Preview document (🔗 origineel)

---

Tweede Kamer der Staten-Generaal	2
Vergaderjaar 2024-2025

32 761 Verwerking en bescherming persoonsgegevens

26 643 Informatie- en communicatietechnologie (ICT)

Nr. 319 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 18 april 2025

In de afgelopen weken is bij interne controle door BZK geconstateerd dat de rijksoverheid documenten publiceert waaruit – via de metadata – persoonsgegevens van ambtenaren achterhaald kunnen worden. Mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties informeer ik uw Kamer met deze brief over dit probleem en de genomen maatregelen en beantwoord ik de vragen die op 11 april zijn gesteld door het lid Buijsse (VVD) met kenmerk 2025Z07230 en door de leden Valize en Deen (beiden PVV) met kenmerk 2025Z07233.

Alhoewel het op juiste wijze publiceren onder de verantwoordelijkheid van organisaties zelf valt, heeft BZK de coördinatie van dit incident opgepakt, omdat het om een brede problematiek gaat die ook het gevoel van veiligheid van ambtenaren raakt. Het is belangrijk om te blijven benadrukken dat ambtenaren zich veilig moeten voelen om hun werk te kunnen doen zonder daarop in persoon aangesproken te worden.

Het probleem is ontstaan in interne processen van ministeries als de betreffende metadata bij de omzetting van documenten naar een publicatieformat niet goed worden opgeschoond. Op dit moment wordt nader onderzoek gedaan naar de exacte omvang van het probleem door alle documenten te scannen die via open.overheid.nl, rijksoverheid.nl en Overheid.nl zijn gepubliceerd. Uit de eerste analyses komt het beeld naar voren dat zo’n 23% van de gepubliceerde documenten onjuist ingevulde velden in de metadata omvat. We zijn deze weken nog bezig het onderzoek verder af te ronden en tekenen daarbij aan dat deze problematiek waarschijnlijk verder gaat dan de publicatieplatformen van de rijksoverheid. Alle ministeries hebben een voorlopige melding gedaan van dit datalek bij de Autoriteit Persoonsgegevens.

Maatregelen

Om meer inzicht te krijgen in de omvang van het probleem en om de gevolgen van het datalek zoveel mogelijk te beperken, zijn de volgende maatregelen in gang gezet:

• Er is een calamiteitenteam ingericht onder leiding van de CISO Rijk. Dit team coördineert de rijksbrede aanpak van het probleem. De Chief Privacy Officers van de departement en grote uitvoeringsorganisaties zijn betrokken bij het onderzoek en de maatregelen;

• Er wordt onderzoek gedaan naar de totale omvang van het probleem. Het probleem speelt bij alle ministeries en het gaat in ieder geval om verschillende soorten documenten die op open.overheid.nl, rijksoverheid.nl en Overheid.nl zijn gepubliceerd;

• Er is door de getroffen ministeries een eerste melding gedaan bij de Autoriteit Persoonsgegevens. Door BZK-VRO is op 8 april een gemeenschappelijke melding gedaan, mede namens VWS, J&V, A&M, EZ, KGG en LVVN. Deze melding is later aangevuld met OCW en I&W. De andere ministeries hebben zelfstandig melding gedaan. Na afronding van het onderzoek zullen de meldingen aangevuld worden;

• Waar organisaties op basis van hun risicoanalyse ervoor kiezen tijdelijk informatie te depubliceren op platformen zoals open.overheid.nl en rijksoverheid.nl is daaraan tegemoet gekomen;

• Departementen zijn zelf verantwoordelijk voor het verwijderen van de betreffende metadata uit documenten die worden gepubliceerd en worden daarbij zoveel mogelijk centraal ondersteund;

• Er zijn acties in gang gezet om zoveel mogelijk te voorkomen dat nieuwe documenten worden gepubliceerd die metadata bevatten met persoonsgegevens van ambtenaren. Bijvoorbeeld met een extra controle voordat documenten worden gepubliceerd;

• Er wordt gewerkt aan een plan van aanpak voor documenten die al gepubliceerd zijn. Waar nodig wordt informatie die gepubliceerd is op open.overheid.nl tijdelijk onzichtbaar gemaakt, zodat die kan worden ontdaan van persoonsgegevens in de metadata om deze daarna zo snel mogelijk weer toegankelijk te maken;

• Medewerkers zijn via een bericht op het intranet van het Rijk op de hoogte gebracht. Zodra we de juiste verwerkingsafspraken hebben, kunnen organisaties individuele medewerkers informeren of hun naam tijdelijk gepubliceerd is geweest;

• Er is contact opgenomen met de koepels van de medeoverheden om te onderzoeken of dit probleem ook geldt voor documenten van medeoverheden.

Met bovenstaande maatregelen hopen we de negatieve consequenties van het datalek zoveel mogelijk te beperken en gezamenlijk aan structurele oplossingen voor de toekomst te werken.

Ik betreur dat dit datalek via de media bekend is geworden, voordat medewerkers zelf en uw Kamer hierover zijn geïnformeerd. Het ministerie wilde eerst de omvang en impact van het probleem goed in kaart brengen, een beter beeld hebben van welke maatregelen nodig zijn om het probleem op te lossen en zo snel mogelijk en zoveel mogelijk persoonsgegevens die gepubliceerd zijn af te schermen. Ook was deze aanpak erop gericht te voorkomen dat er doelbewust gezocht zou worden naar namen van kwetsbare medewerkers.

Ik hecht eraan om uw Kamer hier goed over te blijven informeren. Daarom zal ik uw Kamer voor de zomer nog een brief sturen met de voortgang van de afhandeling van dit datalek.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
F.Z. Szabó