Het datalek bij marktonderzoeker Blauw heeft Kamervragen opgeleverd. Evert Jan Slootweg (CDA) bevroeg ministers Weerwind (Rechtsbescherming) en staatssecretaris Van Huffelen (Koninkrijkrelaties en Digitalisering). Zestien overheidsorganisaties zouden zijn getroffen door het lek, maar de impact verschilt enorm.
We hebben eerder uitgebreid geschreven over het omvangrijke datalek dat plaatsvond bij marktonderzoeker Blauw. Softwareleverancier Nebu nam het niet zo nauw met de security-hygiëne, bleek uit informatie die SecurityScorecard aan Techzine leverde. Voorbeelden van getroffen bedrijven en individuen zijn er genoeg, zowel in de private sector als bij de overheid. Vanuit de Tweede Kamer krijgen we in ieder geval meer informatie over de overheidsinstanties die te maken hebben gekregen met het datalek.
Op veel plekken een impact, maar niet evenredig
Voor zover bekend zijn er zestien overheidsorganisaties getroffen, waaronder meerdere ministeries, het RIVM en de Raad voor Rechtsbijstand. Staatssecretaris Van Huffelen constateert dat zowel burgers als medewerkers aan het datalek zijn blootgesteld. Ze stelt dat er een melding is gedaan naar de Autoriteit Persoonsgegevens waar nodig.
“De omvang van het datalek varieert per organisatie. Zo zijn bij één van de organisaties de gegevens van één medewerker gelekt,” weet de staatssecretaris. “En bij een andere organisatie, een onderzoeksbureau, zijn gegevens van 22.000 burgers gelekt met naam, emailadres en de resultaten van een onderzoek.” Het zou hierbij om namen, e-mailadressen, telefoonnummers en eventuele onderzoeks- of enquêteresultaten gaan.
Verantwoordelijkheid is vastgelegd, maar (nog) niet bij Nebu en Blauw
Verder blijkt uit de antwoorden op de vragen van Kamerlid Slootweg dat het AVG de rollen van “verwerkingsverantwoordelijke” en “verwerker” onderscheidt bij een kwestie als deze. Het is namelijk zo dat er hier een “keten van verwerking” bestaat, van klant of burger tot (overheids-)instantie en eventuele externe partners. Voor veel organisaties geldt dat ze niet alle gegevens intern kunnen of willen verwerken voor hun eigen doeleinden. Het is veelal praktischer om in plaats daarvan een derde in te schakelen.
Van Huffelen loopt duidelijk niet vooruit op de lopende zaak tussen Nebu en Blauw, waarbij de data van miljoenen Nederlandse burgers op straat kwam te liggen. De rechter stelde begin april dat Nebu meer informatie moest gaan geven aan Blauw over het datalek, nadat de softwareleverancier zich hiertegen verzette.
Het blijft een lastige kwestie wie nu echt verantwoordelijk is. Bij de overheid kunnen we terecht voor algemene richtlijnen, die veel ruimte bieden voor bedrijven om onderling afspraken te maken. Boetes kunnen contractueel zijn bij het overschrijden van de overeenkomst omtrent de behandeling van gegevens. Het is dus een ad hoc-kwestie met weinig eenduidigheid. Dit roept de vraag op of aanstormende richtlijnen op Europees vlak hier verandering aan gaan brengen. Slootweg kreeg hierop het antwoord dat deze regelgeving slechts betrekking hebben “op specifieke en vast gedefinieerde sectoren en organisaties.” Met andere woorden: “Daarmee zorgen ze er niet voor dat in generieke zin er nadere eisen aan de beveiliging van klantdata worden gesteld, aldus de staatssecretaris.
25 minuten geleden
