Beantwoording Tweede-Kamervragen over het vermoeden van lekken en illegaal verhandelen van persoonsgegevens uit het kentekenregister
Antwoorden op de vragen van het lid Stoffer (SGP) over het lekken en
illegaal verhandelen van persoonsgegevens uit het kentekenregister
(ingezonden 24 juli 2019)
Vraag 1
Heeft u kennisgenomen van het bericht dat vertrouwelijke persoonsgegevens uit
het kentekenregister illegaal verhandeld worden?1
Antwoord 1
Ja.
Vraag 2
Hoe waardeert u het feit dat dit heeft kunnen gebeuren ondanks de aanscherping
van de privacyregels?
Antwoord 2
Ondanks dat nog niet is vastgesteld dat er daadwerkelijk persoonsgegevens
rechtstreeks uit het kentekenregister illegaal worden verhandeld neem ik de
berichtgeving, net als de RDW, zeer serieus. De RDW heeft aangifte gedaan bij de
politie die samen met de RDW (en het Landelijk Informatiecentrum
Voertuigcriminaliteit (LIV)) een onderzoek naar een mogelijk datalek is gestart. De
politie leidt dit onderzoek dat in volle gang is. Daarnaast is de Autoriteit
Persoonsgegevens uiteraard op de hoogte gesteld.
Vraag 3
Kunt u een volledige lijst geven van instanties en personen die toegang hebben tot
deze persoonsgegevens?
Antwoord 3
De RDW verstrekt gegevens uit het kentekenregister aan overheidsorganen voor
de uitvoering van hun publieke taken. Het register is een basisregistratie en moet
daarom door overheden voor wat betreft de authentieke gegevens verplicht
geraadpleegd worden. De kaders voor de gegevensverstrekking en het gebruik
liggen vast in de wegenverkeerswetgeving en in algemene wetgeving zoals de
Algemene wet bestuursrecht, de Wet openbaarheid van bestuur en de Algemene
verordening gegevensbescherming. Voor de verstrekking moet onderscheid
worden gemaakt tussen overheidsorganen en aangewezen personen of
organisaties met een publieke taak enerzijds en beroepsbeoefenaren anderzijds.
Voor wat betreft overheidsorganen als bedoeld in artikel 41a, eerste lid, onderdeel
a, van de Wegenverkeerswet 1994, zoals de politie, het Centraal Justitieel Incasso
Bureau, de Belastingdienst en gemeenten respectievelijk aangewezen personen of
instanties die publieke taken uitvoeren als bedoeld in artikel 41a, tweede lid, van
de Wegenverkeerswet 1994, zoals curatoren en bewindvoerders gaat de RDW
voorafgaande aan de verstrekking na of er inderdaad sprake is van een
overheidsorgaan of een aangewezen persoon of instantie. Na de
gegevensverstrekking houdt de RDW geen toezicht op het gebruik van de
gegevens. Het overheidsorgaan of de aangewezen persoon of instantie met een
publieke taak is zelf verantwoordelijk voor het juiste gebruik.
Ten aanzien van verstrekkingen aan beroepsbeoefenaren is in de
Wegenverkeerswet 1994 vastgelegd aan welke beroepsbeoefenaren en voor welk
doel de RDW persoonsgegevens mag verstrekken. Het gaat dan om door de
Minister van IenW aangewezen beroepsbeoefenaren, zoals verzekeraars voor
schadeafwikkeling, advocaten voor het voeren van gerechtelijke procedures en
auto-importeurs alleen voor de uitvoering van terugroepacties. De RDW houdt
toezicht op deze doelbinding. Deze organisaties moeten zelf in het kader van de
Algemene verordening gegevensbescherming passende technische en
organisatorische maatregelen treffen om de verkregen persoonsgegevens te
beschermen. In het jaarverslag van de RDW is de lijst opgenomen van het aantal
informatieverstrekkingen onderverdeeld naar categorie.2 Verstrekking kan
daarnaast ook onder bepaalde voorwaarden plaatsvinden aan buitenlandse
autoriteiten en internationale organisaties. Dan gaat het onder meer om met de
registratie van voertuigen belaste autoriteiten en autoriteiten die zijn belast met
de handhaving van verkeersregels en de opsporing van verkeersovertredingen.
