Stand van zaken onderzoek naar autorisatiebeheer Handelsregister
Verwerking en bescherming persoonsgegevens
Brief regering
Nummer: 2022D16434, datum: 2022-04-21, bijgewerkt: 2024-02-19 10:56, versie: 5
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-32761-219).
Gerelateerde personen:- Eerste ondertekenaar: M.A.M. Adriaansens, minister van Economische Zaken en Klimaat
Onderdeel van kamerstukdossier 32761 -219 Verwerking en bescherming persoonsgegevens.
Onderdeel van zaak 2022Z08160:
- Indiener: M.A.M. Adriaansens, minister van Economische Zaken en Klimaat
- Voortouwcommissie: vaste commissie voor Digitale Zaken
- 2022-05-10 16:00: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2022-05-17 16:30: Procedurevergadering EZK (Procedurevergadering), vaste commissie voor Economische Zaken en Klimaat (2017-2024)
- 2022-06-01 11:00: Procedurevergadering (Procedurevergadering), vaste commissie voor Digitale Zaken
- 2022-06-15 12:00: Stand van zaken onderzoek naar autorisatiebeheer Handelsregister (32761-219) (Inbreng schriftelijk overleg), vaste commissie voor Digitale Zaken
- 2023-09-07 13:45: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2021-2022 |
32 761 Verwerking en bescherming persoonsgegevens
Nr. 219 BRIEF VAN DE MINISTER VAN ECONOMISCHE ZAKEN EN KLIMAAT
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 21 april 2022
Ik heb u in mijn brief van 18 november 20211 toegezegd u in het eerste kwartaal van 2022 per brief te informeren over de voortgang van het onderzoek naar het datalek bij de Kamer van Koophandel. Met deze brief doe ik mijn belofte gestand en deel ik met u de resultaten van het onderzoek naar de overige autorisaties en de voortgang van de controle op de «medewerker autorisaties» van de beroepsgroepen advocaten, notarissen en gerechtsdeurwaarders.
Ik kan u inmiddels melden dat KVK het autorisatiebeheer op orde heeft gebracht.
Ook de Nederlandse Vereniging van Advocaten (NOvA), de Koninklijke Notariële Beroepsorganisatie (KNB) en de Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders (KBvG) besteden naar aanleiding van deze kwestie extra aandacht aan de rechten en plichten verbonden aan autorisaties voor niet-openbare gegevens. Daarmee is de kans op misbruik aanzienlijk afgenomen.
In deze brief ga ik nader in op de door de KVK genomen verbetermaatregelen en kom ik terug op de openstaande punten uit de vorige brief. Tot slot neem ik u mee in de doorontwikkeling van het autorisatiebeheer bij de KVK.
Verbetermaatregelen KVK
KVK heeft de afgelopen tijd een aantal verbetermaatregelen doorgevoerd.
• De door KVK aangekondigde controle op alle verstrekte (medewerker)autorisaties voor het inzien van privéadressen is afgerond. De directies van de gecontroleerde organisaties (advocatenkantoren, notariskantoren, gerechtsdeurwaarders en overheden) is gevraagd de aan hun medewerkers verstrekte autorisaties te bevestigen en de aangescherpte gebruikersvoorwaarden te accepteren. Alle niet-bevestigde autorisaties zijn ingetrokken.
• Het autorisatiebeleid is aangescherpt en de administratie dusdanig ingericht dat de primair geautoriseerden (de beroepsbeoefenaren) en de gedelegeerd geautoriseerden (hun medewerkers) te onderscheiden zijn. Zodoende vervallen de gedelegeerde autorisaties zodra geen primair geautoriseerde meer aanwezig is.
• Op basis van het geschoonde bestand worden de bij KVK geregistreerde primair geautoriseerden sindsdien periodiek vergeleken met de registers van de beroepsorganisaties.
• Autorisaties van primair geautoriseerden, die niet meer geregistreerd staan bij de respectievelijke beroepsorganisatie worden direct ingetrokken.
• De systemen borgen dat er altijd minstens één primair geautoriseerde aanwezig moet zijn om de autorisaties voor medewerkers (gedelegeerde autorisatie) toe te (blijven) staan.
• De frequentie voor de periodieke controle is tweewekelijks voor de NOvA, maandelijks voor de KNB en dagelijks voor de KBvG.
• Naast de periodieke controle op primair geautoriseerden bij de beroepsorganisaties zal KVK voortaan een jaarlijkse controle uitvoeren op álle verstrekte autorisaties, inclusief de autorisaties bij bestuursorganen.
Openstaande punten vorige brief
In de vorige brief maakte ik melding van de in het najaar uitgevoerde eerste controle op IPA (Inzage Privéadres)- autorisaties van advocaten, notarissen en gerechtsdeurwaarders. Het vervolg van dit onderzoek had betrekking op de afwikkeling van onbevoegde adres inzage van acht voormalig advocaten en de uitkomsten van de controle op medewerkers autorisaties van niet-overheden. Over beide onderdelen vindt u onderstaand een terugkoppeling.
Naar de verklaringen van acht advocaten werd nog nader onderzoek gedaan. Dit was nog niet gereed bij het versturen van de vorige brief. De uitkomst is inmiddels bekend en is als volgt:
– Van drie advocaten heeft KVK in plaats van het standaard retourformulier een eigen sluitende verklaring ontvangen.
– Van vijf voormalig advocaten heeft KVK geen verklaring ontvangen. KVK heeft zes betrokkenen wiens gegevens zijn meegeleverd met de onbevoegde bevragingen met een brief geïnformeerd.
Zoals aangekondigd in de vorige update, heeft KVK alle niet-overheidsorganisaties met IPA-autorisaties benaderd en gevraagd de aan hen verstrekte autorisaties te bevestigen en de aangescherpte gebruikersvoorwaarden te accepteren. Ten behoeve van de periodieke bestandvergelijking is voor de primair geautoriseerden het lidmaatschapsnummer bij de beroepsorganisatie uitgevraagd. Bij 1.620 organisaties is deze uitvraag gedaan. Organisaties die niet binnen de gestelde termijn hebben gereageerd zijn afgesloten.
Vervolgens is het risico op onbevoegde bevragingen door de ruim 700 niet-respondenten onderzocht. Op drie organisaties na bleek een bevoegd beroepsbeoefenaar ten tijde van de bevragingen aanwezig te zijn. Voor de bevragingen van de overige drie organisaties zijn ofwel sluitende verklaringen afgegeven ofwel bleek uit de aard van de bevragingen vrijwel geen risico voor betrokkenen.
Overheden (zoals de zogeheten a-bestuursorganen) hebben per definitie recht op een IPA-autorisatie. Medewerkers van deze bestuursorganen handelen namens het bestuursorgaan, dat deze autorisaties ook beheert voor zijn medewerkers. Als extra zekerheid heeft KVK haar administratie met overheidsorganisaties gesynchroniseerd. Dit als onderdeel van de al bestaande en doorlopende afstemming met deze instanties. De autorisaties van niet-respondenten zijn zekerheidshalve ingetrokken.
Doorontwikkeling autorisatiebeheer
KVK zal blijven werken aan het verbeteren van het autorisatiebeheer. Zo doet KVK in samenwerking met de beroepsorganisaties onderzoek naar automatisering van de periodieke controle. Met de bovengenoemde genomen stappen is het autorisatiebeheer aanzienlijk verbeterd.
De Minister van Economische Zaken en Klimaat,
M.A.M. Adriaansens
Kamerstuk 32 761, nr. 201.↩︎