Brief regering : Reactie op verzoek commissie over Datalek Kadaster

Nr. 263
BRIEF VAN DE MINISTER VOOR VOLKSHUISVESTING EN RUIMTELIJKE ORDENING

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 13 maart 2023

Bij het Kadaster is in de periode van 18 september tot en met 11 oktober 2022 sprake
geweest van een datalek, waardoor geheime woonadressen tijdelijk zichtbaar zijn geweest.
Bij brief d.d. 8 november 20221 heb ik de Tweede Kamer hierover geïnformeerd. Uw Commissie heeft mij naar aanleiding
van deze brief gevraagd u nader te informeren over de stand van zaken, alsmede over
de wijze waarop betrokkenen van wie gegevens gelekt zijn, worden geïnformeerd. Deze
aanvullende informatie doe ik u hierbij toekomen.

Inleiding

Burgers kunnen via hun gemeente hun woonadres laten afschermen in de Basisregistratie
Personen (BRP), waardoor deze geheime woonadressen ook bij het Kadaster niet meer
inzichtelijk zijn voor onbevoegden. Alleen bevoegd gezagen (waar onder notarissen)
hebben dan nog toegang tot deze gegevens voor de uitvoering van hun wettelijke taken.
Deze vorm van afscherming is een optie die elke burger in Nederland heeft. Meer dan
100.000 personen in Nederland maken momenteel gebruik van deze optie.

Bij het Kadaster heeft zich in de periode van 18 september tot en met 11 oktober 2022
een incident voorgedaan, waardoor de koppeling met de BRP die afscherming mogelijk
maakt tijdelijk niet juist werd gelegd. Hierdoor waren geheime woonadressen, bij een
eventuele raadpleging door professionele gebruikers van de Basisregistratie Kadaster
via Kadaster Online (KOL) of Ketenintegratie Inschrijving Kadaster (KIK), toch tijdelijk
inzichtelijk. Door het Kadaster afgeschermde personen vallend onder het Stelsel Bewaken
en Beveiligen, waren niet vindbaar.

Betrokkenen

Door het Kadaster zijn ongeveer 3.700 personen geïdentificeerd waarvan het geheime
adres tijdelijk zichtbaar is geweest in informatieproducten voor professionele gebruikers.
Op 20 oktober 2022 heeft het Kadaster deze betrokkenen schriftelijk over dat feit
geïnformeerd, met daarbij een toelichting op het incident. In deze brief werden betrokkenen
onder meer gewezen op een specifieke webpagina met de belangrijkste vragen en antwoorden,
alsmede een afzonderlijk telefoonnummer bij het Kadaster Klantcontactcenter voor vragen
en persoonlijk contact. Een vaste groep medewerkers is in deze periode beschikbaar
geweest om vragen van betrokkenen te kunnen beantwoorden. Bijna 800 betrokkenen hebben
via deze weg telefonisch contact opgenomen met het Kadaster voor extra informatie.
Ruim 175 unieke bezoekers hebben de speciale webpagina op Kadaster.nl bezocht. Deze
service en in het bijzonder de transparantie werd gewaardeerd.

KOL & KIK gebruikers

Professionele gebruikers die persoonsgegevens (onbedoeld) hebben verkregen (ongeveer
2.700) via KOL en KIK inzage hebben op 25 oktober 2022 een mail ontvangen met een
toelichting op het incident, en het verzoek deze data, indien nog voorhanden, te verwijderen.
Een reminder op deze mail is verstuurd op 10 november 2022. Professionele gebruikers
werden ook verzocht een online formulier in te vullen, waarin men bevestigt de info
verwijderd te hebben. De eindstand hiervan (per 22 december 2022) was een 81,6% respons.

Klachten & schadeclaims

Betrokkenen en gebruikers hebben ook de mogelijkheid gekregen om een klacht over het
incident in te dienen. Door 34 betrokkenen en 5 KOL-gebruikers is van deze mogelijkheid
gebruik gemaakt. Het Kadaster heeft mij aangegeven deze klachten serieus te nemen
en bekijkt per persoon naar de situatie, om maatwerk te kunnen toepassen. Er zijn
in totaal twee claims ingediend waarbij het Kadaster aansprakelijk wordt gesteld voor
de veronderstelde gevolgen van het lekken van informatie. Er zijn geen bedragen of
omschrijving van de geleden schade genoemd.

Melding Autoriteit Persoonsgegevens

De voorlopige melding bij de Autoriteit Persoonsgegevens is omgezet naar een definitieve
melding.

Beleid om herhaling te voorkomen

Het Kadaster heeft veel aandacht voor informatiebeveiliging en laat zich jaarlijks
extern auditen en certificeren. Door systemen blijvend te controleren op eventuele
risico’s waarborgt het Kadaster de privacy van burgers. Desondanks kan er altijd iets
misgaan waar technologische ontwikkelingen niet stil staan. Daarom heeft het Kadaster
een zelfkritische evaluatie uitgevoerd naar het incident, om de kans op herhaling
zover mogelijk te minimaliseren. Uitgangspunt hierbij is om alle vormen van persoonsgegevens
in alle applicaties van het Kadaster aan extra testen te onderwerpen. Dit wil het
Kadaster doen aan de hand van een Privacy Impact Assessment (PIA), die wordt uitgevoerd
op alle informatiesystemen die BRP-gegevens verwerken. Daarnaast wordt voor alle softwareontwikkeling
geverifieerd dat de (regressie)testen ook zien op de bedoelde verwerking van persoonsgegevens.
Tenslotte wil het Kadaster onderzoek doen naar de mogelijkheden om een geautomatiseerde
dagelijkse test op de filtering van geheime adressen te realiseren.

Het Kadaster rapporteert in zijn jaarverslag, dat ook naar de Kamer wordt gezonden,
jaarlijks over beleid ten aanzien van informatiebeveiliging.

De Minister voor Volkshuisvesting en Ruimtelijke Ordening, H.M. de Jonge