Update datalek bij de Kamer van Koophandel
Verwerking en bescherming persoonsgegevens
Brief regering
Nummer: 2021D44525, datum: 2021-11-18, bijgewerkt: 2024-02-19 10:56, versie: 4
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-32761-201).
Gerelateerde personen:- Eerste ondertekenaar: S.A. Blok, minister van Economische Zaken en Klimaat (Ooit VVD kamerlid)
Onderdeel van kamerstukdossier 32761 -201 Verwerking en bescherming persoonsgegevens.
Onderdeel van zaak 2021Z20877:
- Indiener: S.A. Blok, minister van Economische Zaken en Klimaat
- Volgcommissie: vaste commissie voor Economische Zaken en Klimaat (2017-2024)
- Voortouwcommissie: vaste commissie voor Digitale Zaken
- 2021-11-23 15:30: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2021-12-01 11:00: Procedurevergadering (via videoverbinding) (Procedurevergadering), vaste commissie voor Digitale Zaken
- 2022-02-03 10:00: Lekken van privégegevens bij de Kamer van Koophandel (Commissiedebat), vaste commissie voor Digitale Zaken
- 2022-02-10 14:45: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2021-2022 |
32 761 Verwerking en bescherming persoonsgegevens
Nr. 201 BRIEF VAN DE MINISTER VAN ECONOMISCHE ZAKEN EN KLIMAAT
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 18 november 2021
De Kamer van Koophandel (KVK) heeft afgelopen zomer melding gemaakt van een datalek bij het Handelsregister. Een persoon die zich sinds 15 januari 2021 heeft uitgeschreven als advocaat bij de Nederlandse Orde van Advocaten heeft reguliere handelsregisterproducten opgevraagd, waarbij op grond van zijn/haar autorisatie als advocaat, niet-openbare privéadressen zijn meegeleverd. De persoon was hiertoe niet langer bevoegd. In totaal zijn door deze persoon 596 producten uit het Handelsregister (HR) opgevraagd. Met deze producten zijn in totaal 1785 privéadressen meegeleverd waarvan het in 1776 gevallen het actuele privéadres van de betrokkene betrof. De opgevraagde gegevens betroffen een brede waaier aan organisaties met uiteenlopende maatschappelijke en economische doelstellingen.
In de context van het maatschappelijk debat over privacy versus transparantie zijn zowel KVK als ik ons bewust van de ernst van deze situatie. Helaas worden dilemma’s en risico’s vaak pas concreet of zichtbaar in de uitvoering van het beleid bij de uitvoerende instanties. Zo ook bij het beheer van de autorisaties van specifieke beroepsgroepen en instanties, die bij wet zijn aangewezen, om afgeschermde en niet-openbare privéadressen in te kunnen zien voor de uitoefening van hun beroep. Het is de verantwoordelijkheid van deze beroepsgroepen, waaronder de advocatuur, om integer om te gaan met de door de wet toegekende bevoegdheden. Wanneer, zoals in dit geval, een advocaat stopt met zijn beroep, is het zijn verantwoordelijkheid om hiervan melding te doen bij KVK en de autorisatie in te laten trekken. In de voorliggende casus heeft de voormalige advocaat dit niet gedaan. Daarnaast constateren we gezamenlijk dat het beheer, en dan met name de intrekking van autorisaties, beter geregeld moet worden. KVK heeft naar aanleiding van het datalek, dat dit probleem blootlegde, dan ook direct een aantal maatregelen genomen om de ontstane situatie te keren en de risico’s met betrekking tot beheer van autorisaties van beroepsgroepen op het HR beter te beheersen.
In een breder verband adresseer ik de dilemma’s tussen privacy en transparantie met de ontwikkeling van de datavisie voor het handelsregister. In dat kader onderzoek ik samen met KVK, en middels openbare consultaties ook met belanghebbenden, wie wanneer wat mag doen met de data uit het Handelsregister. Ik heb u toegezegd u in december aanstaande te informeren over de voortgang van deze beleidsvisie op het gebruik van data uit het HR.
Door de leden Leijten (SP), Simons (BIJ1) en Van Ginneken (D66) van uw Kamer zijn schriftelijke vragen gesteld over het datalek. Deze zijn op 9 september 2021, beantwoord1. Tijdens het debat over de bedreiging van journalisten op 9 september 20212 is het onderwerp in uw Kamer aan de orde gesteld. Naar aanleiding van het verzoek van uw Kamer doe ik u hierbij de informatie toekomen over de voortgang van dit onderzoek ten behoeve van het commissiedebat, gepland op 30 november 2021.
