Eindhoven meldt groot AI-datalek met persoonlijke gegevens inwoners
Eindhoven, vrijdag, 30 januari 2026.
De gemeente Eindhoven heeft op 23 oktober een ernstig datalek gemeld bij de Autoriteit Persoonsgegevens nadat bleek dat medewerkers persoonlijke gegevens van inwoners en collega’s hadden geüpload naar openbare AI-websites zoals ChatGPT. In een steekproef van 30 dagen werden verschillende bestanden met persoonsgegevens aangetroffen. De gemeente kan niet achterhalen hoeveel data er voor die periode is gelekt, omdat de gegevens slechts 30 dagen bewaard blijven. Sinds de ontdekking zijn openbare AI-tools geblokkeerd en mogen ambtenaren alleen nog de beveiligde versie Copilot gebruiken. Het incident is extra pijnlijk omdat Eindhoven al jaren onder verscherpt toezicht van de privacywaakhond stond wegens eerdere datalekken.
Welke gegevens zijn gelekt
De gemeente kan niet precies zeggen welke persoonlijke gegevens zijn gelekt omdat deze informatie slechts 30 dagen wordt bewaard [1]. Het juridisch adviesbureau Hooghiemstra & Partners bevestigde na onderzoek dat verschillende soorten bestanden met persoonsgegevens zijn geüpload naar AI-websites [1]. De gemeente kan alleen op basis van persoonsnamen achterhalen of er bestanden zijn geüpload tussen 23 september en 23 oktober 2025 [1]. Door deze beperking kunnen inwoners en medewerkers van wie gegevens zijn gelekt niet persoonlijk worden geïnformeerd [1]. Het college van burgemeester en wethouders en de directieraad zijn geschrokken dat er persoonsgegevens naar AI-websites zijn gestuurd [1].
Eindhoven al onder toezicht vanwege eerdere problemen
Dit datalek was extra pijnlijk voor Eindhoven omdat de gemeente al enkele jaren onder verscherpt toezicht van de Autoriteit Persoonsgegevens stond [2]. Eindhoven had eerder problemen omdat de gemeente datalekken niet of te laat meldde, veiligheidsrisico’s niet onderzocht en gegevens van inwoners te lang bewaarde [2]. In oktober 2025 werd het geïntensiveerde toezicht door de AP op de gemeente beëindigd [1]. Een nieuw team ging daarna voortvarend door met de taak om gegevensbescherming te optimaliseren [1]. Signalen over de omvang van extern dataverkeer waren aanleiding voor het nader onderzoek dat tot de ontdekking van het datalek leidde [1].
Maatregelen na ontdekking datalek
Direct na de ontdekking blokkeerde de gemeente alle openbare AI-websites zoals ChatGPT voor medewerkers [1]. Sinds 23 oktober kunnen ambtenaren alleen nog Copilot gebruiken binnen de beveiligde gemeente-omgeving [1]. De gemeente vroeg OpenAI om alle bestanden die vanuit Eindhoven zijn geüpload te verwijderen [1]. Ook werd de monitoring van het dataverkeer naar externe websites aangescherpt [1]. Daarnaast liepen er al trajecten op het gebied van gegevensbescherming, zoals een interne bewustwordingscampagne over privacy [1]. Op 18 november 2025 stelde de gemeente een AI-gedragscode vast en maakte een plan voor verdere verbetering van de privacy [1].
Risico voor inwoners beperkt maar niet uitgesloten
Experts schatten het risico in dat individuele gegevens uit een AI-website naar boven komen als beperkt [1]. Toch kan het risico niet volledig worden uitgesloten omdat het mogelijk is om informatie te reconstrueren via geavanceerde technieken [1]. De Autoriteit Persoonsgegevens waarschuwde medio 2024 al dat het gebruik van AI-chatbots kan leiden tot datalekken [2]. Het bedrijf dat de chatbot aanbiedt kan ongeoorloofd toegang krijgen tot ingevoerde persoonsgegevens [2]. Ook bestaat het risico dat deze gegevens terugkomen in de output van chatbots [2].
Bredere problemen bij gemeenten met datalekken
Het datalek in Eindhoven past in een breder patroon van privacyproblemen bij Nederlandse gemeenten [3][4][5][6]. Gemeenten hebben moeite om misbruik van persoonsgegevens door eigen ambtenaren op te sporen [3][4][5][6]. Datalekken door integriteitsschendingen komen meestal pas aan het licht via de Rijksrecherche of inwoners [3][4][5][6]. Jaarlijks ontvangt de Autoriteit Persoonsgegevens van ongeveer 10 tot 20 gemeenten een datalekmelding waarbij een ambtenaar onrechtmatig persoonsgegevens bekeek [3][4][5][6]. Het werkelijke aantal gevallen kan hoger liggen omdat gemeenten ontdekte datalekken regelmatig niet melden [3][4][5][6].
Ernstige gevolgen mogelijk bij datalek
“Zulke privacyschendingen kunnen verstrekkende gevolgen hebben”, zegt Monique Verdier, vicevoorzitter van de Autoriteit Persoonsgegevens [3]. “Het is belangrijk dat gemeenten dit soort datalekken beter voorkomen, opsporen en aanpakken” [3]. Mensen moeten erop kunnen vertrouwen dat hun informatie vertrouwelijk blijft [3]. Als gegevens met criminelen worden gedeeld, kunnen zelfs ernstige veiligheidsrisico’s voor mensen ontstaan [3]. Het Openbaar Ministerie heeft vorig jaar tientallen explosies en zeker twee pogingen tot moord en doodslag gelinkt aan een corrupte ambtenaar van de gemeente Amsterdam [3][6].
Waar kunnen inwoners terecht
Inwoners met vragen over het datalek kunnen meer informatie vinden op de pagina ‘Vragen en antwoorden over datalek AI’ op de website van de gemeente Eindhoven [1]. Ook is er informatie beschikbaar op de algemene privacypagina van de gemeente [1]. Voor verdere vragen kunnen inwoners contact opnemen met het Klantencontactcentrum via telefoonnummer 14 040 of via het digitale contactformulier [1].