Datalek bij Omrin treft Schiermonnikoog

Een paar weken geleden is Omrin getroffen door een cyberaanval waarbij gegevens in verkeerde handen zijn gekomen. Deze onwettelijke aanval is direct opgemerkt en er zijn maatregelen getroffen om verdere escalatie te voorkomen. Op 30 oktober is door cyberbeveiligingsspecialisten ontdekt dat er een bestand met persoonsgegevens van inwoners van de gemeente Schiermonnikoog, gegevens van eilander bedrijven en van eigenaren van recreatiewoningen op Schiermonnikoog onderdeel is van de aanval.

De betrokkenen hebben deze week een brief ontvangen waarin zij geïnformeerd werden over de situatie en de mogelijke gevolgen. 

Zowel gemeente Schiermonnikoog als Omrin betreuren de ontstane situatie en doen er alles aan om de gevolgen van dit incident zoveel mogelijk te beperken.

Meer informatie en updates over dit incident houden wij bij op deze pagina. 

Aanvullende informatie

Een BSN nummer in combinatie met naam en adres kan op zichzelf niet leiden tot identiteitsfraude. Hiervoor hebben fraudeurs altijd meer identiteitsgegevens nodig zoals een geldig identiteitsdocument.

Vraag en antwoord

Er zijn nieuwe vragen en antwoorden toegevoegd aan de lijst.

Hoe is ontdekt dat er gegevens van gemeente Schiermonnikoog betrokken zijn?

Omrin heeft na het ontdekken van de ransomware aanval samen met externe cyberbeveiligingspecialisten (Fox IT) direct gehandeld. Daarmee zijn de servers vergrendeld en geïsoleerd en er is een forensisch onderzoek ingesteld naar de oorzaak, impact en omvang van de aanval en de geraakte gegevens. Daarbij is ontdekt dat er een bestand met persoonsgegevens van inwoners van de gemeente Schiermonnikoog en van eigenaren van recreatiewoningen op Schiermonnikoog bij de aanval betrokken is. Ook stonden er bedrijfsgegevens in het document.

Hoeveel tijd zat er tussen de ransomware aanval en het ontdekken van de gegevens van gemeente Schiermonnikoog?

De aanval is in het weekend van 11-12 oktober uitgevoerd en via het onderzoek is het betreffende bestand op 30 oktober ontdekt.

Wat is er precies betrokken bij de aanval?

Het gaat om een bestand met daarop namen, adressen en BSN-nummers van alle inwoners van gemeente Schiermonnikoog en van eigenaren van recreatiewoningen op Schiermonnikoog. Ook bevatte het document RSIN-nummers en adresgegevens van bedrijven op het eiland.

Is het datalek gemeld bij de Autoriteit Persoonsgegevens binnen de daarvoor geldende termijn?

Op 15 oktober heeft Omrin aan verschillende gemeenten, waaronder de gemeente Schiermonnikoog, gemeld dat ook gegevens vanuit onze gemeente onderdeel zouden kunnen zijn van het datalek. Het datalek is op 16 oktober gemeld aan de Autoriteit Persoonsgegevens. Op 30 oktober is door cyberbeveiligingsspecialisten ontdekt dat er een bestand met persoonsgegevens van inwoners van de gemeente Schiermonnikoog, gegevens van eilander bedrijven en van eigenaren van recreatiewoningen op Schiermonnikoog bij de aanval betrokken is.

Hoe komt Omrin aan het bestand met gegevens

De gemeente heeft in 2024 een bestand gedeeld met Omrin. Omrin heeft de gegevens die nodig waren op de juiste manier gebruikt, maar heeft het bestand onnodig bewaard op hun systeem. Omrin is gehackt en daarbij is buit gemaakt van dit bestand.

Waarom zijn deze gegevens gedeeld met Omrin

Het bestand met gegevens is door de gemeente gedeeld met Omrin zodat zij de afvaltag voor de ondergrondse containers konden toezenden.

