Antwoord schriftelijke vragen : Antwoord op vragen van het lid Kuiken over een explosieve toename hacks en datadiefstal
Vragen van het lid Kuiken (PvdA) aan de Minister voor Rechtsbescherming over een explosieve toename hacks en datadiefstal (ingezonden 1 maart 2021).
Antwoord van Minister Dekker (Rechtsbescherming) (ontvangen 1 april 2021). Zie ook
Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 2074.
Vraag 1
Kent u het bericht «AP luidt noodklok: explosieve toename hacks en datadiefstal»?1
Antwoord 1
Ja.
Vraag 2
Deelt u de mening dat het verontrustend is dat voor het tweede jaar op rij het aantal
incidenten van hacking, phishing of malware om persoonsgegevens buit te maken sterk
gestegen is? Zo nee, waarom niet?
Antwoord 2
Zoals onder meer gemeld in de Kamerbrief van 9 oktober jl. (Kamerstukken 2019–2020,
26 643, nr. 715) zijn geregistreerde cybercrime (waaronder hacken) en gedigitaliseerde criminaliteit
(waaronder online fraude en babbeltrucs) de afgelopen jaren beide gestegen. Sinds
het begin van de coronacrisis zijn deze vormen van criminaliteit verder toegenomen.
Dat is zorgelijk. Het is niet bekend in hoeveel gevallen er persoonsgegevens zijn
overgenomen.
Vraag 3
Heeft u een indicatie in hoeveel gevallen genoemde incidenten leiden tot misdrijven
waaronder oplichting en identiteitsfraude?
Antwoord 3
Uit de cijfers van de politie, het OM, de Fraudehelpdesk en het Centraal Meldpunt
Identiteitsfraude is niet te herleiden welke specifieke hack of datadiefstal ook heeft
geleid tot fraude. Ook de AP beschikt niet over informatie over misdrijven die het
gevolg zijn van datalekken. Er zijn namelijk verscheidene manieren om aan informatie
en persoonsgegevens te komen, denk hierbij aan phishing, het onderscheppen van de
post en online gedrag op social media. Bij het plegen van fraude wordt ook vaak gebruik
gemaakt van combinaties van meerdere datasets. Bijvoorbeeld wordt een dataset die
is gestolen via phishing gecombineerd met de dataset die is gestolen door middel van
hacken. Ook kan er veel tijd zitten tussen het moment dat de gegevens worden gestolen
en de mogelijke gevolgen, waardoor een direct verband moeilijk aan te tonen is. Daarnaast
hebben slachtoffers vaak zelf geen zicht op hoe de fraudeur aan de gegevens is gekomen,
waardoor het niet herleidbaar is.
Vraag 4
Deelt u de mening van de voorzitter van de Autoriteit Persoonsgegevens dat organisaties
waar mensen hun persoonsgegevens aan toevertrouwen daar niet altijd zorgvuldig mee
omgaan? Zo ja, hoe komt dat en hoe gaat u er aan bijdragen dat dat verbeterd gaat
worden? Zo nee, waarom niet?
Antwoord 4
De AP rapporteert in haar datalekkenrapportage dat 2020 een toename met 30% kende
van het aantal hacks dat gericht is op het buitmaken van persoonsgegevens. Die toename
kan verschillende oorzaken hebben, waaronder onzorgvuldigheid. De AVG verplicht tot
het nemen van technische en organisatorische maatregelen om persoonsgegevens te beveiligen
en het verlies van persoonsgegevens te voorkomen. De verbetering hiervan is in belangrijke
mate een kwestie van bewustwording. De voorlichtende rol met betrekking tot de AVG
ligt primair bij de AP. Daarnaast is vergroting van het privacybewustzijn een van
de voornemens uit de Agenda horizontale privacy, waarover ik uw Kamer bij brief van
5 februari jl. (Kamerstukken 2020–21, 34 926, nr. 11) informeerde.
Vraag 5
Bij hoeveel datalekken is de Autoriteit Persoonsgegevens bij gebrek aan capaciteit
niet in de staat om daar actie tegen te ondernemen?
Antwoord 5
In 2020 ontving de AP 23.976 meldingen van datalekken. Uit de rapportage Datalekken
2020 van de AP blijkt dat de AP in 1.736 gevallen actie heeft ondernomen. Dit kan
naar aanleiding van datalekmeldingen zijn, maar ook als de AP een datalek vermoedt
door klachten, tips of andere datalekmeldingen.
Het is niet mogelijk om aan te geven of het niet oppakken van gemelde datalekken te
wijten is aan capaciteitsgebrek. Het is immers niet zo dat elke melding automatisch
om ingrijpen van de AP vraagt. De AP beoordeelt na binnenkomst van een melding of
actie nodig is, waarbij de ernst van het datalek het zwaarstwegende criterium is.
Vraag 6
Deelt u de mening, zoals die mede verwoord is door de Kamer in het debat over het
datalek bij de GGD, dat de Autoriteit Persoonsgegevens als de toezichthouder moet
meegroeien met de toename van het aantal risico’s waardoor de bescherming van persoonsgegevens
steeds meer onder druk komt te staan? Zo ja, hoe gaat u hier en op welke termijn concreet
gevolg aan geven? Zo nee, waarom niet?
Antwoord 6
In de rapportage Datalekken 2020 van de AP wordt een toename van het aantal meldingen
van hacking en malware gemeld van 271 meldingen. Het totaal aantal datalekmeldingen
neemt echter af met 2.980 meldingen. Dit impliceert dat niet meer capaciteit nodig
is, maar een herprioritering van de bestaande capaciteit. Het is aan de AP om haar
capaciteit risico-gestuurd in te zetten.
Het vergroten van de opdracht aan de AP door toekenning van meer middelen op bijvoorbeeld
dit specifieke punt of in totaliteit, zoals is verzocht in de motie van het lid Hijink
c.s., vraagt om investeringen en fundamentele beleidskeuzes die aan een volgend kabinet
zijn. Zoals ik per brief van 1 maart aan uw Kamer heb laten weten, is het gelet op
de demissionaire status van dit kabinet thans niet mogelijk om toezeggingen te doen
over de verhoging van het budget van de AP.
Ondertekenaars
-
Eerste ondertekenaar
S. Dekker, minister voor Rechtsbescherming
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.