Door KVK genomen maatregelen direct na constatering van het datalek
Na constatering heeft KVK destijds direct een aantal maatregelen getroffen.
– De autorisatie van de betreffende voormalig advocaat is per direct ingetrokken. De betrokken persoon is verzocht om de onrechtmatig verkregen informatie per direct te vernietigen en KVK heeft een schriftelijke bevestiging ontvangen dat dit is gebeurd.
– Omdat deze persoon onbevoegd gebruik heeft gemaakt van de, aan advocaten toegekende, autorisatie en omdat daarnaast sprake was van afwijkend, systematisch, bevragingsgedrag na uitschrijving van het tableau, is aangifte gedaan bij de politie.
– KVK heeft de schriftelijke bevestiging van de persoon gedeeld met de politie die de zaak verder in onderzoek heeft genomen. Het OM heeft de zaak in beoordeling. Over de uitkomst daarvan is nog niets bekend.
– KVK heeft dit lek gemeld bij de Autoriteit Persoonsgegevens.
– KVK heeft conform de Algemene Verordening Gegevensbescherming (AVG) de betrokken personen geïnformeerd over het onbevoegd opvragen van hun organisatiegegevens waardoor actuele privégegevens inzichtelijk waren.
– KVK heeft zich in verbinding gesteld met het Hoofd Beveiliging van de Tweede Kamer zodat hij adequaat zijn werk kan doen3.
– KVK is daarnaast in samenwerking met de Nederlandse Orde van Advocaten (NOvA), de Koninklijke Notariële Beroepsorganisatie (KNB) en de Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders (KBvG) gestart met het controleren van alle verleende autorisaties.
Toegang van beroepsgroepen tot het Handelsregister
Voor het afgeven van autorisaties heeft KVK een proces waar verschillende controles worden uitgevoerd om te borgen dat alleen de in artikel 51 Handelsregisterbesluit 2008 (Hrb) genoemde bevoegde personen/instanties een autorisatie ontvangen. Door advocaten, notarissen en deurwaarders mogen privéadressen worden opgevraagd op basis van dit artikel 51 Hrb. KVK voert dit uit door middel van het toekennen van autorisaties (op verzoek) aan deze beroepsbeoefenaren. Beroepsbeoefenaren kunnen daarbij ook hun medewerkers opdracht c.q. volmacht geven onder verantwoordelijkheid van deze beroepsbeoefenaren deze bevragingen te doen. Bevragingen zijn altijd te herleiden tot de afgegeven autorisatie (op persoonsniveau).
Het Hrb vermeldt nu niet voor welke (wettelijke) taken de beroepsbeoefenaren deze gegevens mogen opvragen. De gebruiksvoorwaarden van KVK geven hier wel een zekere invulling aan. Daarin is onder meer bepaald dat deze niet-openbare gegevens uitsluitend gebruikt mogen worden voor de uitvoering van wettelijke taken en dat gebruik geen inbreuk mag maken op de rechten van KVK of derden. De gegevens mogen dus niet voor andere, waaronder commerciële doeleinden, worden gebruikt.
Enkele voorbeelden van gebruik van privéadressen door deze beroepsgroepen zijn:
– Advocaten: o.a. ten behoeve van het in privé aansprakelijk stellen van eigenaren van ondernemingen en functionarissen van rechtspersonen;
– Gerechtsdeurwaarders: voor het kunnen betekenen van formeel juridische documenten aan het juiste (woon)adres van personen.
– Notarissen: voor het opstellen van akten waarbij bijvoorbeeld een natuurlijk persoon als partij optreedt (onder meer opgenomen in wet op het notarisambt welke gegevens hiervoor benodigd zijn).
Onderzoek naar autorisaties bij deze beroepsgroepen
Nadat de maatregelen ten aanzien van de boven omschreven casus genomen waren is KVK aanstonds gestart met een breder onderzoek naar autorisaties verleend aan de beroepsgroepen en hun medewerkers.
Controle op beroepsgroepen en maatregelen
Er is een controle uitgevoerd op de IPA (Inzage Privéadres)-autorisaties van advocaten, notarissen en gerechtsdeurwaarders.