Welke gegevens stonden in het bestand

In het bestand van februari 2024 stonden de volgende gegevens: naam, adres, woonplaats, bsn, type woning, adres van de woning waarvoor de tag is afgegeven en rsin nummers van bedrijven.

Waarom zijn er meer gegevens gedeeld dan Omrin nodig had

Het bestand bevatte meer gegevens dan Omrin nodig had om de tag toe te zenden. Dit had niet mogen gebeuren en betreuren wij zeer.

Zijn de gegevens van alle inwoners gedeeld

Nee. Alleen van de personen die in de aanhef van de door ons verzonden brief staan genoemd. Eén persoon per huishouden.

Welke gegevens zijn niet gedeeld

Er zijn veel vragen over of er ook telefoonnummers, emailadressen en geboortedata zijn gedeeld. Dit is niet het geval.

Is er risico op Identiteitsfraude

Een bsn nummer in combinatie met naam en adres kan op zichzelf niet direct leiden tot identiteitsfraude. 

Kan er misbruik worden gemaakt van een bsn nummer

Alleen met een bsn nummer kunnen hackers niet heel veel. Wanneer alleen uw burgerservicenummer (BSN) bij een datalek betrokken is, is de kans op identiteitsfraude klein. Het BSN is een zogenaamd ‘informatieloos’ nummer.  Dit betekent dat er geen persoonlijke informatie, bijvoorbeeld uw geboortedatum, in het BSN verwerkt is. Een persoon is daarom niet te herkennen aan een BSN.

Fraudeurs kunnen de gestolen data niet gebruiken om een bankrekening te openen of financiële diensten aan te vragen. Hiervoor hebben zij altijd aanvullende identificatiemiddelen nodig zoals een geldig identiteitsdocument.

Waar is het bestand

Het onderzoek door Fox-IT in opdracht van Omrin is afgerond. Het bestand is door fraudeurs geplaatst op het darkweb.

Wanneer melding bij Centraal Meldpunt Identiteitsfraude?

Als er sprake is van misbruik van persoonsgegevens (bijvoorbeeld een telefoonabonnement op uw naam), dan kunt u dit melden bij het Centraal Meldpunt Identiteitsfraude (CMI). Als er nog geen misbruik is gemaakt van uw persoonsgegevens, dan hoeft u geen melding bij het CMI te doen.

Wat kunt u doen

  • Wees alert op verdachte mailtjes en telefoontjes waarin om persoonlijke gegevens wordt gevraagd. Controleer altijd de afzender.
  • Controleer uw gegevens: Houd uw bankafschriften en andere accounts goed in de gaten op·ongebruikelijke activiteiten.

Wat moet ik niet doen

  • Open nooit onverwachte of verdachte linkjes in een mail.
  • Geef geen persoonsgegevens door per mail of aan de telefoon
  • Klik niet op links in mails
  • Kies sterke en unieke wachtwoorden

Worden er met andere instanties bsn nummers gedeeld

Nee, bsn nummers worden niet gedeeld.

Krijgt u meldingen over datalekken van andere organisaties

Dit heeft niet te maken met het datalek bij Omrin. Wijzig uw wachtwoord via de sites van de organisaties en klik niet op een link.

Kan ik digitaal op de hoogte worden gehouden

Ja dat kan. Wilt u dan een mail sturen naar datalek@schiermonnikoog.nl met het onderwerp aanmelding nieuwsberichten

Waar kan ik meer informatie verkrijgen

Wat kan ik doen tegen phishing? | Rijksoverheid.nl

Brief inwoners over datalek Omrin

Als inwoners, odnernemers of eigenaren van recreatiewoningen schade hebben ondervonden van de ransomware aanval, kunnen ze dat kenbaar maken via datalek@schiermonnikoog.nl. Juristen van zowel Omrin als gemeente Schiermonnikoog zullen die meldingen in behandeling nemen.

Aan wie verstrekt de gemeente privacygegevens?

In de verordening gegevensverstrekking basisregistratie personen kunt u zien aan wie de gemeente bepaalde gegevens verstrekt. https://lokaleregelgeving.overheid.nl/CVDR709637/