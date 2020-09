Mensen om de tuin leiden was nooit de bedoeling, stelt hij. "Mensen konden bij ons een herinnering krijgen als hun document bijna was verlopen", zegt Blokhuis. "En als service konden wij dan een betaling voor ze doen." Mensen bleken de site echter anders te gebruiken, stelt hij, door simpelweg alleen een afspraak te maken.

Overigens was hij al bezig om het bsn-nummer "uit te faseren", stelt hij. "We kwamen er achter dat dat niet mag." Hij is vooralsnog niet van plan het lek te melden bij de Autoriteit Persoonsgegevens.

"Dat had natuurlijk nooit mogen gebeuren", zegt de beheerder van de website, student Wouter Blokhuis. Nadat de NOS hem op de hoogte had gesteld, heeft hij de site uit de lucht gehaald.

De site mag overigens helemaal geen burgerservicenummers verwerken. Dat zijn persoonsgegevens die extra zijn beschermd. "Bedrijven mogen dat alleen als ze daartoe wettelijk verplicht worden", zegt ict-jurist Charlotte Meindersma. Dat is in dit geval niet zo.

De website Afspraakloket, waar verschillende gemeenten de afgelopen dagen voor waarschuwden, heeft de burgerservicenummers (bsn) van gebruikers van de site gelekt. De NOS heeft dat ontdekt. De beheerder van de website zegt in een reactie "dat dit natuurlijk nooit had mogen gebeuren".

Verantwoording

Voor dit verhaal logde de NOS in op de database achter Afspraakloket.nl, met behulp van het gelekte wachtwoord. Dat deden we om de impact van het probleem te onderzoeken. Daarbij hebben we onder meer gekeken hoeveel mensen in de database van de site stonden, specifiek ook met een BSN-nummer of e-mailadres. Het bekijken van persoonsgegevens hebben we zoveel mogelijk achterwege gelaten, maar kon niet altijd worden vermeden.

Ook hebben we ingelogd op een mailbox waarvan Afspraakloket.nl het wachtwoord lekte, om te onderzoeken of daar persoonsgegevens in stonden. Dat bleek niet zo, op een klein aantal e-mailadressen na.