Brief regering : Update datalek bij de Kamer van Koophandel

Nr. 201 BRIEF VAN DE MINISTER VAN ECONOMISCHE ZAKEN EN KLIMAAT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 18 november 2021

De Kamer van Koophandel (KVK) heeft afgelopen zomer melding gemaakt van een datalek
bij het Handelsregister. Een persoon die zich sinds 15 januari 2021 heeft uitgeschreven
als advocaat bij de Nederlandse Orde van Advocaten heeft reguliere handelsregisterproducten
opgevraagd, waarbij op grond van zijn/haar autorisatie als advocaat, niet-openbare
privéadressen zijn meegeleverd. De persoon was hiertoe niet langer bevoegd. In totaal
zijn door deze persoon 596 producten uit het Handelsregister (HR) opgevraagd. Met
deze producten zijn in totaal 1785 privéadressen meegeleverd waarvan het in 1776 gevallen
het actuele privéadres van de betrokkene betrof. De opgevraagde gegevens betroffen
een brede waaier aan organisaties met uiteenlopende maatschappelijke en economische
doelstellingen.

In de context van het maatschappelijk debat over privacy versus transparantie zijn
zowel KVK als ik ons bewust van de ernst van deze situatie. Helaas worden dilemma’s
en risico’s vaak pas concreet of zichtbaar in de uitvoering van het beleid bij de
uitvoerende instanties. Zo ook bij het beheer van de autorisaties van specifieke beroepsgroepen
en instanties, die bij wet zijn aangewezen, om afgeschermde en niet-openbare privéadressen
in te kunnen zien voor de uitoefening van hun beroep. Het is de verantwoordelijkheid
van deze beroepsgroepen, waaronder de advocatuur, om integer om te gaan met de door
de wet toegekende bevoegdheden. Wanneer, zoals in dit geval, een advocaat stopt met
zijn beroep, is het zijn verantwoordelijkheid om hiervan melding te doen bij KVK en
de autorisatie in te laten trekken. In de voorliggende casus heeft de voormalige advocaat
dit niet gedaan. Daarnaast constateren we gezamenlijk dat het beheer, en dan met name
de intrekking van autorisaties, beter geregeld moet worden. KVK heeft naar aanleiding
van het datalek, dat dit probleem blootlegde, dan ook direct een aantal maatregelen
genomen om de ontstane situatie te keren en de risico’s met betrekking tot beheer
van autorisaties van beroepsgroepen op het HR beter te beheersen.

In een breder verband adresseer ik de dilemma’s tussen privacy en transparantie met
de ontwikkeling van de datavisie voor het handelsregister. In dat kader onderzoek
ik samen met KVK, en middels openbare consultaties ook met belanghebbenden, wie wanneer
wat mag doen met de data uit het Handelsregister. Ik heb u toegezegd u in december
aanstaande te informeren over de voortgang van deze beleidsvisie op het gebruik van
data uit het HR.

Door de leden Leijten (SP), Simons (BIJ1) en Van Ginneken (D66) van uw Kamer zijn
schriftelijke vragen gesteld over het datalek. Deze zijn op 9 september 2021, beantwoord1. Tijdens het debat over de bedreiging van journalisten op 9 september 20212 is het onderwerp in uw Kamer aan de orde gesteld. Naar aanleiding van het verzoek
van uw Kamer doe ik u hierbij de informatie toekomen over de voortgang van dit onderzoek
ten behoeve van het commissiedebat, gepland op 30 november 2021.

Door KVK genomen maatregelen direct na constatering van het datalek

Na constatering heeft KVK destijds direct een aantal maatregelen getroffen.

– De autorisatie van de betreffende voormalig advocaat is per direct ingetrokken. De
betrokken persoon is verzocht om de onrechtmatig verkregen informatie per direct te
vernietigen en KVK heeft een schriftelijke bevestiging ontvangen dat dit is gebeurd.

– Omdat deze persoon onbevoegd gebruik heeft gemaakt van de, aan advocaten toegekende,
autorisatie en omdat daarnaast sprake was van afwijkend, systematisch, bevragingsgedrag
na uitschrijving van het tableau, is aangifte gedaan bij de politie.

