Reactie op verzoek commissie over Datalek Kadaster
Verwerking en bescherming persoonsgegevens
Brief regering
Nummer: 2023D10051, datum: 2023-03-13, bijgewerkt: 2024-02-19 10:56, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-32761-263).
Gerelateerde personen:- Eerste ondertekenaar: H.M. de Jonge, minister voor Volkshuisvesting en Ruimtelijke Ordening
Onderdeel van kamerstukdossier 32761 -263 Verwerking en bescherming persoonsgegevens.
Onderdeel van zaak 2023Z04290:
- Indiener: H.M. de Jonge, minister voor Volkshuisvesting en Ruimtelijke Ordening
- Voortouwcommissie: vaste commissie voor Digitale Zaken
- 2023-03-16 13:30: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2023-03-29 11:00: Procedurevergadering (Procedurevergadering), vaste commissie voor Digitale Zaken
- 2023-09-06 14:00: Extra procedurevergadering commissie Digitale Zaken (groslijst controversieel verklaren) (Procedurevergadering), vaste commissie voor Digitale Zaken
- 2025-01-29 10:00: Bescherming persoonsgegevens en digitale grondrechten (Commissiedebat), vaste commissie voor Digitale Zaken
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2022-2023 |
32 761 Verwerking en bescherming persoonsgegevens
Nr. 263 BRIEF VAN DE MINISTER VOOR VOLKSHUISVESTING EN RUIMTELIJKE ORDENING
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 13 maart 2023
Bij het Kadaster is in de periode van 18 september tot en met 11 oktober 2022 sprake geweest van een datalek, waardoor geheime woonadressen tijdelijk zichtbaar zijn geweest. Bij brief d.d. 8 november 20221 heb ik de Tweede Kamer hierover geïnformeerd. Uw Commissie heeft mij naar aanleiding van deze brief gevraagd u nader te informeren over de stand van zaken, alsmede over de wijze waarop betrokkenen van wie gegevens gelekt zijn, worden geïnformeerd. Deze aanvullende informatie doe ik u hierbij toekomen.
Inleiding
Burgers kunnen via hun gemeente hun woonadres laten afschermen in de Basisregistratie Personen (BRP), waardoor deze geheime woonadressen ook bij het Kadaster niet meer inzichtelijk zijn voor onbevoegden. Alleen bevoegd gezagen (waar onder notarissen) hebben dan nog toegang tot deze gegevens voor de uitvoering van hun wettelijke taken. Deze vorm van afscherming is een optie die elke burger in Nederland heeft. Meer dan 100.000 personen in Nederland maken momenteel gebruik van deze optie.
Bij het Kadaster heeft zich in de periode van 18 september tot en met 11 oktober 2022 een incident voorgedaan, waardoor de koppeling met de BRP die afscherming mogelijk maakt tijdelijk niet juist werd gelegd. Hierdoor waren geheime woonadressen, bij een eventuele raadpleging door professionele gebruikers van de Basisregistratie Kadaster via Kadaster Online (KOL) of Ketenintegratie Inschrijving Kadaster (KIK), toch tijdelijk inzichtelijk. Door het Kadaster afgeschermde personen vallend onder het Stelsel Bewaken en Beveiligen, waren niet vindbaar.
Betrokkenen
Door het Kadaster zijn ongeveer 3.700 personen geïdentificeerd waarvan het geheime adres tijdelijk zichtbaar is geweest in informatieproducten voor professionele gebruikers. Op 20 oktober 2022 heeft het Kadaster deze betrokkenen schriftelijk over dat feit geïnformeerd, met daarbij een toelichting op het incident. In deze brief werden betrokkenen onder meer gewezen op een specifieke webpagina met de belangrijkste vragen en antwoorden, alsmede een afzonderlijk telefoonnummer bij het Kadaster Klantcontactcenter voor vragen en persoonlijk contact. Een vaste groep medewerkers is in deze periode beschikbaar geweest om vragen van betrokkenen te kunnen beantwoorden. Bijna 800 betrokkenen hebben via deze weg telefonisch contact opgenomen met het Kadaster voor extra informatie. Ruim 175 unieke bezoekers hebben de speciale webpagina op Kadaster.nl bezocht. Deze service en in het bijzonder de transparantie werd gewaardeerd.
KOL & KIK gebruikers
Professionele gebruikers die persoonsgegevens (onbedoeld) hebben verkregen (ongeveer 2.700) via KOL en KIK inzage hebben op 25 oktober 2022 een mail ontvangen met een toelichting op het incident, en het verzoek deze data, indien nog voorhanden, te verwijderen. Een reminder op deze mail is verstuurd op 10 november 2022. Professionele gebruikers werden ook verzocht een online formulier in te vullen, waarin men bevestigt de info verwijderd te hebben. De eindstand hiervan (per 22 december 2022) was een 81,6% respons.
Klachten & schadeclaims
Betrokkenen en gebruikers hebben ook de mogelijkheid gekregen om een klacht over het incident in te dienen. Door 34 betrokkenen en 5 KOL-gebruikers is van deze mogelijkheid gebruik gemaakt. Het Kadaster heeft mij aangegeven deze klachten serieus te nemen en bekijkt per persoon naar de situatie, om maatwerk te kunnen toepassen. Er zijn in totaal twee claims ingediend waarbij het Kadaster aansprakelijk wordt gesteld voor de veronderstelde gevolgen van het lekken van informatie. Er zijn geen bedragen of omschrijving van de geleden schade genoemd.
Melding Autoriteit Persoonsgegevens
De voorlopige melding bij de Autoriteit Persoonsgegevens is omgezet naar een definitieve melding.
Beleid om herhaling te voorkomen
Het Kadaster heeft veel aandacht voor informatiebeveiliging en laat zich jaarlijks extern auditen en certificeren. Door systemen blijvend te controleren op eventuele risico’s waarborgt het Kadaster de privacy van burgers. Desondanks kan er altijd iets misgaan waar technologische ontwikkelingen niet stil staan. Daarom heeft het Kadaster een zelfkritische evaluatie uitgevoerd naar het incident, om de kans op herhaling zover mogelijk te minimaliseren. Uitgangspunt hierbij is om alle vormen van persoonsgegevens in alle applicaties van het Kadaster aan extra testen te onderwerpen. Dit wil het Kadaster doen aan de hand van een Privacy Impact Assessment (PIA), die wordt uitgevoerd op alle informatiesystemen die BRP-gegevens verwerken. Daarnaast wordt voor alle softwareontwikkeling geverifieerd dat de (regressie)testen ook zien op de bedoelde verwerking van persoonsgegevens. Tenslotte wil het Kadaster onderzoek doen naar de mogelijkheden om een geautomatiseerde dagelijkse test op de filtering van geheime adressen te realiseren.
Het Kadaster rapporteert in zijn jaarverslag, dat ook naar de Kamer wordt gezonden, jaarlijks over beleid ten aanzien van informatiebeveiliging.
De Minister voor Volkshuisvesting en Ruimtelijke Ordening,
H.M. de Jonge
Kamerstuk 32 761, nr. 247.↩︎