Preview document (🔗 origineel)

---

In de afgelopen weken is bij interne controle door BZK geconstateerd dat de Rijksoverheid documenten publiceert waaruit – via de metadata - persoonsgegevens van ambtenaren achterhaald kunnen worden. Mede namens de minister van Binnenlandse Zaken en Koninkrijksrelaties informeer ik uw Kamer met deze brief over dit probleem en de genomen maatregelen en beantwoord ik de vragen die op 11 april zijn gesteld door het lid Buijsse (VVD) met kenmerk 2025Z07230 en door de leden Valize en Deen (beiden PVV) met kenmerk 2025Z07233.

Alhoewel het op juiste wijze publiceren onder de verantwoordelijkheid van organisaties zelf valt, heeft BZK de coördinatie van dit incident opgepakt, omdat het om een brede problematiek gaat die ook het gevoel van veiligheid van ambtenaren raakt. Het is belangrijk om te blijven benadrukken dat ambtenaren zich veilig moeten voelen om hun werk te kunnen doen zonder daarop in persoon aangesproken te worden.

Het probleem is ontstaan in interne processen van ministeries als de betreffende metadata bij de omzetting van documenten naar een publicatieformat niet goed worden opgeschoond. Op dit moment wordt nader onderzoek gedaan naar de exacte omvang van het probleem door alle documenten te scannen die via open.overheid.nl, Rijksoverheid.nl en Overheid.nl zijn gepubliceerd. Uit de eerste analyses komt het beeld naar voren dat zo’n 23% van de gepubliceerde documenten onjuist ingevulde velden in de metadata omvat. We zijn deze weken nog bezig het onderzoek verder af te ronden en tekenen daarbij aan dat deze problematiek waarschijnlijk verder gaat dan de publicatieplatformen van de Rijksoverheid. Alle ministeries hebben een voorlopige melding gedaan van dit datalek bij de Autoriteit Persoonsgegevens.

Maatregelen

Om meer inzicht te krijgen in de omvang van het probleem en om de gevolgen van het datalek zoveel mogelijk te beperken, zijn de volgende maatregelen in gang gezet:

• Er is een calamiteitenteam ingericht onder leiding van de CISO Rijk. Dit team coördineert de rijksbrede aanpak van het probleem. De Chief Privacy Officers van de departement en grote uitvoeringsorganisaties zijn betrokken bij het onderzoek en de maatregelen;

• Er wordt onderzoek gedaan naar de totale omvang van het probleem. Het probleem speelt bij alle ministeries en het gaat in ieder geval om verschillende soorten documenten die op open.overheid.nl, Rijksoverheid.nl en Overheid.nl zijn gepubliceerd;

• Er is door de getroffen ministeries een eerste melding gedaan bij de Autoriteit Persoonsgegevens. Door BZK-VRO is op 8 april een gemeenschappelijke melding gedaan, mede namens VWS, J&V, A&M, EZ, KGG en LVVN. Deze melding is later aangevuld met OCW en I&W. De andere ministeries hebben zelfstandig melding gedaan. Na afronding van het onderzoek zullen de meldingen aangevuld worden;

• Waar organisaties op basis van hun risicoanalyse ervoor kiezen tijdelijk informatie te depubliceren op platformen zoals open.overheid.nl en Rijksoverheid.nl is daaraan tegemoet gekomen;

• Departementen zijn zelf verantwoordelijk voor het verwijderen van de betreffende metadata uit documenten die worden gepubliceerd en worden daarbij zoveel mogelijk centraal ondersteund;

• Er zijn acties in gang gezet om zoveel mogelijk te voorkomen dat nieuwe documenten worden gepubliceerd die metadata bevatten met persoonsgegevens van ambtenaren. Bijvoorbeeld met een extra controle voordat documenten worden gepubliceerd;

• Er wordt gewerkt aan een plan van aanpak voor documenten die al gepubliceerd zijn. Waar nodig wordt informatie die gepubliceerd is op open.overheid.nl tijdelijk onzichtbaar gemaakt, zodat die kan worden ontdaan van persoonsgegevens in de metadata om deze daarna zo snel mogelijk weer toegankelijk te maken;

• Medewerkers zijn via een bericht op het intranet van het Rijk op de hoogte gebracht. Zodra we de juiste verwerkingsafspraken hebben, kunnen organisaties individuele medewerkers informeren of hun naam tijdelijk gepubliceerd is geweest;

• Er is contact opgenomen met de koepels van de medeoverheden om te onderzoeken of dit probleem ook geldt voor documenten van medeoverheden.