– KVK heeft de schriftelijke bevestiging van de persoon gedeeld met de politie die de
zaak verder in onderzoek heeft genomen. Het OM heeft de zaak in beoordeling. Over
de uitkomst daarvan is nog niets bekend.

– KVK heeft dit lek gemeld bij de Autoriteit Persoonsgegevens.

– KVK heeft conform de Algemene Verordening Gegevensbescherming (AVG) de betrokken personen
geïnformeerd over het onbevoegd opvragen van hun organisatiegegevens waardoor actuele
privégegevens inzichtelijk waren.

– KVK heeft zich in verbinding gesteld met het Hoofd Beveiliging van de Tweede Kamer
zodat hij adequaat zijn werk kan doen3.

– KVK is daarnaast in samenwerking met de Nederlandse Orde van Advocaten (NOvA), de
Koninklijke Notariële Beroepsorganisatie (KNB) en de Koninklijke Beroepsorganisatie
van Gerechtsdeurwaarders (KBvG) gestart met het controleren van alle verleende autorisaties.

Toegang van beroepsgroepen tot het Handelsregister

Voor het afgeven van autorisaties heeft KVK een proces waar verschillende controles
worden uitgevoerd om te borgen dat alleen de in artikel 51 Handelsregisterbesluit
2008 (Hrb) genoemde bevoegde personen/instanties een autorisatie ontvangen. Door advocaten,
notarissen en deurwaarders mogen privéadressen worden opgevraagd op basis van dit
artikel 51 Hrb. KVK voert dit uit door middel van het toekennen van autorisaties (op
verzoek) aan deze beroepsbeoefenaren. Beroepsbeoefenaren kunnen daarbij ook hun medewerkers
opdracht c.q. volmacht geven onder verantwoordelijkheid van deze beroepsbeoefenaren
deze bevragingen te doen. Bevragingen zijn altijd te herleiden tot de afgegeven autorisatie
(op persoonsniveau).

Het Hrb vermeldt nu niet voor welke (wettelijke) taken de beroepsbeoefenaren deze
gegevens mogen opvragen. De gebruiksvoorwaarden van KVK geven hier wel een zekere
invulling aan. Daarin is onder meer bepaald dat deze niet-openbare gegevens uitsluitend
gebruikt mogen worden voor de uitvoering van wettelijke taken en dat gebruik geen
inbreuk mag maken op de rechten van KVK of derden. De gegevens mogen dus niet voor
andere, waaronder commerciële doeleinden, worden gebruikt.

Enkele voorbeelden van gebruik van privéadressen door deze beroepsgroepen zijn:

– Advocaten: o.a. ten behoeve van het in privé aansprakelijk stellen van eigenaren van
ondernemingen en functionarissen van rechtspersonen;

– Gerechtsdeurwaarders: voor het kunnen betekenen van formeel juridische documenten
aan het juiste (woon)adres van personen.

– Notarissen: voor het opstellen van akten waarbij bijvoorbeeld een natuurlijk persoon
als partij optreedt (onder meer opgenomen in wet op het notarisambt welke gegevens
hiervoor benodigd zijn).

Onderzoek naar autorisaties bij deze beroepsgroepen

Nadat de maatregelen ten aanzien van de boven omschreven casus genomen waren is KVK
aanstonds gestart met een breder onderzoek naar autorisaties verleend aan de beroepsgroepen
en hun medewerkers.

Controle op beroepsgroepen en maatregelen

Er is een controle uitgevoerd op de IPA (Inzage Privéadres)-autorisaties van advocaten,
notarissen en gerechtsdeurwaarders.

– Na bestandsvergelijkingen met de Nederlandse Orde van Advocaten (NOvA) is geconstateerd
dat 164 voormalig advocaten nog geautoriseerd waren om niet-openbare privéadressen
in te zien. Deze autorisaties zijn per 11 augustus 2021 ingetrokken.

– Na bestandvergelijking met de Koninklijke Notariële Beroepsorganisatie (KNB) en de
Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders (KBvG) zijn op 7 september
2021 de autorisaties van 70 voormalig notarissen ingetrokken en op 16 september 2021
de autorisaties van 15 voormalig gerechtsdeurwaarders.

