Dat meldt RTL Nieuws vrijdag op basis van onderzoek naar de websites van 175 gemeentes.
Bij 33 gemeentes zouden gegevens nog kunnen worden onderschept door het lek in SSL, het protocol dat normaal juist zorgt voor de beveiliging van internetverkeer. Bij zestien gemeentes zouden gevoelige gegevens helemaal niet versleuteld worden verstuurd.
Diemen en Purmerend hebben het lek inmiddels gedicht. Welke gemeentes nog meer zijn getroffen is niet bekendgemaakt, om misbruik van het lek te voorkomen.
Eerder zeiden onderzoekers al dat ongeveer een derde van alle websites ter wereld kwetsbaar zijn voor het lek, dat is ontstaan door het bewuste gebruik van zwakke encryptie in de jaren 90.
Overtreding
Volgens RTL Nieuws is de beveiliging van 51 andere gemeentewebsites niet up to date, of zijn delen van de site kwetsbaar voor het Drown-lek. Het gaat dan bijvoorbeeld alleen om de webmail van medewerkers.
Een woordvoerder van de Autoriteit Persoonsgegevens zegt dat de slechte beveiliging mogelijk een overtreding van de Wet bescherming persoonsgegevens betekent. Het is onduidelijk of de waakhond van plan is om onderzoek in te stellen naar de gemeentes.
Om het lek te dichten moeten beheerders van websites updaten naar een nieuwere versie van het SSL-protocol.