Actualiteit
NOS-onderzoek: waarom BSN's nog steeds online belanden (en wat gemeenten nu kunnen doen)
NOS en Nieuwsuur vonden honderden gemeentelijke documenten met gelekte persoonsgegevens, waaronder 255 met BSN. Praktische stappen voor WOO-teams vóór publicatie.
Wat het NOS-onderzoek laat zien
In juli 2026 meldden NOS en Nieuwsuur dat Nederlandse gemeenten nog steeds per ongeluk persoonsgegevens van inwoners online publiceren: e-mailadressen, telefoonnummers, adressen, identiteitsbewijzen en burgerservicenummers (BSN).
Onderzoekers vonden BSN-nummers in 255 documenten. In één bestand van gemeente Pijnacker-Nootdorp stonden 43 BSN's, naast namen, adressen en contactgegevens van inwoners die reageerden op een nieuwbouwproject.
De meeste documenten met BSN dateren uit 2016 en 2017. Sinds strengere privacyregels in 2018 gebeurde het nog 99 keer. De Autoriteit Persoonsgegevens (AP) ontving vorig jaar ruim 120 meldingen van gemeenten over onbedoelde openbaarmaking.
Publicatieplatforms controleren de inhoud niet
Op grond van de Wet Open Overheid (WOO) moeten gemeenten veel documenten publiceren. Persoonsgegevens moeten eerst worden weggelakt. Het lek ontstaat vaak in de kloof tussen lakken en upload.
NOS meldt dat raadsinformatiesystemen zoals Notubiz geen automatische controle uitvoeren op gevoelige gegevens bij upload. De leverancier levert de applicatie; het bestuursorgaan blijft verantwoordelijk voor wat online komt.
Laksoftware alleen is niet genoeg als er geen verplichte pre-publicatie controle is voordat documenten online gaan.
Drie faalpatronen in de lakketen
1) Visueel lakken in plaats van echte redactie. Zwarte blokken in een PDF verwijderen de onderliggende tekst niet altijd. Kopiëren of zoeken kan BSN's alsnog blootleggen.
2) Gemiste identificatoren in tabellen en scans. BSN in spreadsheets, reactielijsten of OCR-lagen wordt met alleen handmatige controle snel over het hoofd gezien.
3) Geen tweede controle vóór publicatie. Eén behandelaar keurt het bestand goed; niemand scant de export opnieuw vóór upload naar het transparantieportaal.
Wat de toezichthouder verwacht
De AP stelt dat er in de regel geen reden is om BSN's te publiceren. Onbedoelde openbaarmaking is een datalek en kan meldplichtig zijn.
Herhaalde incidenten zijn geen "menselijke fout" zonder gevolgen. Bestuursorganen moeten aantoonbare procescontroles hebben: wie heeft wat gelakt, op welke grond, en wie keurde publicatie goed.
Meldingen bij de AP van gemeenten zijn gestegen: van 75 in 2014 naar ruim 120 vorig jaar. De werkelijke omvang is waarschijnlijk groter.
Vijf stappen vóór u publiceert
1) Voer automatische detectie uit op BSN, e-mail, telefoon en adrespatronen in de definitieve PDF.
2) Leg een formeel lakbesluit vast met audit trail (zie ons artikel over het lakbesluit bij WOO).
3) Scheid rollen: wie lakken mag, mag niet de enige zijn die publiceert.
4) Steekproef op legacy-documenten uit 2016–2018; NOS vond een groot cluster uit die periode.
5) Betrek de FG bij herhaalde incidenten; stem WOO-termijnen af met privacyrisico.
Gebruik Anonify als pre-publicatiestap: AI markeert identificatoren, uw team valideert elk voorstel, en u exporteert een gelakte PDF met volledige audit trail vóór upload naar uw raadsinformatiesysteem.
Waar Anonify past in uw WOO-proces
Anonify is gebouwd voor Nederlandse WOO- en AVG-workflows: intake, AI-detectie, menselijke review, lakbesluit en export.
BSN-detectie werkt in lopende tekst en tabellen, inclusief gangbare gemeentelijke formaten. Behandelaars behouden formeel mandaat; het systeem ondersteunt detectie en audit trail, geen vervanging van juridische afweging.
Test de workflow op eigen PDF via de gratis demo. Voor teams met groot volume bieden we ook managed redactie en enterprise-uitrol.
WOO-praktijk in uw inbox
Praktische tips over WOO-verzoeken, anonimisering en compliance. Maandelijks, geen spam.