Als vervolgactie op deze controle zijn deze voormalige beroepsbeoefenaren benaderd
en gevraagd een verklaring af te geven voor de bevragingen van het Handelsregister
na neerlegging van hun ambt. Uit deze vervolgactie kwamen de volgende resultaten naar
boven:

– Bij het opvragen van de verklaringen bleek dat in veel gevallen het account met IPA-autorisatie
is overgedragen aan een bevoegde opvolger van de inmiddels vertrokken bevoegd advocaat,
notaris of gerechtsdeurwaarder. Zij verklaarden conform hun beroepscodes met de adresgegevens
te zijn omgegaan.

– Van 156 van de 164 voormalig advocaten, van alle voormalig notarissen en van alle
voormalige gerechtsdeurwaarders zijn sluitende verklaringen ontvangen. Op basis van
deze verklaringen heeft KVK geconcludeerd dat de risico's voor de betrokkenen zo laag
zijn, dat het informeren van de betrokkenen een disproportionele maatregel zou zijn.
Dit in lijn met de richtlijnen van de AVG.

– Van 8 voormalig advocaten is geen of geen sluitende verklaring ontvangen. Dit raakt
een beperkt aantal unieke personen. Deze verklaringen worden momenteel nog nader onderzocht.
Op basis van de resultaten van deze nadere analyse bepaalt KVK, met in achtneming
van de AVG, de vervolgstappen.

Controle op medewerkers en maatregelen

Naast advocaten, notarissen en gerechtsdeurwaarders mogen ook hun medewerkers in opdracht
van deze beroepsbeoefenaren bevragingen met IPA-gegevens doen. Zij staan niet in de
registers van de koepels opgenomen en zijn in de hierboven beschreven eerste controle
op de drie beroepsgroepen nog buiten beschouwing gelaten. KVK is daarom in de afgelopen
weken in overleg getreden met enkele grote advocaten- en notarissenkantoren om na
te denken over hoe om te gaan met medewerker autorisaties.

Op basis hiervan worden de volgende aanvullende maatregelen genomen:

– Het laten herbevestigen van alle verstrekte autorisaties. Start 15 november, afronding
in januari 2022. Zonder herbevestiging wordt de autorisatie ingetrokken.

– Het in kaart brengen van eventuele risico's als gevolg van eventuele onbevoegde bevragingen
van medewerkers.

– De KVK-administratie dusdanig inrichten dat primair de geautoriseerde (de beroepsbeoefenaren)
en de gedelegeerd geautoriseerde (hun medewerkers) herkenbaar zijn met adequaat beheer
hierop.

– Het implementeren van een jaarlijkse controle op de actualiteit van de primaire en
gedelegeerde autorisaties.

– Periodieke bestandsvergelijking met beroepsorganisaties NOvA, KNB en KBvG.

– Voor de korte termijn een minstens maandelijkse uitwisseling met de bovengenoemde
koepels.

– KVK onderzoekt in nauwe samenwerking met de koepels de technische mogelijkheden voor
een directe, real-time koppeling. De realisatie hiervan zal, afhankelijk van uitkomsten
van het onderzoek, niet eerder dan tweede helft 2022 of, eerste helft 2023 plaatsvinden.

Vervolgonderzoek naar overige autorisaties

– Ook overheden (zoals de zogeheten a-bestuursorganen) hebben recht op een IPA-autorisatie.
Medewerkers van deze bestuursorganen handelen per definitie namens het bestuursorgaan,
dat deze autorisaties ook beheert voor zijn medewerkers.

– KVK intensiveert de bestaande en doorlopende afstemming met deze instanties en actualiseert
haar administratie daar waar nodig.

Ik zal u in het eerste kwartaal van 2022 per brief informeren over de resultaten van
het onderzoek naar de overige autorisaties en de voortgang van de controle op de «medewerker
autorisaties» van de beroepsgroepen advocaten, notarissen en gerechtsdeurwaarders.

De Minister van Economische Zaken en Klimaat,
S.A. Blok