Met bovenstaande maatregelen hopen we de negatieve consequenties van het datalek zoveel mogelijk te beperken en gezamenlijk aan structurele oplossingen voor de toekomst te werken.

Ik betreur dat dit datalek via de media bekend is geworden, voordat medewerkers zelf en uw Kamer hierover zijn geïnformeerd. Het ministerie wilde eerst de omvang en impact van het probleem goed in kaart brengen, een beter beeld hebben van welke maatregelen nodig zijn om het probleem op te lossen en zo snel mogelijk en zoveel mogelijk persoonsgegevens die gepubliceerd zijn af te schermen. Ook was deze aanpak erop gericht te voorkomen dat er doelbewust gezocht zou worden naar namen van kwetsbare medewerkers.

Ik hecht eraan om uw Kamer hier goed over te blijven informeren. Daarom zal ik uw Kamer voor de zomer nog een brief sturen met de voortgang van de afhandeling van dit datalek.

De staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
Digitalisering en Koninkrijksrelaties

Zsolt Szabó

2025Z07230 (ingezonden 11 april 2025)

Vragen van het lid Buijsse (VVD) aan de minister van Binnenlandse Zaken en Koninkrijksrelaties over het bericht 'Ministeries getroffen door groot datalek'

Vraag 1

Bent u bekend met de berichtgeving 'Ministeries getroffen door groot datalek' van BNR? [1]

Antwoord

Ja.

Vraag 2

Welke gegevens zijn er allemaal 'weggelekt'?

Antwoord

Het gaat om persoonsgegevens die zijn opgenomen in de zogenoemde embedded metadata van een deel van de gepubliceerde documenten (onder andere Kamerbrieven en beslisnota’s) van de Rijksoverheid. Het gaat bijvoorbeeld om de namen van ambtenaren of hun gebruikersnaam en in een beperkt aantal gevallen een telefoonnummer.

Vraag 3

Hoe heeft het datalek kunnen ontstaan?

Antwoord

Het probleem ontstaat als een document bij de omzetting naar een publicatieformat niet goed is ontdaan van de betreffende metadata. Het opschonen van metadata is niet centraal ingeregeld, maar een intern proces van de departementen.

Vraag 4

Wanneer was u op de hoogte van het datalek bij uw ministerie?

Antwoord

We zijn op 10 april op de hoogte gebracht, nadat het lek was gemeld in de media.

Vraag 5

Waarom heeft u de Kamer niet geïnformeerd over het datalek?

Antwoord

Het gaat hier helaas om een actief datalek. We bevinden ons nog in de eerste fase van de aanpak van het datalek. De werkwijze voor deze fase is gericht op het analyseren van de situatie (wat is er gebeurd, wat is de exacte omvang, hoe kan het worden opgelost) en het beperken van de schade. In de eerste fase wordt ook een inschatting gemaakt van de risico’s.

In dit geval was publicatie in het openbaar in deze fase - waaronder het informeren van uw Kamer - onwenselijk, omdat brede bekendheid van een actief lek kan leiden tot een vergroot risico op misbruik van persoonsgegevens. Ik betreur dan ook zeer dat deze informatie voortijdig naar buiten is gekomen. Ik zou uw Kamer uiteraard geïnformeerd hebben zodra er meer helderheid was over de omvang van het probleem en het lek was gedicht.

Vraag 6

Waarom moest de Kamer dit nieuws vernemen via de media?

Antwoord

Ik betreur het zeer dat deze informatie via de media naar buiten is gekomen. De aanpak van het lek was nog niet in het stadium om hiermee al naar buiten te treden. Zie ook het antwoord op vraag 5.

Vraag 7

Kunt u deze vragen één voor één beantwoorden?

Antwoord

Ja.

[1] BNR, 10 april 2025, 'Ministeries getroffen door groot datalek'

(https://www.bnr.nl/nieuws/nieuws-politiek/10571230/ministeries-getroffen-door-groot-datalek).

