Datalek openbare AI in Eindhoven

Vragen en antwoorden over datalek AI
18 december 2025

Uit een analyse van gemeente Eindhoven blijkt dat veel bestanden met persoonlijke gegevens van inwoners en medewerkers naar openbare AI-websites zijn gestuurd. Dit is op 23 oktober gemeld bij de Autoriteit Persoonsgegevens (AP). In een steekproef over 30 dagen (23 september tot 23 oktober 2025) zijn verschillende soorten bestanden met persoonsgegevens aangetroffen.

De omvang van de hoeveelheid gegevens die voor die tijd is geüpload, is niet vast te stellen. Hierdoor kunnen we de mensen om wie het gaat, niet persoonlijk informeren. Dit komt doordat deze gegevens tijdelijk, slechts 30 dagen, bewaard worden. Het is alleen op basis van de persoonsnaam te achterhalen of er bestanden met die naam zijn geüpload in de periode van 23 september tot 23 oktober. 

Gemeente Eindhoven vroeg juridisch adviesbureau Hooghiemstra & Partners om onderzoek te doen naar de aard, omvang en impact hiervan. Dit bureau bevestigt het hierboven geschetste beeld. Het college van B&W en de directieraad zijn geschrokken dat er persoonsgegevens zijn gestuurd naar AI-websites. Dat is heel vervelend voor inwoners en medewerkers. Het is betreurenswaardig dat niet precies bekend is om welke gegevens het gaat. De gemeente Eindhoven doet er alles aan om dit in de toekomst te voorkomen.

Maatregelen 

Na de constatering van het datalek nam de gemeente de volgende maatregelen:

  • Openbare AI-websites, zoals ChatGPT, zijn meteen geblokkeerd. Medewerkers kunnen sinds 23 oktober alleen Copilot binnen de beveiligde gemeente-omgeving gebruiken.
  • OpenAI is verzocht om de bestanden die vanuit Eindhoven zijn geüpload te verwijderen.
  • De monitoring van het dataverkeer naar externe websites is aangescherpt.
     

Daarnaast liepen er al trajecten op het gebied van gegevensbescherming:

  • Een algemene interne bewustwordingscampagne op het gebied van gegevensbescherming en privacy. Deze wordt voortgezet, met de focus op het verbeteren van AI-geletterdheid (hoe kun je veilig en verantwoord omgaan met AI).
  • Op 18 november 2025 is de AI-gedragscode vastgesteld en er is een plan van aanpak voor de verdere verbetering van de privacy opgesteld.
     

Gegevensbescherming 

De bescherming van persoonsgegevens heeft de volle aandacht bij de gemeente Eindhoven. In oktober is het geïntensiveerd toezicht door de AP op de gemeente beëindigd. Een nieuw team ging voortvarend door met de taak om gegevensbescherming te optimaliseren. Signalen over de omvang van extern dataverkeer waren aanleiding voor nader onderzoek.

Beperkt risico

Volgens de geraadpleegde experts is het risico beperkt dat individuele gegevens uit een AI-website naar boven komen. Toch is het risico niet volledig uit te sluiten. Het is namelijk mogelijk om informatie te reconstrueren via geavanceerde technieken. Eindhoven zet bewust stappen om op dit gebied verder te komen en de ervaringen te delen. Het deze week verschenen rekenkamerrapport geeft hier ook handvatten voor.

Vragen?

Heb je vragen hierover? Je vindt ook meer informatie op de pagina Vragen en antwoorden over datalek AI en de pagina Privacy. Heb je daarna nog vragen, neem dan contact op met het Klantencontactcentrum, tel. 14 040 of via het digitale contactformulier.