Vraag 4
Hoe heeft dit kunnen gebeuren?
Vraag 5
Wat gaat u doen om na trekken hoe dit kon gebeuren?
Vraag 6
Wat gaat u in overleg met de Rijksdienst voor Wegverkeer en betrokken instanties
en personen doen om te voorkomen dat dit blijft gebeuren? Betrekt u daarbij alle
betrokken instanties en personen?
Antwoorden 4, 5 en 6
De RDW heeft naar aanleiding van de berichtgeving aangifte gedaan bij de politie
en deze is samen met de RDW (en het LIV) direct een onderzoek gestart. Het
onderzoek moet uitwijzen waar de gegevens vandaan komen en of er sprake is
van misbruik. De politie leidt dit onderzoek dat in volle gang is. Totdat de
uitkomsten daarvan bekend zijn, kan ik hier geen uitspraken over doen. Ook heeft
de RDW naar aanleiding van het vermoeden van RTL nieuws de Autoriteit
Persoonsgegevens op de hoogte gesteld. Daarnaast hebben de directie en de raad
van toezicht van de RDW besloten om een externe partij de opdracht te geven tot
een onderzoek naar mogelijke extra maatregelen van de RDW om het
kentekenregister nog veiliger te laten raadplegen door eigen medewerkers, andere
overheidsdiensten en overige beroepsbeoefenaren. Ik heb de RDW gevraagd mij
over de uitkomsten hiervan te informeren. De RDW monitort maatregelen om
privacygevoelige data te beschermen tegen misbruik door onbevoegden en de
processen worden ieder jaar onafhankelijk getoetst. Uiteraard worden de
bevindingen uit de lopende onderzoeken benut om te bezien of, en zo ja, door wie
en welke aanvullende maatregelen getroffen moeten worden.
Antwoorden op de vragen van het lid Remco Dijkstra (VVD) over het
bericht ‘Actieve handel in privégegevens uit kentekenregister: ‘Schokkend
en gevaarlijk’’ (ingezonden 24 juli 2019)
Vraag 1
Bent u bekend met het bericht van RTL Nieuws van 23 juli jl. “Actieve handel in
privégegevens uit kentekenregister: Schokkend en gevaarlijk’’?1
Antwoord 1
Ja.
Vraag 2
Wanneer is dit voor het eerst geconstateerd en hoe kan het dat een journalist dit
moest achterhalen? Was al eerder intern bekend dat misbruik kon worden
gemaakt van deze gegevens uit de database van de Rijksdienst voor het
Wegverkeer (RDW).
Antwoord 2
RTL Nieuws heeft op 15 juli 2019 contact opgenomen met de afdeling
persvoorlichting van de RDW met het verzoek om een reactie op hun informatie
die zou aantonen dat RDW-gegevens, waaronder NAW-gegevens, online worden
verkocht. Het was bij de RDW eerder niet bekend dat er vermoedelijk misbruik
wordt gemaakt van gegevens uit een RDW-register.
Vraag 3
Hoeveel organisaties, tussenpersonen of partijen hebben inzicht in dergelijke
gegevens, waarvan men kan verwachten dat deze privé zijn en blijven? Welke
organisaties kunnen allemaal de RDW-gegevens raadplegen? Kunt u een schatting
maken van hoeveel mensen toegang zouden kunnen hebben tot dergelijke
privégegevens van automobilisten?
Antwoord 3
De RDW verstrekt gegevens uit het kentekenregister aan overheidsorganen voor
de uitvoering van hun publieke taken. Het register is een basisregistratie en moet
daarom door overheden voor wat betreft de authentieke gegevens verplicht
geraadpleegd worden. De kaders voor de gegevensverstrekking en het gebruik
liggen vast in de wegenverkeerswetgeving en in algemene wetgeving zoals de
Algemene wet bestuursrecht, de Wet openbaarheid van bestuur en de Algemene
verordening gegevensbescherming. Voor de verstrekking moet onderscheid
worden gemaakt tussen overheidsorganen en aangewezen personen of
organisaties met een publieke taak enerzijds en beroepsbeoefenaren anderzijds.
