AI geletterdheid voor organisatiesinfo@geletterdheidai.com
← Terug naar Actueel
Datalekken3 min lezen · december 2025

Datalek Eindhoven: wat elke gemeente eruit moet leren

Gemeente Eindhoven blokkeerde eind 2025 ChatGPT en andere openbare AI websites, nadat uit een eigen steekproef bleek dat medewerkers gevoelige bestanden naar die tools hadden geüpload. Geen hack, geen kwade opzet. Gewoon mensen die hun werk sneller wilden doen.

Tijdens een interne steekproef over de periode van 23 september tot 23 oktober 2025 ontdekte de gemeente dat er bestanden met persoonsgegevens naar openbare AI websites waren gestuurd. Het ging onder meer om documenten uit de Jeugdwet, interne verslagen en cv's, vooral afkomstig van afdelingen die zorg en ondersteuning aan inwoners verlenen. Het datalek is op 23 oktober 2025 gemeld bij de Autoriteit Persoonsgegevens en op 18 december openbaar gemaakt.

Pijnlijk detail: de gemeente kan niet eens vaststellen hoe groot het lek precies is. De gegevens worden bij dat soort tools maar ongeveer dertig dagen bewaard, waardoor betrokken inwoners niet persoonlijk geïnformeerd kunnen worden. De controle was volledig kwijt op het moment dat de bestanden werden geplakt.

Het was geen technisch probleem. Het was een kennisprobleem. En kennis is precies wat je kunt oplossen.

Waarom dit overal kan gebeuren

Zodra gevoelige gegevens in een publieke AI tool worden geplakt, is er geen verwerkersovereenkomst, staan de servers vaak buiten de EU en bestaat het risico dat de data wordt gebruikt om het model te trainen. De gemeente blijft volgens de AVG verantwoordelijk, ook al deed één medewerker het in een onbewaakt moment.

Het ongemakkelijke is dat dit geen uitzondering is. Eindhoven stond sinds maart 2023 twee jaar onder verscherpt toezicht van de Autoriteit Persoonsgegevens, en was daar pas medio oktober 2025 van verlost. Kort daarna kwam dit lek alsnog aan het licht. Als een gemeente die er juist bovenop zat dit overkomt, kan het vrijwel overal gebeuren.

Wat Eindhoven daarna deed

  • Openbare AI websites zoals ChatGPT direct blokkeren. Medewerkers kunnen sindsdien alleen nog Copilot binnen de beveiligde gemeente-omgeving gebruiken.
  • OpenAI verzoeken om de geüploade bestanden te verwijderen.
  • De monitoring van dataverkeer naar externe websites aanscherpen.
  • Een AI gedragscode vaststellen (18 november 2025) en de nadruk leggen op het verbeteren van AI geletterdheid bij medewerkers.

Let op die laatste stap. De gemeente die het overkwam, kiest zelf voor AI geletterdheid als kern van de oplossing. Niet meer techniek, maar mensen die snappen wat wel en niet mag.

De vier lessen voor uw gemeente

  • Verbieden alleen werkt niet. Medewerkers gebruiken AI toch wel. Beter is uitleggen wat wel en niet mag.
  • De grens moet concreet zijn. Geen "wees voorzichtig", maar duidelijke voorbeelden van wat nooit in een publieke tool mag.
  • Bewustwording is organisatiebreed. Niet alleen ICT of de FG, maar elke afdeling die met gegevens werkt.
  • Aantoonbaarheid telt. De AI Act vraagt om AI geletterdheid. Een certificaat per medewerker maakt zichtbaar dat u het serieus neemt.

Bronnen: Binnenlands Bestuur en Omroep Brabant (2025/2026). Dit artikel geeft een algemene les en is geen juridisch advies.

Voorkom dat dit uw gemeente overkomt

Eén heldere cursus maakt uw medewerkers AI geletterd en AVG-bewust. Vraag vrijblijvend een offerte aan.

Offerte aanvragen