Rijksoverheid ook geraakt door datalek bij softwarebedrijf Nebu

Voor zover nu bekend zijn in totaal zestien organisaties binnen de Rijksoverheid geraakt, schrijft de bewindsvrouw voor Digitalisering. Een aantal van die rijksorganisaties gebruikt meerdere bureaus voor marktonderzoek, laat Van Huffelen weten. Het gaat om het ministerie van Economische Zaken en Klimaat (EZK), de Nederlandse Organisatie voor toegepast-natuurwetenschappelijk onderzoek (TNO), de Rijksdienst voor Ondernemend Nederland (RVO), het College ter beoordeling van Geneesmiddelen (CBG), het Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG), het Rijksinstituut voor Volksgezondheid en Milieu (RIVM), het Sociaal en Cultureel Planbureau (SCP), het ministerie van Onderwijs, Cultuur en Wetenschap, de Koninklijke Bibliotheek, de Huurcommissie (DHC), de Dienst Publieke Communicatie (DPC) en de Raad voor Rechtsbijstand (RvR).

Datalek varieert

"Betrokkenen binnen de Rijksoverheid zijn burgers, eigen medewerkers, en medewerkers van reisbureaus, werkgeversorganisaties, onderwijsinstellingen, bedrijven en klanten. Gelekte gegevens betreffen naam, e-mailadres, telefoonnummer, (telefonische) enquêteresultaten/inhoud onderzoek." De staatssecretaris verklaart dat er, waar relevant, melding van deze datalekken is gedaan bij de Autoriteit Persoonsgegevens (AP).

"De omvang van het datalek varieert per organisatie", meldt Van Huffelen in haar antwoorden op Kamervragen over het geruchtmakende Nebu/Blauw-datalek. "Zo zijn bij één van de organisaties de gegevens van één medewerker gelekt. En bij een andere organisatie, een onderzoeksbureau, zijn gegevens van 22.000 burgers gelekt met naam, emailadres en de resultaten van een onderzoek."

Delen met toeleveranciers

De vragen van CDA-Kamerlid Evert Jan Slootweg zijn naar aanleiding van een Telegraaf-artikel waarin de complicatie van datadeling door bedrijven wordt aangehaald. "Bedrijven delen data van klanten met hun leveranciers, maar hoe veilig is dat?", vraagt de krant. Waarop Slootweg aan Van Huffelen heeft gevraagd of het klopt dat een bedrijf of (overheids)organisatie zelf verantwoordelijk is voor de data die een klant met het bedrijf deelt, ook als het bedrijf die data met een externe partij deelt. De staatssecretaris antwoordt dat de verantwoordelijkheid inderdaad bij de initiële datapartij ligt en blijft.

"In de Algemene Verordening Gegevensbescherming (AVG) wordt een onderscheid gemaakt tussen de rol van ‘verwerkingsverantwoordelijke’ en de rol van ‘verwerker’. Het bedrijf dat of de (overheids)organisatie die het doel en de middelen van een verwerking van persoonsgegevens bepaalt, is de ‘verwerkingsverantwoordelijke’." Die partij heeft dan ook "de verplichting om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen".

"In de praktijk schakelen veel verwerkingsverantwoordelijken andere partijen in om voor hen persoonsgegevens te verwerken. Een dergelijke partij is de ‘verwerker’. Ook verwerkers moeten passende technische en organisatorische maatregelen nemen om de persoonsgegevens te beveiligen, maar de verwerkingsverantwoordelijke blijft (eind)verantwoordelijk voor de naleving van de AVG", bevestigt Van Huffelen.

Aansprakelijkheid

Op de Kamervraag welke partij dan aansprakelijk is voor dit datalek (bij softwarebedrijf Nebu) blijft zij het antwoord schuldig. "Het is nog niet duidelijk welke partij aansprakelijk is voor het datalek bij Nebu. Er zijn meerdere partijen betrokken. In het geval van Nebu moet goed worden onderzocht wat er is afgesproken over de beveiliging en wat er nu feitelijk is gebeurd." In de AVG zijn weliswaar de rollen van verwerkingsverantwoordelijke en verwerker omschreven, maar in de praktijk kunnen partijen (in een (verwerkers)overeenkomst) afspraken maken over de aansprakelijkheid bij bijvoorbeeld een datalek.

"Partijen die betrokken zijn bij een datalek kunnen zich eventueel wenden tot de civiele rechter om de aansprakelijkheid en de omvang daarvan te laten vaststellen. In de vaststelling van aansprakelijkheid is geen rol voor de overheid weggelegd. Het is dan ook niet aan mij om hierover uitspraken te doen." Marktonderzoeker Blauw heeft zich vanwege het datalek bij Nebu - en de aanvankelijk gebrekkige afhandeling daarvan - gewend tot de rechter. Die heeft een week later flinke verplichtingen opgelegd aan het gehackte bedrijf.

Een jaar geleden heeft toezichthouder AP al gewaarschuwd dat er miljoenen slachtoffers zijn van datalekken bij IT-leveranciers. Die dataverwerkende bedrijven lichten getroffen klanten vaak niet goed vanwege angst voor reputatieschade. Het datalek bij Nebu waar klant Blauw én diens klanten door zijn geraakt, is hier een actueel voorbeeld van.