Voor wat betreft overheidsorganen als bedoeld in artikel 41a, eerste lid, onderdeel
a, van de Wegenverkeerswet 1994, zoals de politie, het Centraal Justitieel Incasso
Bureau, de Belastingdienst en gemeenten respectievelijk aangewezen personen of
instanties die publieke taken uitvoeren als bedoeld in artikel 41a, tweede lid, van
de Wegenverkeerswet 1994, zoals curatoren en bewindvoerders gaat de RDW
voorafgaande aan de verstrekking na of er inderdaad sprake is van een
overheidsorgaan of een aangewezen persoon of instantie. Na de
gegevensverstrekking houdt de RDW geen toezicht op het gebruik van de
gegevens. Het overheidsorgaan of de aangewezen persoon of instantie met een
publieke taak is zelf verantwoordelijk voor het juiste gebruik.
Ten aanzien van verstrekkingen aan beroepsbeoefenaren is in de
Wegenverkeerswet 1994 vastgelegd aan welke beroepsbeoefenaren en voor welk
doel de RDW persoonsgegevens mag verstrekken. Het gaat dan om door de
Minister van IenW aangewezen beroepsbeoefenaren, zoals verzekeraars voor
schadeafwikkeling, advocaten voor het voeren van gerechtelijke procedures en
auto-importeurs alleen voor de uitvoering van terugroepacties. De RDW houdt
toezicht op deze doelbinding. Deze organisaties moeten zelf in het kader van de
Algemene verordening gegevensbescherming passende technische en
organisatorische maatregelen treffen om de verkregen persoonsgegevens te
beschermen. In het jaarverslag van de RDW is de lijst opgenomen van het aantal
informatieverstrekkingen onderverdeeld naar categorie.3 Verstrekking kan
daarnaast ook onder bepaalde voorwaarden plaatsvinden aan buitenlandse
autoriteiten en internationale organisaties. Dan gaat het onder meer om met de
registratie van voertuigen belaste autoriteiten en autoriteiten die zijn belast met
de handhaving van verkeersregels en de opsporing van verkeersovertredingen.
Vraag 4
Welke stappen zijn er al ondernomen nadat is gebleken dat deze data in foute
handen kon vallen? Is het lek inmiddels gedicht? Welke stappen worden er
ondernomen om het lek boven te krijgen als dit nog niet het geval is?
Antwoord 4
De RDW heeft naar aanleiding van de berichtgeving aangifte gedaan bij de politie
en deze is samen met de RDW (en het LIV) direct een onderzoek gestart. Het
onderzoek moet uitwijzen waar de gegevens vandaan komen en of er sprake is
van misbruik. De politie leidt dit onderzoek dat in volle gang is. Totdat de
uitkomsten daarvan bekend zijn, kan ik hier geen uitspraken over doen. Ook heeft
de RDW naar aanleiding van het vermoeden van RTL nieuws de Autoriteit
Persoonsgegevens op de hoogte gesteld. Daarnaast hebben de directie en de raad
van toezicht van de RDW besloten om een externe partij de opdracht te geven tot
een onderzoek naar mogelijke extra maatregelen van de RDW om het
kentekenregister nog veiliger te laten raadplegen door eigen medewerkers, andere
overheidsdiensten en overige beroepsbeoefenaren. Ik heb de RDW gevraagd mij
over de uitkomsten hiervan te informeren. De RDW monitort maatregelen om
privacygevoelige data te beschermen tegen misbruik door onbevoegden en de
processen worden ieder jaar onafhankelijk getoetst. Uiteraard worden de
bevindingen uit de lopende onderzoeken benut om te bezien of, en zo ja, door wie
en welke aanvullende maatregelen getroffen moeten worden.
Vraag 5
Is te achterhalen wie, wanneer en vanuit welke organisatie ingelogd is op het
RDW-systeem om deze privégegevens te raadplegen, te kopiëren of te delen?