2025Z07233 (ingezonden 11 april 2025)

Vragen van de leden Valize en Deen (beiden PVV) aan de minister en staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over de berichtgeving omtrent de grote datalekken bij de ministeries van Binnenlandse Zaken en Koninkrijksrelaties, Economische Zaken en Klimaat en Groene Groei.

Vraag 1

Bent u bekend met de berichtgeving omtrent de grote datalekken bij verschillende ministeries? Zo ja, wanneer bent u geïnformeerd over deze datalekken en bij welke ministeries zijn deze geconstateerd? [1]

Antwoord

Ja. We zijn op 10 april op de hoogte gebracht, nadat het lek was gemeld in de media. Het lek is geconstateerd bij alle ministeries.

Vraag 2

Klopt de berichtgeving dat deze datalekken een ‘privacyprobleem’ betreffen en kunt u deze gebruikte term definiëren alsook verklaren waarom er bij de constatering dat het om een privacyprobleem ging niet direct geschakeld werd met de Autoriteit Persoonsgegevens?

Antwoord

Ja, het lek raakt de privacy van ambtenaren. Ambtenaren moeten zich veilig voelen om hun werk te kunnen doen, zonder daar in persoon op aangesproken te worden. Dit lek maakt het in sommige gevallen mogelijk om individuele ambtenaren te relateren aan bepaalde documenten. Dat is onwenselijk. Er is door de getroffen ministeries een eerste melding gedaan bij de Autoriteit Persoonsgegevens. Door BZK-VRO is op 8 april een gemeenschappelijke melding gedaan, mede namens VWS, J&V, A&M, EZ, KGG en LVVN. Deze melding is later aangevuld met OCW en I&W. De andere ministeries hebben zelfstandig melding gedaan. Na afronding van het onderzoek zullen de meldingen aangevuld worden;

Vraag 3

Welke informatie is er vrijgekomen als gevolg van deze datalekken en bevat deze informatie ook persoonsgegevens?

Antwoord

Het gaat om persoonsgegevens die zijn opgenomen in de metadata van een deel van de gepubliceerde documenten (onder andere Kamerbrieven en beslisnota’s) van de Rijksoverheid. Het gaat bijvoorbeeld om de namen van ambtenaren of hun gebruikersnaam en in een beperkt aantal gevallen een telefoonnummer.

Vraag 4

Welke maatregelen zijn getroffen om datalekken tegen te gaan en is daarmee erger voorkomen?

Antwoord

De volgende maatregelen zijn getroffen:

• Er is een centraal calamiteitenteam ingericht;

• Er loopt onderzoek naar de exacte omvang van het probleem;

• Er is door alle getroffen ministeries een voorlopige melding gedaan bij de Autoriteit Persoonsgegevens;

• Er zijn maatregelen in gang gezet die publicatie van ongewenste metadata bij nieuwe publicaties moet voorkomen;

• Er wordt gewerkt aan een plan van aanpak voor documenten die al gepubliceerd zijn. Mogelijk moeten er hierdoor (tijdelijk) documenten van open.overheid.nl worden gehaald.

• De diverse departementen en de betrokken dienstverleners overleggen dagelijks over de stand van zaken.

• Medewerkers zijn via een bericht op het intranet van de Rijksoverheid op de hoogte gebracht.

In de meeste gevallen zijn dit soort maatregelen voldoende om de gevolgen van een datalek te beperken. Echter, in dit geval gaat het om een actief lek dat al breed bekend is vanwege de berichten hierover in de media. De gevolgen hiervan kunnen we op dit moment niet goed overzien. Ik wil daarom nogmaals benadrukken dat ik het zeer betreur dat deze informatie voortijdig naar buiten is gekomen.

Vraag 5

Zijn er aanwijzingen dat het gaat om een statelijke actor?

Antwoord

Nee, dit datalek is niet veroorzaakt door statelijke actoren. Het datalek is ontstaan doordat de metadata voor publicatie niet goed is ontdaan van de gegevens die zijn beschreven in het antwoord op vraag 3.

[1] BNR, 10 april 2025, 'Ministeries getroffen door groot datalek'

(https://www.bnr.nl/nieuws/nieuws-politiek/10571230/ministeries-getroffen-door-groot-datalek).