De reikwijdte van mijn verzoek kunt u afleiden uit het gepubliceerde besluit op Rheden.nl. Mijn oorspronkelijke verzoek is overigens niet gepubliceerd; dit is een afzonderlijk punt van bezwaar. Het moet controleerbaar zijn dat hetgeen in mijn verzoek is opgenomen ook correct en volledig in het besluit terugkomt. Mijn ervaring is dat binnen de gemeente verzoeken geregeld worden geherformuleerd, waardoor het college in het besluit een andere uitleg kan hanteren dan door de verzoeker is beoogd.
De gemeente heeft mij verzocht het verstrekte overzicht te verwijderen. Aan dat verzoek heb ik aanvankelijk geen gehoor gegeven, omdat ik geen bewijsmateriaal durfde te vernietigen zolang niet duidelijk was of de melding van het datalek serieus werd opgepakt. Dit bewijsmateriaal had, indien nodig, aan de Autoriteit Persoonsgegevens kunnen worden overgelegd. Mijn terughoudendheid werd mede ingegeven door eerdere ervaringen waarbij in een andere kwestie (betreffende een cliënt van mij) relevante registraties in het Gemeentelijk Incidenten Registratiesysteem niet meer traceerbaar bleken. Daarnaast had de gemeente mij op dat moment nog niet het juiste overzicht verstrekt.
Nadat ik constateerde dat de gemeente schriftelijk onjuiste beschuldigingen over mij en Ebenezer Advies verspreidde onder de slachtoffers van het datalek, heb ik het overzicht ontdaan van de gelekte persoonsgegevens en uitsluitend een geschoonde versie bewaard. Deze versie bevatte geen persoonsgegevens. Het bewaren daarvan diende enkel om een referentie te hebben totdat de gemeente het juiste overzicht zou verstrekken. Het overzicht was op dat moment niet langer noodzakelijk als bewijsmateriaal, nu de gemeente tegenover betrokkenen had erkend dat sprake was van een fout.
Inmiddels verwerk ik uitsluitend het overzicht dat de gemeente uiteindelijk alsnog heeft verstrekt en dat sinds 3 februari 2026 op Rheden.nl is gepubliceerd.
Het voorgaande betekent dat door mij en door Ebenezer Advies geen persoonsgegevens van u worden verwerkt.
Ik vertrouw erop dat dit u voldoende geruststelt naar aanleiding van uw verzoek om uw persoonsgegevens volledig te verwijderen en iedere verdere verwerking daarvan te staken.
Voor zover het de veiligheid van uw persoonsgegevens bij de gemeente betreft, kan ik u helaas niet geruststellen. Hoewel de gemeente heeft aangegeven maatregelen te treffen naar aanleiding van het datalek, heb ik vooralsnog geen concrete aanwijzingen dat de informatiebeveiliging structureel is verbeterd.
In diverse procedures juist ingezet naar aanleiding van vermoedens over misstanden rond het informatiebeheer – waaronder Woo-verzoeken, AVG-verzoeken en overige informatieverzoeken – ondervinden een cliënt van mij en ik regelmatig tegenwerking bij het verkrijgen van transparantie. In de afgelopen jaren zijn vele bezwaar- en beroepsprocedures noodzakelijk gebleken. Deze gang van zaken wekt de indruk dat transparantie niet vanzelfsprekend wordt betracht wat nogal te denken geeft.
Op uw vraag naar de correspondentie tussen de gemeente en Ebenezer Advies over het datalek kan ik u melden dat op 30 januari 2026 een Woo-verzoek is ingediend om deze correspondentie openbaar te maken. Ik verwijs u naar de te verwachten publicatie daarvan.
Welke concrete persoonsgegevens ik destijds exact heb ontvangen, kan ik u niet nader specificeren, nu deze gegevens niet langer bij mij beschikbaar zijn. Ik kan slechts aangeven dat het, voor zover ik mij herinner, ging om de categorieën persoonsgegevens die de gemeente in haar brief aan de betrokkenen heeft genoemd.
Tot slot merk ik op dat er naar mijn oordeel geen geldige grondslag bestond voor het verstrekken van persoonsgegevens aan mij. Ik ga uit van een onbedoelde verstrekking zonder doelbinding. Ik zie hierin geen aanwijzingen voor kwade opzet, maar wel voor ernstige tekortkomingen in de informatiehuishouding. De risico’s daarvan – zowel voor datalekken als voor onrechtmatige besluitvorming – acht ik aanzienlijk.
Ik verwijder na deze beantwoording uw naam, e-mailadres en inhoudelijke bericht uit mijn administratie omdat er geen grondslag is om deze nog langer te verwerken. Ik hecht er waarde aan om mijn eigen reactietekst (zonder enige persoonsgegevens anders dan die van mij) openbaar te maken op www.ebenezer-advies.nl in het dossier over het datalek. Mocht u later nog eens contact met mij opnemen, dan kunt u verwijzen naar die online publicatie.
Met vriendelijke groet,
Ray Heijder – jurist Ebenezer Advies