Preview document (🔗 origineel)

---

Tweede Kamer der Staten-Generaal	2
Vergaderjaar 2022-2023

32 761 Verwerking en bescherming persoonsgegevens

Nr. 263 BRIEF VAN DE MINISTER VOOR VOLKSHUISVESTING EN RUIMTELIJKE ORDENING

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 13 maart 2023

Bij het Kadaster is in de periode van 18 september tot en met 11 oktober 2022 sprake geweest van een datalek, waardoor geheime woonadressen tijdelijk zichtbaar zijn geweest. Bij brief d.d. 8 november 2022¹ heb ik de Tweede Kamer hierover geïnformeerd. Uw Commissie heeft mij naar aanleiding van deze brief gevraagd u nader te informeren over de stand van zaken, alsmede over de wijze waarop betrokkenen van wie gegevens gelekt zijn, worden geïnformeerd. Deze aanvullende informatie doe ik u hierbij toekomen.

Inleiding

Burgers kunnen via hun gemeente hun woonadres laten afschermen in de Basisregistratie Personen (BRP), waardoor deze geheime woonadressen ook bij het Kadaster niet meer inzichtelijk zijn voor onbevoegden. Alleen bevoegd gezagen (waar onder notarissen) hebben dan nog toegang tot deze gegevens voor de uitvoering van hun wettelijke taken. Deze vorm van afscherming is een optie die elke burger in Nederland heeft. Meer dan 100.000 personen in Nederland maken momenteel gebruik van deze optie.

Bij het Kadaster heeft zich in de periode van 18 september tot en met 11 oktober 2022 een incident voorgedaan, waardoor de koppeling met de BRP die afscherming mogelijk maakt tijdelijk niet juist werd gelegd. Hierdoor waren geheime woonadressen, bij een eventuele raadpleging door professionele gebruikers van de Basisregistratie Kadaster via Kadaster Online (KOL) of Ketenintegratie Inschrijving Kadaster (KIK), toch tijdelijk inzichtelijk. Door het Kadaster afgeschermde personen vallend onder het Stelsel Bewaken en Beveiligen, waren niet vindbaar.

Betrokkenen

Door het Kadaster zijn ongeveer 3.700 personen geïdentificeerd waarvan het geheime adres tijdelijk zichtbaar is geweest in informatieproducten voor professionele gebruikers. Op 20 oktober 2022 heeft het Kadaster deze betrokkenen schriftelijk over dat feit geïnformeerd, met daarbij een toelichting op het incident. In deze brief werden betrokkenen onder meer gewezen op een specifieke webpagina met de belangrijkste vragen en antwoorden, alsmede een afzonderlijk telefoonnummer bij het Kadaster Klantcontactcenter voor vragen en persoonlijk contact. Een vaste groep medewerkers is in deze periode beschikbaar geweest om vragen van betrokkenen te kunnen beantwoorden. Bijna 800 betrokkenen hebben via deze weg telefonisch contact opgenomen met het Kadaster voor extra informatie. Ruim 175 unieke bezoekers hebben de speciale webpagina op Kadaster.nl bezocht. Deze service en in het bijzonder de transparantie werd gewaardeerd.

KOL & KIK gebruikers

Professionele gebruikers die persoonsgegevens (onbedoeld) hebben verkregen (ongeveer 2.700) via KOL en KIK inzage hebben op 25 oktober 2022 een mail ontvangen met een toelichting op het incident, en het verzoek deze data, indien nog voorhanden, te verwijderen. Een reminder op deze mail is verstuurd op 10 november 2022. Professionele gebruikers werden ook verzocht een online formulier in te vullen, waarin men bevestigt de info verwijderd te hebben. De eindstand hiervan (per 22 december 2022) was een 81,6% respons.

Klachten & schadeclaims

Betrokkenen en gebruikers hebben ook de mogelijkheid gekregen om een klacht over het incident in te dienen. Door 34 betrokkenen en 5 KOL-gebruikers is van deze mogelijkheid gebruik gemaakt. Het Kadaster heeft mij aangegeven deze klachten serieus te nemen en bekijkt per persoon naar de situatie, om maatwerk te kunnen toepassen. Er zijn in totaal twee claims ingediend waarbij het Kadaster aansprakelijk wordt gesteld voor de veronderstelde gevolgen van het lekken van informatie. Er zijn geen bedragen of omschrijving van de geleden schade genoemd.

Melding Autoriteit Persoonsgegevens

De voorlopige melding bij de Autoriteit Persoonsgegevens is omgezet naar een definitieve melding.

Beleid om herhaling te voorkomen

Het Kadaster heeft veel aandacht voor informatiebeveiliging en laat zich jaarlijks extern auditen en certificeren. Door systemen blijvend te controleren op eventuele risico’s waarborgt het Kadaster de privacy van burgers. Desondanks kan er altijd iets misgaan waar technologische ontwikkelingen niet stil staan. Daarom heeft het Kadaster een zelfkritische evaluatie uitgevoerd naar het incident, om de kans op herhaling zover mogelijk te minimaliseren. Uitgangspunt hierbij is om alle vormen van persoonsgegevens in alle applicaties van het Kadaster aan extra testen te onderwerpen. Dit wil het Kadaster doen aan de hand van een Privacy Impact Assessment (PIA), die wordt uitgevoerd op alle informatiesystemen die BRP-gegevens verwerken. Daarnaast wordt voor alle softwareontwikkeling geverifieerd dat de (regressie)testen ook zien op de bedoelde verwerking van persoonsgegevens. Tenslotte wil het Kadaster onderzoek doen naar de mogelijkheden om een geautomatiseerde dagelijkse test op de filtering van geheime adressen te realiseren.

Het Kadaster rapporteert in zijn jaarverslag, dat ook naar de Kamer wordt gezonden, jaarlijks over beleid ten aanzien van informatiebeveiliging.

De Minister voor Volkshuisvesting en Ruimtelijke Ordening,
H.M. de Jonge

---

1. Kamerstuk 32 761, nr. 247.↩︎