Antwoord op vragen van de leden Minhas en Rajkowski over een mogelijk datalek van klantgegevens van NS-reizigers
Antwoord schriftelijke vragen
Nummer: 2023D19979, datum: 2023-05-15, bijgewerkt: 2024-02-19 10:56, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (ah-tk-20222023-2583).
Gerelateerde personen:- Eerste ondertekenaar: V.L.W.A. Heijnen, staatssecretaris van Infrastructuur en Waterstaat
Onderdeel van zaak 2023Z05496:
- Gericht aan: V.L.W.A. Heijnen, staatssecretaris van Infrastructuur en Waterstaat
- Gericht aan: A.C. van Huffelen, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
- Indiener: F.B. Minhas, Tweede Kamerlid
- Medeindiener: Q.M. Rajkowski, Tweede Kamerlid
- Voortouwcommissie: TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2022-2023 | Aanhangsel van de Handelingen |
Vragen gesteld door de leden der Kamer, met de daarop door de regering gegeven antwoorden |
2583
Vragen van de leden Minhas en Rajkowski (beiden VVD) aan de Staatssecretarissen van Infrastructuur en Waterstaat en van Binnenlandse Zaken en Koninkrijksrelaties over het bericht «NS waarschuwt honderdduizenden klanten vanwege datalek» (ingezonden 29 maart 2023).
Antwoord van Staatssecretaris Van der Burg (Justitie en Veiligheid) (ontvangen 15 mei 2023).
Vraag 1
Bent u bekend met het bericht «NS waarschuwt honderdduizenden klanten over mogelijk lekken van persoonsgegevens»?1
Antwoord 1
Ja, ik ben bekend met dit bericht.
Vraag 2
Wat is uw reactie op het feit dat de privégegevens van honderdduizenden klanten op deze manier op straat zijn komen te liggen?
Antwoord 2
Ik betreur dat persoonsgegevens van NS-klanten mogelijk onderdeel zijn van een hack bij een betrokken partij bij reizigerstevredenheidsonderzoeken. De privacy van reizigers die hun medewerking verlenen aan deze onderzoeken, moet beschermd zijn.
Vraag 3
Is inmiddels bekend op welke wijze de gegevens op straat zijn beland? Komt dit door een hack bij de softwareleverancier of door onzorgvuldige beveiliging van de persoonsgegevens?
Antwoord 3
Marktonderzoeker Blauw is door NS ingeschakeld voor het uitvoeren van verschillende reizigerstevredenheidsonderzoeken. Subverwerker Nebu uit Wormerveer levert het softwareplatform waarop Blauw haar onderzoeken uitvoert. Nebu is, volgens Blauw, gehackt en tijdens die hack is alle data van klanten en onderzoeken gedownload (geëxfiltreerd). Het is echter nog niet zeker welke data precies zijn gelekt en of ook NS-data onderdeel waren van het datalek.
Vraag 4
Het datalek is volgens de berichtgeving niet ontstaan bij NS zelf, maar bij een softwareleverancier van het ingehuurde marktonderzoeksbureau dat klanttevredenheidsonderzoek doet in opdracht van NS. Kunt u aangeven welke afspraken NS maakt met externe partijen, teneinde de veiligheid van klantdata te maximeren?
Antwoord 4
Om de veiligheid van klantdata te beschermen, sluit NS met externe partijen een verwerkersovereenkomst. Daarin worden ook afspraken gemaakt over het inschakelen van een subverwerker.
Dit heeft NS ook met marktonderzoeksbureau Blauw gedaan. Deze verwerkersovereenkomst is afgesloten conform artikel 28 lid 3 AVG. In deze verwerkersovereenkomst zijn afspraken gemaakt over de verwerking van persoonsgegevens door Blauw en de beveiliging van persoonsgegevens. Ook zijn in deze verwerkersovereenkomst afspraken gemaakt over de inschakeling van een subverwerker door Blauw.
Vraag 5
Wat is de wettelijke grondslag op basis waarvan persoonsgegevens zijn verwerkt door NS, het marktonderzoeksbureau en diens softwareleverancier?
Antwoord 5
In het Privacystatement op de website van NS2 is beschreven welke grondslag van toepassing is (zie onder «Marktonderzoek en wetenschappelijk onderzoek»). NS hanteert voor het NS panel onderzoek en het reizigersonderzoek de grondslag «toestemming» en voor het contactbelevingsonderzoek en overige klantonderzoeken de grondslag «gerechtvaardigd belang».
Vraag 6
Is er op enig moment een DPIA (data protection impact assessment) uitgevoerd voordat de gegevensverwerking tot stand werd gebracht? Zo nee, waarom niet?
Antwoord 6
NS heeft mij laten weten dat er een DPIA is uitgevoerd door NS. Deze verwerking is opgenomen in het register van verwerkingen van NS.
Vraag 7
Wist de NS op elk moment wie er van de softwareleverancier inzage had in de persoonsgegevens die werden verwerkt? Zo nee, wat vindt u daarvan?
Antwoord 7
NS was ervan op de hoogte dat Blauw subverwerker Nebu heeft ingeschakeld. NS heeft Blauw in de verwerkersovereenkomst specifieke schriftelijke toestemming gegeven om Nebu in te schakelen. Hieraan zijn evenwel specifieke condities verbonden. Bij NS is niet bekend welke medewerkers van Nebu inzage hebben (gehad) in persoonsgegevens.
Vraag 8
Vindt u dat er voldoende regels zijn omtrent de veiligheid van klantdata van publieke instellingen en bedrijven die met externe partijen werken en hun klantdata met deze partijen delen? Zo ja, waarom? Zo neen, waarom niet?
Antwoord 8
De Algemene Verordening Gegevensbescherming (AVG) verplicht ertoe dat wanneer persoonsgegevens worden verwerkt, de verwerkingsverantwoordelijke maatregelen neemt om te zorgen dat de verzamelde gegevens niet langer bewaard worden dan nodig is en dat organisatorische en technische maatregelen getroffen worden, zodat gegevens goed beveiligd en vertrouwelijk blijven. De verwerkingsverantwoordelijke moet kunnen aantonen dat aan deze zorgvuldigheidsnormen is voldaan. Wanneer voor de verwerking een externe partij wordt ingeschakeld, dan moeten diens taken in een overeenkomst worden vastgelegd. De genoemde zorgvuldigheidsnormen zijn ook dan onverkort van toepassing. Het ontbreekt dan ook niet aan regels omtrent de veiligheid van klantdata van publieke instellingen en bedrijven die met externe partijen werken en hun klantdata met deze partijen delen.
Vraag 9
Wat gaat u doen om te voorkomen dat kritieke data van klanten in de toekomst zonder strenge regels door externe partijen wordt gebruikt?
Antwoord 9
Elke organisatie die persoonsgegevens verwerkt is er in de eerste plaats zelf verantwoordelijk voor om dit volgens de regels te doen en er scherp op toe te zien dat dit ook daadwerkelijk gebeurt. De Autoriteit Persoonsgegevens (AP) heeft daarnaast een voorlichtende taak. Het Ministerie van Justitie en Veiligheid zorgt dat de AP beschikt over voldoende financiering voor de uitvoering van alle taken die samenhangen met de AVG, zo ook deze. In het Coalitieakkoord is daarom extra budget voor de AP opgenomen.