Gemeenten publiceren nog steeds per ongeluk persoonsgegevens van inwoners op hun eigen websites. Dat blijkt uit onderzoek van NOS en Nieuwsuur. Het gaat om honderden documenten met onder meer e-mailadressen, telefoonnummers, adresgegevens en nummers van identiteitsbewijzen.
In 255 documenten stonden zelfs burgerservicenummers. Eén document van de gemeente Pijnacker-Nootdorp bevatte 43 bsn's, van inwoners die hadden gereageerd op een nieuwbouwproject.
Geen hack, maar een menselijke fout
De oorzaak is meestal geen hack. Gemeenten moeten documenten openbaar maken vanwege de Wet open overheid. Bij dat publiceren gaat het weglakken van persoonsgegevens regelmatig mis.
De Autoriteit Persoonsgegevens drong in 2017 al aan op zorgvuldigheid. Toch kreeg de toezichthouder dit jaar ruim 120 meldingen van gemeenten die per ongeluk gegevens openbaar maakten. Vorig jaar waren dat er 75.
Ook AI-gebruik leidt tot lekken
Het probleem beperkt zich niet tot gepubliceerde documenten. Nieuwsuur meldde eerder dat medewerkers van de gemeente Eindhoven in één maand ruim duizend documenten met persoonsgegevens uploadden naar externe AI-tools zoals ChatGPT. Dat leverde een datalek op.
Een veelzeggend detail uit het onderzoek: de journalisten gebruikten zelf bewust een AI-model dat lokaal draait. Zo voorkwamen zij dat gevoelige gegevens naar een clouddienst zouden lekken.
Zorgvuldigheid is mensenwerk
De rode draad in deze incidenten: het gaat niet om technische storingen, maar om alledaagse handelingen die net verkeerd uitpakken. Een document dat niet goed is weggelakt. Een tekst die even door een AI-tool wordt gehaald.
Dat laatste gebeurt vaak zonder dat de organisatie het weet of er beleid voor heeft, ook wel shadow AI genoemd. Juist daar ontbreekt dikwijls de kennis om te beoordelen welke gegevens wel en niet in zo'n tool thuishoren. Dit kan elke organisatie overkomen die met persoonsgegevens werkt, binnen en buiten de overheid.
Kennis voorkomt dit soort incidenten
Bij GeletterdheidAI geloven wij dat je dit niet oplost door met de vinger naar één gemeente te wijzen, maar door medewerkers de juiste kennis te geven. De AI-verordening kent niet voor niets een inspanningsverplichting (artikel 4): organisaties moeten hun medewerkers voldoende AI-geletterd maken.
Onze cursus leert medewerkers van gemeenten én bedrijven verantwoord met AI omgaan: wat mag wel in een AI-tool, wat niet, en vooral waarom. Zo geeft u invulling aan de inspanningsverplichting van artikel 4, vergroot u het bewustzijn op de werkvloer en verkleint u het risico op AI-datalekken.
En dit geldt nadrukkelijk niet alleen voor gemeenten. Elke organisatie die met persoonsgegevens werkt, van recruitmentbureau tot zorginstelling, loopt hetzelfde risico. Daarom bieden wij naast de cursus voor gemeenten ook een zakelijke variant aan.
Verder lezen: datalekken voorkomen, onze cursus en het certificaat, het aanbod voor gemeenten en voor bedrijven. Vragen? Mail ons via info@geletterdheidai.com.
Bron: onderzoek van NOS en Nieuwsuur (17 juli 2026). Dit artikel is een algemene toelichting en geen juridisch advies.
Verklein het risico op AI-datalekken
Leer uw medewerkers wat wel en niet in een AI-tool thuishoort, met certificaat. Vraag vrijblijvend een offerte aan.
Offerte aanvragen