– Na bestandsvergelijkingen met de Nederlandse Orde van Advocaten (NOvA) is geconstateerd dat 164 voormalig advocaten nog geautoriseerd waren om niet-openbare privéadressen in te zien. Deze autorisaties zijn per 11 augustus 2021 ingetrokken.
– Na bestandvergelijking met de Koninklijke Notariële Beroepsorganisatie (KNB) en de Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders (KBvG) zijn op 7 september 2021 de autorisaties van 70 voormalig notarissen ingetrokken en op 16 september 2021 de autorisaties van 15 voormalig gerechtsdeurwaarders.
Als vervolgactie op deze controle zijn deze voormalige beroepsbeoefenaren benaderd en gevraagd een verklaring af te geven voor de bevragingen van het Handelsregister na neerlegging van hun ambt. Uit deze vervolgactie kwamen de volgende resultaten naar boven:
– Bij het opvragen van de verklaringen bleek dat in veel gevallen het account met IPA-autorisatie is overgedragen aan een bevoegde opvolger van de inmiddels vertrokken bevoegd advocaat, notaris of gerechtsdeurwaarder. Zij verklaarden conform hun beroepscodes met de adresgegevens te zijn omgegaan.
– Van 156 van de 164 voormalig advocaten, van alle voormalig notarissen en van alle voormalige gerechtsdeurwaarders zijn sluitende verklaringen ontvangen. Op basis van deze verklaringen heeft KVK geconcludeerd dat de risico's voor de betrokkenen zo laag zijn, dat het informeren van de betrokkenen een disproportionele maatregel zou zijn. Dit in lijn met de richtlijnen van de AVG.
– Van 8 voormalig advocaten is geen of geen sluitende verklaring ontvangen. Dit raakt een beperkt aantal unieke personen. Deze verklaringen worden momenteel nog nader onderzocht. Op basis van de resultaten van deze nadere analyse bepaalt KVK, met in achtneming van de AVG, de vervolgstappen.
Controle op medewerkers en maatregelen
Naast advocaten, notarissen en gerechtsdeurwaarders mogen ook hun medewerkers in opdracht van deze beroepsbeoefenaren bevragingen met IPA-gegevens doen. Zij staan niet in de registers van de koepels opgenomen en zijn in de hierboven beschreven eerste controle op de drie beroepsgroepen nog buiten beschouwing gelaten. KVK is daarom in de afgelopen weken in overleg getreden met enkele grote advocaten- en notarissenkantoren om na te denken over hoe om te gaan met medewerker autorisaties.
Op basis hiervan worden de volgende aanvullende maatregelen genomen:
– Het laten herbevestigen van alle verstrekte autorisaties. Start 15 november, afronding in januari 2022. Zonder herbevestiging wordt de autorisatie ingetrokken.
– Het in kaart brengen van eventuele risico's als gevolg van eventuele onbevoegde bevragingen van medewerkers.
– De KVK-administratie dusdanig inrichten dat primair de geautoriseerde (de beroepsbeoefenaren) en de gedelegeerd geautoriseerde (hun medewerkers) herkenbaar zijn met adequaat beheer hierop.
– Het implementeren van een jaarlijkse controle op de actualiteit van de primaire en gedelegeerde autorisaties.
– Periodieke bestandsvergelijking met beroepsorganisaties NOvA, KNB en KBvG.
– Voor de korte termijn een minstens maandelijkse uitwisseling met de bovengenoemde koepels.
– KVK onderzoekt in nauwe samenwerking met de koepels de technische mogelijkheden voor een directe, real-time koppeling. De realisatie hiervan zal, afhankelijk van uitkomsten van het onderzoek, niet eerder dan tweede helft 2022 of, eerste helft 2023 plaatsvinden.
Vervolgonderzoek naar overige autorisaties
– Ook overheden (zoals de zogeheten a-bestuursorganen) hebben recht op een IPA-autorisatie. Medewerkers van deze bestuursorganen handelen per definitie namens het bestuursorgaan, dat deze autorisaties ook beheert voor zijn medewerkers.
– KVK intensiveert de bestaande en doorlopende afstemming met deze instanties en actualiseert haar administratie daar waar nodig.
Ik zal u in het eerste kwartaal van 2022 per brief informeren over de resultaten van het onderzoek naar de overige autorisaties en de voortgang van de controle op de «medewerker autorisaties» van de beroepsgroepen advocaten, notarissen en gerechtsdeurwaarders.
De Minister van Economische Zaken en Klimaat,
S.A. Blok