Misbruik van persoonsgegevens door ambtenaren bij gemeenten blijft vaak onder de radar en leidt lang niet altijd tot een melding bij de Autoriteit Persoonsgegevens (AP). Dat blijkt uit een verkennend onderzoek dat de toezichthouder op 27 januari 2026 heeft gepubliceerd. Volgens de AP hebben gemeenten grote moeite om integriteitsschendingen waarbij persoonsgegevens worden misbruikt tijdig te signaleren en als datalek te herkennen, terwijl zij daartoe wettelijk verplicht zijn.

Het gaat om situaties waarin ambtenaren bijvoorbeeld onder druk of tegen betaling informatie delen met criminelen, gegevens raadplegen vanwege een privéconflict of uit nieuwsgierigheid informatie over bekende Nederlanders opzoeken. Jaarlijks ontvangt de AP slechts van ongeveer tien tot twintig gemeenten een datalekmelding waarbij een ambtenaar onrechtmatig persoonsgegevens heeft ingezien. De toezichthouder benadrukt dat het werkelijke aantal incidenten waarschijnlijk aanzienlijk hoger ligt, omdat veel gevallen onontdekt blijven of niet als datalek worden aangemerkt.
Volgens de AP komen dit soort datalekken meestal pas aan het licht nadat de Rijksrecherche onderzoek heeft gedaan of nadat een inwoner zelf aan de bel trekt. Zelfs wanneer gemeenten het misbruik wel ontdekken, wordt het incident lang niet altijd gemeld. Dat is zorgelijk, stelt de toezichthouder, omdat melding noodzakelijk is om toezicht te kunnen houden op de genomen beveiligingsmaatregelen en om te beoordelen of betrokkenen geïnformeerd moeten worden.

Ernstige gevolgen

Vicevoorzitter Monique Verdier waarschuwt voor de ernstige gevolgen die dergelijke privacyschendingen kunnen hebben. Gemeenten beschikken over grote hoeveelheden gevoelige informatie over hun inwoners en die moet veilig en vertrouwelijk blijven. Wanneer gegevens in handen van criminelen vallen, kunnen directe veiligheidsrisico’s ontstaan. Zij verwijst daarbij naar een zaak waarbij het Openbaar Ministerie vorig jaar tientallen explosies en meerdere pogingen tot moord en doodslag in verband bracht met informatie die afkomstig was van een corrupte ambtenaar van de gemeente Amsterdam.
De AP signaleert dat er bij gemeenten nog veel onduidelijkheid bestaat over wat precies als datalek moet worden gezien en wanneer melding verplicht is. Integriteitsincidenten worden niet altijd herkend als een overtreding van de privacywetgeving. Dat zorgt ervoor dat misbruik van persoonsgegevens structureel wordt onderschat.
In het onderzoek roept de AP gemeenten op om meer te doen aan preventie, opsporing en opvolging van datalekken die voortkomen uit integriteitsschendingen. Alleen door beter toezicht op systemen, duidelijke regels, training van medewerkers en een consequente meldcultuur kan worden voorkomen dat misbruik van persoonsgegevens onopgemerkt blijft. Voor de veiligheid van inwoners én het vertrouwen in de overheid is het volgens de toezichthouder cruciaal dat gemeenten dit probleem serieuzer en structureler aanpakken.