Gemeente Eindhoven lekte duizenden persoonlijke gegevens naar AI-websites
Eindhoven, vrijdag, 13 februari 2026.
Medewerkers van gemeente Eindhoven stuurden veel bestanden met persoonlijke gegevens van inwoners en collega’s naar openbare AI-websites zoals ChatGPT. Het datalek werd op 23 oktober 2025 ontdekt en gemeld bij de Autoriteit Persoonsgegevens. Een steekproef van 30 dagen toonde verschillende soorten bestanden met persoonlijke informatie. De gemeente kan niet vaststellen hoeveel gegevens er in totaal zijn gelekt, omdat deze websites data slechts 30 dagen bewaren. Sinds de ontdekking zijn openbare AI-tools geblokkeerd en mogen medewerkers alleen nog beveiligde AI gebruiken binnen de gemeente-omgeving. Het juridisch adviesbureau bevestigt dat het risico beperkt is, maar niet volledig uit te sluiten.
Onderzoek toont omvang datalek aan
Juridisch adviesbureau Hooghiemstra & Partners deed onderzoek naar de aard, omvang en impact van het datalek [1]. Het bureau bevestigde dat veel bestanden met persoonlijke gegevens naar openbare AI-websites zijn gestuurd [1]. De gemeente kan niet precies vaststellen hoeveel gegevens er voor 23 september 2025 zijn geüpload [1]. Dit komt omdat AI-websites zoals ChatGPT gegevens slechts 30 dagen bewaren [1]. Het college van B&W en de directieraad zijn geschrokken door het incident [1]. Zij noemen het ‘heel vervelend voor inwoners en medewerkers’ [1].
Directe maatregelen na ontdekking
De gemeente blokkeerde onmiddellijk alle openbare AI-websites zoals ChatGPT na de ontdekking [1]. Medewerkers kunnen sinds 23 oktober alleen nog Copilot gebruiken binnen de beveiligde gemeente-omgeving [1]. OpenAI kreeg het verzoek om alle bestanden die vanuit Eindhoven waren geüpload te verwijderen [1]. De gemeente scherpte ook de monitoring van dataverkeer naar externe websites aan [1]. Op 18 november 2025 stelde de gemeente een AI-gedragscode vast [1]. Er kwam ook een plan van aanpak voor verdere verbetering van de privacy [1].
Risico voor inwoners blijft beperkt
Volgens geraadpleegde experts is het risico beperkt dat individuele gegevens uit AI-websites naar boven komen [1]. Het risico is echter niet volledig uit te sluiten [1]. Het blijft mogelijk om informatie te reconstrueren via geavanceerde technieken [1]. In oktober 2025 beëindigde de Autoriteit Persoonsgegevens het geïntensiveerde toezicht op gemeente Eindhoven [1]. Een nieuw team ging daarna voortvarend door met het optimaliseren van gegevensbescherming [1]. Signalen over de omvang van extern dataverkeer waren aanleiding voor nader onderzoek [1].
Bredere discussie over AI-gebruik op werkvloer
Het datalek illustreert de risico’s van onzorgvuldig AI-gebruik door organisaties [2]. Privacy-experts benadrukken dat organisaties duidelijke richtlijnen en beleid moeten opstellen voor AI-tools [2]. Het delen van privacygevoelige informatie via AI gebeurt dagelijks en overal [2]. Regelmatige training en communicatie zijn cruciaal om medewerkers bewust te maken van de risico’s [2]. AI-geletterdheid wordt steeds belangrijker, en in sommige gevallen zelfs verplicht onder de Europese AI Verordening [2]. Organisaties moeten interne strategieën ontwikkelen die verantwoord AI-gebruik stimuleren [2].
Waar inwoners meer informatie kunnen vinden
Inwoners met vragen kunnen terecht op de gemeentelijke pagina ‘Vragen en antwoorden over datalek AI’ [1]. Er is ook meer informatie beschikbaar op de pagina Privacy van de gemeente [1]. Het Klantencontactcentrum is bereikbaar via telefoonnummer 14 040 [1]. Inwoners kunnen ook contact opnemen via het digitale contactformulier op de website [1]. De gemeente zet bewust stappen om verder te komen op dit gebied en wil ervaringen delen [1].