Antwoord 5
De RDW houdt bij wanneer, aan welke organisatie en welke persoonsgegevens
worden verstrekt. Voor beroepsbeoefenaren registreert de RDW in de aanvraag
ook het doel (bijvoorbeeld een dossiernummer van de beroepsbeoefenaar).
Conform de Algemene verordening gegevensbescherming dient elke organisatie,
die persoonsgegevens raadpleegt bij de RDW, een passend beschermingsniveau te
hebben, dat wil zeggen dat deze passende technische en organisatorische
beveiligingsmaatregelen heeft genomen gelet op de omstandigheden die op de
doorgifte van toepassing zijn. Bij het gebruik van persoonsgegevens uit het
kentekenregister voor de uitoefening van de eigen publieke taken via een
applicatie door medewerkers van de RDW zelf wordt op persoonsniveau gelogd
wie, wanneer, voor welke taak en welk kenteken heeft bevraagd. Voor een
beperkt aantal RDW-beheerders van het kentekenregister, die rechtstreeks de
database kunnen bevragen, wordt gelogd door wie en wanneer de database is
bevraagd. Voor deze medewerkers geldt dat zij deze bevoegdheid alleen mogen
gebruiken om storingen op te lossen of moeten bijhouden in een logboek waarom
zij van deze bevoegdheid gebruik hebben gemaakt. Voor het toezicht op de
bevoegdheden van deze beheerders heeft de RDW organisatorische maatregelen
genomen die periodiek worden gecontroleerd, bijvoorbeeld de toepassing van het
breaking glass principe (bij calamiteiten of incidenten kan de beheerder alleen op
aanvraag tijdelijk extra rechten ontvangen, die ook worden gelogd) of het
controleren van het logboek van de beheerder waarin hij alle wijzigingen bijhoudt.
Vraag 6
Door wie wordt deze zaak onderzocht? Wat kan er van het onderzoek verwacht
worden? Welke juridische stappen kunnen er ondernomen worden om hierop te
handhaven?
Antwoord 6
Deze zaak wordt onderzocht door de politie in samenwerking met de RDW (en het
LIV). De politie leidt dit onderzoek. Afhankelijk van de bevindingen uit het lopende
onderzoek, zal ik met alle betrokkenen, bezien of, en zo ja, welke stappen
genomen moeten worden en of verder onderzoek noodzakelijk is.
Vraag 7
Wat kan er in de toekomst gedaan worden om de cybersecurity van systemen van
(semi-)overheidsorganisaties te waarborgen en te voorkomen dat privégegevens
van mensen op straat komen te liggen?
Antwoord 7
De RDW heeft een stelsel van securitymaatregelen in werking om de systemen en
het register te beveiligen. Het betreft hier maatregelen op organisatorisch,
procesmatig en technisch vlak. RDW laat dit jaarlijks extern toetsen door
gecertificeerde auditors en beschikt over het erkende keurmerk 'Privacy-AuditProof' (NOREA) en ISO 27001 certificering voor zijn systemen. Als uit een
dergelijke toets blijkt dat aanvullende beveiliging nodig of gewenst is, dan neemt
de RDW passende maatregelen. Niet alle risico’s zijn echter uit te sluiten.
Afhankelijk van de bevindingen uit het lopende onderzoek zal met alle
betrokkenen worden bezien of, en zo ja, welke maatregelen getroffen moeten
worden en of verder onderzoek noodzakelijk is.
Vraag 8
Is de RDW in staat op korte termijn de toereikende maatregelen te nemen?
Antwoord 8
De RDW monitort maatregelen om privacygevoelige data te beschermen tegen
misbruik door onbevoegden en de processen worden ieder jaar onafhankelijk
getoetst. Uiteraard worden de bevindingen uit de lopende onderzoeken benut om
te bezien of, en zo ja, door wie en welke aanvullende maatregelen getroffen
moeten worden.
Vraag 9
Wilt u deze vragen één voor één en zo snel mogelijk beantwoorden?
Antwoord 9
Ja.
Bron : RijksOverheid.NL
================================
EMLS
Utrecht / Haaksbergen, 20 augustus 2019