Dat blijkt uit onderzoek van Timo Jepekema, die als studentjournalistiek aan de Hogeschool voor Journalistiek Windesheim schrijft voor de studentenkrant Primo, in samenwerking met Webwereld. De 18-jarige Robin de Vos was een van de 7.127 jongeren die door de gemeente werd gevraagd mee te doen aan de enquête 'Veilig opgroeien in Leeuwarden'. Het onderzoek wordt gehouden onder jongeren van 12 tot 18 jaar, die via een brief zijn uitgenodigd. Die gegevens waren afkomstig uit de gemeentelijke basisadministratie.

Lek

Om de vragenlijst te kunnen invullen moeten de jongeren een code invoeren. Maar wie een cijfer verandert, komt vervolgens in de vragenlijst van een ander uit. Als die al is ingevuld, dan worden de resultaten zichtbaar. Dat zijn vragen over alcohol- en drugsgebruik, maar ook of iemand ooit in de gevangenis heeft gezeten en hoe de familie met de jongeren omgaat.

Volgens het bedrijf Partoer, dat in opdracht van de gemeente Leeuwarden het onderzoek organiseert, vallen de risico's wel mee. “Je moet een hele dag lang 10.000 verschillende codes invullen om in te kunnen loggen. Dan is het mogelijk om de enquête van een ander te kunnen bekijken," stelt zegsvrouw Wilma de Vries tegenover Primo.

Niet anoniem

Terecht of niet, het gevolg is wel dat als iemand zich toegang verschaft de enquête toch niet zo anoniem is als beloofd. Niet alleen zijn de vragen zichtbaar, maar ook de naam van de jongere, zijn GSM-nummer en e-mailadres. Die blijken namelijk samen met de antwoorden te worden bewaard.

“In de brief die jongeren hebben ontvangen is aangegeven dat de vragenlijst anoniem is en dat het invullen van de naam en adres niet nodig is. Willen jongeren echter kans maken op de iPad/iPod, dan is het vermelden van een emailadres nodig", zegt Anthonie Feenstra, van de gemeente Leeuwarden. “Zoals afgesproken met Partoer worden de persoonsgegevens alleen voor het communiceren over de uitslag van de prijzen gebruikt. Dit is ook in de enquête als zodanig aangegeven."

Maar los van het gebruik blijkt dat de gegevens wel aan elkaar gekoppeld kunnen worden en is er sprake van een persoonsadministratie. Uit onderzoek van Webwereld blijkt dat deze administratie niet is aangemeld bij het College Bescherming Persoonsgegevens. Volgens Gerrit-Jan Zwenne, professor Privacy Recht aan de Universiteit van Leiden, is het niet helemaal zeker of dit verplicht is maar als er iets moet worden aangemeld moet dat door de gemeente worden gedaan.

Geen schuld bij de gemeente

De Leeuwarders ontkennen dat dit hun verantwoordelijkheid is. “Gelet op de verdeling van de verantwoordelijkheden is Partoer hiervoor verantwoordelijk", betoogt Feenstra. Dat bedrijf zou ook verantwoordelijk zijn voor zaken als beveiliging. “In de overeenkomst die met Partoer (onderzoeker) is afgesloten is vastgelegd dat zij de geheimhouding van persoonsgegevens waarborgen."

Maar daar gaat de gemeente te kort door de bocht. “De gemeente is hier de verantwoordelijke. Op de gemeente rust de verantwoordelijkheid de bescherming te waarborgen", stelt Zwenne resoluut. “De gemeente mag het uitbesteden, maar zij zullen zichzelf tegenover het CBP moeten verantwoorden."

Volgens de hoogleraar hebben zowel de bewerker als de verantwoordelijke een plicht om zorgvuldig met persoonsgegevens om te gaan. “Dat zal als de meldplicht er straks is nog veel pregnanter naar voren komen."