Datalek bij Omrin treft Schiermonnikoog

Drie weken geleden is Omrin getroffen door een hack waarbij gegevens in verkeerde handen zijn gekomen. Deze onwettelijke aanval is direct opgemerkt en er zijn maatregelen getroffen om verdere escalatie te voorkomen. Op 30 oktober is door cyberbeveiligingsspecialisten ontdekt dat er een bestand met persoonsgegevens van inwoners van de gemeente Schiermonnikoog, gegevens van eilander bedrijven en van eigenaren van recreatiewoningen op Schiermonnikoog onderdeel is van de aanval.

De betrokkenen ontvangen komende week een brief waarin zij geïnformeerd worden over de situatie en de mogelijke gevolgen. Aangezien deze brief pas dinsdag bezorgd kan worden, is de brief onder aan deze pagina gepubliceerd. Zowel gemeente Schiermonnikoog als Omrin betreuren de ontstane situatie en doen er alles aan om de gevolgen van dit incident zoveel mogelijk te beperken.

Meer informatie en updates over dit incident kunt houden wij bij op deze pagina. 

Hoe is ontdekt dat er gegevens van gemeente Schiermonnikoog betrokken zijn?

Omrin heeft na het ontdekken van de ransomware aanval samen met externe cyberbeveiligingspecialisten (Fox IT) direct gehandeld. Daarmee zijn de servers vergrendeld en geïsoleerd en er is een forensisch onderzoek ingesteld naar de oorzaak, impact en omvang van de aanval en de geraakte gegevens. Daarbij is ontdekt dat er een bestand met persoonsgegevens van inwoners van de gemeente Schiermonnikoog en van eigenaren van recreatiewoningen op Schiermonnikoog bij de aanval betrokken is. Ook stonden er bedrijfsgegevens in het document.

Hoeveel tijd zat er tussen de ransomware aanval en het ontdekken van de gegevens van gemeente Schiermonnikoog?

De aanval is in het weekend van 11-12 oktober uitgevoerd en via het onderzoek is het betreffende bestand op 30 oktober ontdekt.

Wat is er precies betrokken bij de aanval?

Het gaat om een bestand met daarop namen, adressen en BSN-nummers van alle inwoners van gemeente Schiermonnikoog en van eigenaren van recreatiewoningen op Schiermonnikoog. Ook bevatte het document RSIN-nummers en adresgegevens van bedrijven op het eiland.

Is het datalek gemeld bij de Autoriteit Persoonsgegevens binnen de daarvoor geldende termijn? Zo nee, waarom niet?

Op 15 oktober heeft Omrin aan verschillende gemeenten, waaronder de gemeente Schiermonnikoog, gemeld dat ook gegevens vanuit onze gemeente onderdeel zouden kunnen zijn van het datalek. Het datalek is op 16 oktober gemeld aan de Autoriteit Persoonsgegevens. Op 30 oktober is door cyberbeveiligingsspecialisten ontdekt dat er een bestand met persoonsgegevens van inwoners van de gemeente Schiermonnikoog, gegevens van eilander bedrijven en van eigenaren van recreatiewoningen op Schiermonnikoog bij de aanval betrokken is.

Waarom zijn gevoelige persoonsgegevens als een BSN opgenomen in een bestand?

BSN-nummers zijn voor een bedrijf als Omrin niet nodig voor de uitoefening van werkzaamheden. Het bestand dat met Omrin is gedeeld bevatte meer gegevens dan noodzakelijk.

Wat zijn de risico’s voor de inwoners, bedrijven en huiseigenaren?

  • Identiteitsfraude: Met een combinatie van naam, adresgegevens en een BSN kunnen kwaadwillenden zich voordoen als de betrokkenen, bijvoorbeeld bij het openen van rekeningen of het aanvragen van diensten.
  • Phishing en oplichting: betrokkenen kunnen benaderd worden met verzoeken die lijken te komen van betrouwbare instanties.

Wat moeten de inwoners, bedrijven en huiseigenaren doen als ze merken dat ze slachtoffer zijn van phishing of identiteitsfraude?

  • Letten op verdachte communicatie: wees alert op e-mails of brieven waarin om persoonlijke gegevens wordt gevraagd.
  • Controleer gegevens: Houd bankafschriften en andere accounts goed in de gaten op ongebruikelijke activiteiten.
  • Melden van identiteitsfraude: neem bij vermoeden van misbruik contact op met de Fraudehelpdesk via fraudehelpdesk.nl of met gemeente Schiermonnikoog.
  • Aanmaken van een registratie bij het Centraal Meldpunt Identiteitsfraude (CMI) via Centraal Meldpunt Identiteitsfraude (CMI) | RvIG (melding doen bij het CMI). Dit kan helpen bij het voorkomen van verdere schade. Heeft u hulp nodig bij de registratie neem dan contact op met gemeente Schiermonnikoog.

Hoe zit het met aansprakelijkheid?

Zolang het onderzoek nog gaande is, ligt de prioriteit in het achterhalen van de buitgemaakte persoonsgegevens. Aansprakelijkheid is voor nu nog geen onderwerp van gesprek.

Als inwoners of eigenaren van recreatiewoningen schade hebben ondervonden van de ransomware aanval, kunnen ze dat kenbaar maken via datalek@schiermonnikoog.nl. Juristen van zowel Omrin als gemeente Schiermonnikoog zullen die meldingen in behandeling nemen.

Brief inwoners over datalek Omrin