16 overheidsorganisaties geraakt door datalek bij softwarebedrijf Nebu

De omvang van het datalek blijkt te variëren per organisatie. Bij één van de organisaties zijn de gegevens van één medewerker gelekt. En bij een andere organisatie, een onderzoeksbureau, zijn gegevens van 22.000 burgers gelekt met naam, emailadres en de resultaten van een onderzoek, schrijft de staatssecretaris. Gelekte gegevens betreffen naam, e-mailadres, telefoonnummer, (telefonische) enquêteresultaten/inhoud onderzoek. Ze heeft, waar relevant, melding van deze datalekken gedaan bij de Autoriteit Persoonsgegevens.

Verantwoordelijkheid ligt bij de initiële datapartij

De vragen van CDA-Kamerlid Evert Jan Slootweg zijn naar aanleiding van een Telegraaf-artikel waarin de complicatie van datadeling door bedrijven wordt aangehaald. "Bedrijven delen data van klanten met hun leveranciers, maar hoe veilig is dat?", vraagt de krant. Waarop Slootweg aan Van Huffelen vroeg of het klopte dat een bedrijf of (overheids)organisatie zelf verantwoordelijk is voor de data die een klant met het bedrijf deelt, ook als het bedrijf die data met een externe partij deelt. De staatssecretaris antwoordt dat de verantwoordelijkheid inderdaad bij de initiële datapartij ligt en blijft.

"In de Algemene Verordening Gegevensbescherming (AVG) wordt een onderscheid gemaakt tussen de rol van ‘verwerkingsverantwoordelijke’ en de rol van ‘verwerker’. Het bedrijf dat of de (overheids)organisatie die het doel en de middelen van een verwerking van persoonsgegevens bepaalt, is de ‘verwerkingsverantwoordelijke’." Die partij heeft dan ook "de verplichting om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen".

"In de praktijk schakelen veel verwerkingsverantwoordelijken andere partijen in om voor hen persoonsgegevens te verwerken. Een dergelijke partij is de ‘verwerker’. Ook verwerkers moeten passende technische en organisatorische maatregelen nemen om de persoonsgegevens te beveiligen, maar de verwerkingsverantwoordelijke blijft (eind)verantwoordelijk voor de naleving van de AVG", bevestigt Van Huffelen.

Nog geen duidelijkheid over aansprakelijkheid

Op de Kamervraag welke partij dan aansprakelijk is voor dit datalek (bij softwarebedrijf Nebu) blijft zij het antwoord schuldig. "Het is nog niet duidelijk welke partij aansprakelijk is voor het datalek bij Nebu. Er zijn meerdere partijen betrokken. In het geval van Nebu moet goed worden onderzocht wat er is afgesproken over de beveiliging en wat er nu feitelijk is gebeurd." In de AVG zijn weliswaar de rollen van verwerkingsverantwoordelijke en verwerker omschreven, maar in de praktijk kunnen partijen (in een (verwerkers)overeenkomst) afspraken maken over de aansprakelijkheid bij bijvoorbeeld een datalek.

"Partijen die betrokken zijn bij een datalek kunnen zich eventueel wenden tot de civiele rechter om de aansprakelijkheid en de omvang daarvan te laten vaststellen. In de vaststelling van aansprakelijkheid is geen rol voor de overheid weggelegd. Het is dan ook niet aan mij om hierover uitspraken te doen." Marktonderzoeker Blauw wendde zich vanwege het datalek bij Nebu tot de rechter. Die legde een week later flinke verplichtingen op aan het gehackte bedrijf.

Betrokken organisaties

• Ministerie van Economische Zaken en Klimaat (EZK)\
• Nederlandse Organisatie voor toegepast-natuurwetenschappelijk onderzoek (TNO)
• Rijksdienst voor Ondernemend Nederland (RVO)
• College ter beoordeling van Geneesmiddelen (CBG)
• Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)
• Rijksinstituut voor Volksgezondheid en Milieu (RIVM
• Sociaal en Cultureel Planbureau (SCP)
• Ministerie van Onderwijs, Cultuur en Wetenschap (OCW)
• Koninklijke Bibliotheek
• Huurcommissie (DHC)
• Dienst Publieke Communicatie (DPC)
• Raad voor Rechtsbijstand (RvR).

Dit artikel werd eerder gepubliceerd bij onze collega's van AG Connect