De Friese gemeente Dantumadiel heeft jarenlang burgers blootgesteld aan grote veiligheidsrisico’s door de domeinnaam dantumadiel.nl niet te registreren. Dat blijkt uit onderzoek van Omrop Fryslân. Mails met persoonsgegevens, bsn-nummers en vertrouwelijke informatie konden worden onderschept door iedereen die dat wilde.
Dantumadiel gebruikt sinds 2017 het domein dantumadiel.frl voor zijn officiële website en e-mailadressen. Het domein dantumadiel.nl heeft de gemeente nooit vastgelegd, maar mensen sturen wel per ongeluk e-mails naar dit adres, blijkt uit onderzoek van de regionale omroep.
Mails met persoonsgegevens naar verkeerde adres gestuurd
Het domein is in handen van een derde partij en was tot begin mei 2025 voor iedereen die dat wilde te huren. Bij wijze van proef huurde Omrop Fryslân het .nl-domeinnaam voor journalistiek onderzoek. Binnen ruim een week kreeg de omroep 36 e-mails aan de gemeente in handen, waaronder berichten met persoonsgegevens van inwoners zoals bsn-nummers.
Tussen de onderschepte berichten zaten volgens de regionale omroep onder andere mails over een huisbezoek van een maatschappelijk werker, mails over gemeentebelasting, mails over jeugdhulp, en mails met bezwaarschriften van inwoners.
Een voorbeeld van zo’n mail:
Ook de gemeente zelf ging enkele keren de mist in en stuurde mails naar het verkeerde adres. Zo was het mailadres gekoppeld aan bedrijfssoftware, die automatisch informatie deelde over het verzuim van medewerkers van het wijkbeheer.
De gemeente communiceerde het verkeerde adres ook zelf. Tussen juli 2024 en maart 2025 publiceerde de gemeente in acht edities van het eigen gemeenteblad per ongeluk zelf het adres @dantumadiel.nl. Burgers werd gevraagd om contact op te nemen via grondzaken@dantumadiel.nl, onder andere voor vragen over grondverkoop, subsidies en inspraakprocedures.
Gevaren
Volgens Michiel Henneke van de Stichting Internet Domeinregistratie Nederland (SIDN) is het risicovol als een .nl-domeinnaam van een gemeente vrij is. Deze stichting beheert sinds 1996 de domeinnamen die eindigen op .nl. “Mensen vergissen zich, en mailen gevoelige gegevens naar het verkeerde adres”, zegt Henneke tegen Omrop Fryslân. “Wat we vaker zien zijn commerciële of misleidende domeinnamen zoals ‘dantumadielgemeentegids.nl’, maar niet dat de echte gemeentenaam.nl vrij is.”
Volgens Henneke kunnen mensen de domeinnaam claimen voor verkeerde doeleinden. “Je kunt met zo’n domein valse facturen sturen, phishingmails versturen, of zelfs een nep-OZB-betaling aan burgers vragen”, waarschuwt hij.
Zowel SIDN als de Vereniging van Nederlandse Gemeenten (VNG) adviseert overheden hun eigen namen vast te leggen in gangbare extensie, zoals .nl en .com en om risicovolle varianten te monitoren. In Nederland zijn er naast Dantumadiel maar drie andere gemeenten die de .nl-domeinnaam op het moment niet hebben geregistreerd. 338 gemeenten hebben wel een .nl-domein.
Snel oplossen
Volgens de Algemene Verordening Gegevensbescherming (AVG) zijn overheden verplicht om passende maatregelen te nemen om persoonsgegevens te beschermen. Of er bij de gemeente Dantumadiel sprake is van een datalek, kan de Autoriteit Persoonsgegevens zonder onderzoek niet zeggen.
De Autoriteit reageert in algemene zin dat mogelijke datalekken “tijdig in beeld moeten komen” en dat “mensen erop moeten kunnen vertrouwen dat hun persoonlijke gegevens in veilige handen zijn”. Op basis van de geschetste situatie spreekt de AP van een incident dat de gemeente snel moet oplossen.
De uitkomsten van het onderzoek zijn voorgelegd aan de gemeente Dantumadiel. Een woordvoerder van de gemeente laat aan Omrop Fryslân weten nog niet inhoudelijk te kunnen reageren. De gemeente zegt op korte termijn met een reactie te komen.