Brief regering : Datalek in gepubliceerde documenten van de Rijksoverheid

26 643
Informatie- en communicatietechnologie (ICT)

Nr. 319
BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 18 april 2025

In de afgelopen weken is bij interne controle door BZK geconstateerd dat de rijksoverheid
documenten publiceert waaruit – via de metadata – persoonsgegevens van ambtenaren
achterhaald kunnen worden. Mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties
informeer ik uw Kamer met deze brief over dit probleem en de genomen maatregelen en
beantwoord ik de vragen die op 11 april zijn gesteld door het lid Buijsse (VVD) met
kenmerk 2025Z07230 en door de leden Valize en Deen (beiden PVV) met kenmerk 2025Z07233.

Alhoewel het op juiste wijze publiceren onder de verantwoordelijkheid van organisaties
zelf valt, heeft BZK de coördinatie van dit incident opgepakt, omdat het om een brede
problematiek gaat die ook het gevoel van veiligheid van ambtenaren raakt. Het is belangrijk
om te blijven benadrukken dat ambtenaren zich veilig moeten voelen om hun werk te
kunnen doen zonder daarop in persoon aangesproken te worden.

Het probleem is ontstaan in interne processen van ministeries als de betreffende metadata
bij de omzetting van documenten naar een publicatieformat niet goed worden opgeschoond.
Op dit moment wordt nader onderzoek gedaan naar de exacte omvang van het probleem
door alle documenten te scannen die via open.overheid.nl, rijksoverheid.nl en Overheid.nl
zijn gepubliceerd. Uit de eerste analyses komt het beeld naar voren dat zo’n 23% van
de gepubliceerde documenten onjuist ingevulde velden in de metadata omvat. We zijn
deze weken nog bezig het onderzoek verder af te ronden en tekenen daarbij aan dat
deze problematiek waarschijnlijk verder gaat dan de publicatieplatformen van de rijksoverheid.
Alle ministeries hebben een voorlopige melding gedaan van dit datalek bij de Autoriteit
Persoonsgegevens.

Maatregelen

Om meer inzicht te krijgen in de omvang van het probleem en om de gevolgen van het
datalek zoveel mogelijk te beperken, zijn de volgende maatregelen in gang gezet:

• Er is een calamiteitenteam ingericht onder leiding van de CISO Rijk. Dit team coördineert
de rijksbrede aanpak van het probleem. De Chief Privacy Officers van de departement
en grote uitvoeringsorganisaties zijn betrokken bij het onderzoek en de maatregelen;

• Er wordt onderzoek gedaan naar de totale omvang van het probleem. Het probleem speelt
bij alle ministeries en het gaat in ieder geval om verschillende soorten documenten
die op open.overheid.nl, rijksoverheid.nl en Overheid.nl zijn gepubliceerd;

• Er is door de getroffen ministeries een eerste melding gedaan bij de Autoriteit Persoonsgegevens.
Door BZK-VRO is op 8 april een gemeenschappelijke melding gedaan, mede namens VWS,
J&V, A&M, EZ, KGG en LVVN. Deze melding is later aangevuld met OCW en I&W. De andere
ministeries hebben zelfstandig melding gedaan. Na afronding van het onderzoek zullen
de meldingen aangevuld worden;

• Waar organisaties op basis van hun risicoanalyse ervoor kiezen tijdelijk informatie
te depubliceren op platformen zoals open.overheid.nl en rijksoverheid.nl is daaraan
tegemoet gekomen;

• Departementen zijn zelf verantwoordelijk voor het verwijderen van de betreffende metadata
uit documenten die worden gepubliceerd en worden daarbij zoveel mogelijk centraal
ondersteund;

• Er zijn acties in gang gezet om zoveel mogelijk te voorkomen dat nieuwe documenten
worden gepubliceerd die metadata bevatten met persoonsgegevens van ambtenaren. Bijvoorbeeld
met een extra controle voordat documenten worden gepubliceerd;

• Er wordt gewerkt aan een plan van aanpak voor documenten die al gepubliceerd zijn.
Waar nodig wordt informatie die gepubliceerd is op open.overheid.nl tijdelijk onzichtbaar
gemaakt, zodat die kan worden ontdaan van persoonsgegevens in de metadata om deze
daarna zo snel mogelijk weer toegankelijk te maken;

• Medewerkers zijn via een bericht op het intranet van het Rijk op de hoogte gebracht.
Zodra we de juiste verwerkingsafspraken hebben, kunnen organisaties individuele medewerkers
informeren of hun naam tijdelijk gepubliceerd is geweest;

• Er is contact opgenomen met de koepels van de medeoverheden om te onderzoeken of dit
probleem ook geldt voor documenten van medeoverheden.

Met bovenstaande maatregelen hopen we de negatieve consequenties van het datalek zoveel
mogelijk te beperken en gezamenlijk aan structurele oplossingen voor de toekomst te
werken.

Ik betreur dat dit datalek via de media bekend is geworden, voordat medewerkers zelf
en uw Kamer hierover zijn geïnformeerd. Het ministerie wilde eerst de omvang en impact
van het probleem goed in kaart brengen, een beter beeld hebben van welke maatregelen
nodig zijn om het probleem op te lossen en zo snel mogelijk en zoveel mogelijk persoonsgegevens
die gepubliceerd zijn af te schermen. Ook was deze aanpak erop gericht te voorkomen
dat er doelbewust gezocht zou worden naar namen van kwetsbare medewerkers.

Ik hecht eraan om uw Kamer hier goed over te blijven informeren. Daarom zal ik uw
Kamer voor de zomer nog een brief sturen met de voortgang van de afhandeling van dit
datalek.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
F.Z. Szabó