VIDEO: Dantumadiel vergat registratie domeinnaam, vertrouwelijke gegevens makkelijk te onderscheppen

ma. 19 mei · 16:17 · Isa Visser

DAMWALD – De gemeente Dantumadiel heeft jarenlang burgers blootgesteld aan grote veiligheidsrisico’s door de domeinnaam dantumadiel.nl niet te registreren. Mails met persoonsgegevens, BSN-nummers en vertrouwelijke informatie konden worden onderschept door iedereen die dat wilde. Dat blijkt uit onderzoek van Omrop Fryslân.

Omrop Fryslân

DAMWALD – De gemeente Dantumadiel heeft jarenlang burgers blootgesteld aan grote veiligheidsrisico’s door de domeinnaam dantumadiel.nl niet te registreren. Mails met persoonsgegevens, BSN-nummers en vertrouwelijke informatie konden worden onderschept door iedereen die dat wilde. Dat blijkt uit onderzoek van Omrop Fryslân.

Bij wijze van proef huurde Omrop Fryslân het domein dantumadiel.nl vanaf 8 mei voor journalistiek onderzoek. Binnen een week kreeg de omroep zo 36 e-mails aan de gemeente in handen, waaronder berichten met persoonsgegevens van inwoners zoals BSN-nummers. Tussen de onderschepte berichten zaten onder andere mails over een huisbezoek van een maatschappelijk werker, mails over gemeentebelasting, mails over jeugdhulp, en mails met bezwaarschriften van inwoners.

Tekst loop door onder video: 

 

Allemaal verstuurd door burgers of instanties die per ongeluk niet @dantumadiel.frl gebruikten, maar @dantumadiel.nl.

Domein jarenlang niet beschermd

Dantumadiel gebruikt sinds 2017 het domein dantumadiel.frl voor haar officiële website en e-mailadressen, maar bleek dantumadiel.nl nooit te hebben vastgelegd. Dat domein is in handen van een derde partij en was tot begin mei 2025 voor iedereen die dat wilde te huren voor nog geen 5 euro per maand.

De verwarring met het mailadres werd verergerd door de gemeente zelf. Uit de onderschepte mails blijkt dat binnen de deuren van het gemeentehuis ook naar het “verkeerde” adres werd gemaild. Zo was het mailadres gekoppeld aan bedrijfssoftware, die automatisch informatie deelde over het verzuim van medewerkers van het wijkbeheer. Het verkeerde adres werd ook naar buiten gecommuniceerd. Tussen juli 2024 en maart 2025 publiceerde de gemeente in acht edities van het eigen gemeenteblad per ongeluk zelf het adres @dantumadiel.nl.

Burgers werd gevraagd om contact op te nemen via grondzaken@dantumadiel.nl, onder andere voor vragen over grondverkoop, subsidies en inspraakprocedures. “Dat is inderdaad riskant”, bevestigt Michiel Henneke van SIDN, de landelijke beheerder van het. nl-domein. “Mensen vergissen zich, en mailen gevoelige gegevens naar het verkeerde adres. Wat we vaker zien zijn commerciële of misleidende domeinnamen zoals ‘dantumadielgemeentegids.nl’, maar niet dat de echte gemeentenaam.nl vrij is.”

Gevaren

“Je kunt met zo’n domein valse facturen sturen, phishingmails versturen, of zelfs een nep-OZB-betaling aan burgers vragen”, waarschuwt Henneke. “In het bedrijfsleven is hiermee miljoenen verloren. Bij gemeenten zagen we Meierijstad, dat ging om 37 duizend euro.” Een medewerker van die Brabantse gemeente kreeg een mail van een zogenaamde collega met het verzoek om dat geldbedrag over te maken naar het bankrekeningnummer dat in werkelijkheid van een crimineel was. Het domein dantumadiel.nl is nu eigendom van Parknet BV. Dat bedrijf is de eigenaar van een groot portfolio aan domeinnamen, zoals ook ljouwert.nl of harns.nl.

Omrop Fryslân heeft vragen over het domein dantumadiel.nl voorgelegd aan Parknet via domeinmakelaar Domeinbank: “We hebben de eigenaar bericht, maar verwachten niet dat hij vóór de publicatiedatum kan reageren i.v.m. andere verplichtingen.” Zowel SIDN als de Vereniging van Nederlandse Gemeenten (VNG) adviseren overheden hun eigen namen vast te leggen in gangbare extensie, zoals .nl en .com en om risicovolle varianten te monitoren. Adviezen die door Dantumadiel zijn genegeerd. In Nederland zijn er naast Dantumadiel maar drie andere gemeenten die de .nl-domeinnaam op het moment niet hebben geregistreerd. 338 gemeenten hebben wel een .nl-domein.

Mogelijk sprake van datalek, gemeente moet het snel oplossen

Volgens de Algemene Verordening Gegevensbescherming (AVG) zijn overheden verplicht om passende maatregelen te nemen om persoonsgegevens te beschermen. De Autoriteit Persoonsgegevens kan zonder onderzoek niet zeggen of er sprake is van datalek. De Autoriteit reageert in algemene zin dat mogelijke datalekken “tijdig in beeld moeten komen” en dat “mensen erop moeten kunnen vertrouwen dat hun persoonlijke gegevens in veilige handen zijn”. Op basis van de geschetste situatie spreekt de AP van een incident dat de gemeente snel moet oplossen.

Reactie gemeente Dantumadiel

De uitkomsten van het onderzoek zijn voorgelegd aan de gemeente Dantumadiel. Een woordvoerder van de gemeente laat weten vanmorgen nog niet inhoudelijk te kunnen reageren. Dantumadiel zegt op korte termijn met een reactie te komen. Omrop Fryslân registreerde het domein dantumadiel.nl om aan te tonen welke risico’s een vergeten domeinregistratie oplevert. In tien dagen kwamen er 36 mails binnen. Omrop Fryslân heeft de afzenders van de mails op de hoogte gebracht van het onderzoek. De mails zijn niet gedeeld met derden en zijn inmiddels verwijderd.

Heb jij nieuws of een opmerking? Stuur de redactie een WhatsApp.
Stuur je tip, video of foto's naar:
0511-441202 of nieuws@rtvnof.nl.