Antwoord schriftelijke vragen : Antwoord op vragen van het lid Agnes Mulder over het bericht ‘Groot datalek bij NAM, 19.000 gedupeerden aardbevingsschade getroffen’

Antwoord van Minister Van ’t Wout (Economische Zaken en Klimaat) (ontvangen 13 april
2021).

Vraag 1

Bent u bekend met het bericht «Groot datalek bij de Nederlandse Aardolie Maatschappij
(NAM), 19.000 gedupeerden aardbevingsschade getroffen»? Kunt u uitleggen hoe dit datalek
mogelijk is geweest en welke gegevens er exact zijn gelekt bij deze 19.000 gedupeerden?
Klopt het dat er van 120 mensen privacygevoelige gegevens, zoals e-mailadressen, telefoonnummers
of bankgegevens, zijn gelekt?1

Antwoord 1

Ja, ik ben daarmee bekend. Zoals in de brief van 31 maart 2021 aan uw Kamer gemeld
staat de NAM volledig op afstand (Kamerbrief Kamerstukken 33 529, nr. 851). De NAM handelt al geruime tijd geen schademeldingen meer af die een gevolg zijn
van gaswinning uit het Groningenveld of de gasopslag bij Norg. Hiervoor is het Instituut
Mijnbouwschade Groningen (IMG) opgericht. Omdat het IMG controleert of er sprake is
van eerder uitgekeerde schadevergoedingen op een adres, hebben zij gegevens van NAM
nodig. NAM gebruikt de software van Accellion voor het verzenden van grote databestanden.
Begin maart 2021 is NAM, evenals vele andere bedrijven wereldwijd, op de hoogte gesteld
van het feit dat de transfer-software kwetsbaar bleek voor datadiefstal. Daarop is
NAM een onderzoek gestart en heeft het vastgesteld dat bij het versturen van data
naar het Instituut Mijnbouwschade Groningen (IMG) gegevens zijn ontvreemd.

De gelekte data betreffen gegevens van circa 19.000 mensen. Voor het overgrote deel
betreft het vooral NAW-gegevens, zoals initialen, achternaam, adres en woonplaats
en soms ook geboortedatum en -plaats. De gelekte adressen variëren in gegevens: bij
tweederde deel van de adressen staat bijvoorbeeld geen naamsinformatie vermeld maar
enkel een adres, huisnummer, postcode en plaatsnaam. Er zijn 122 gevallen waar gevoelige
persoonsgegevens is gelekt, bijvoorbeeld mailadressen en telefoonnummers. NAM heeft
na ontdekking direct de Autoriteit Persoonsgegevens op de hoogte gesteld en mogelijke
gedupeerden geïnformeerd. Accellion heeft aangegeven dat het veiligheidslek na de
ontdekking direct is gedicht.

Vraag 2

Klopt het tevens dat er met deze mensen persoonlijk contact is opgenomen door de NAM?
Wat is hen daarbij verteld en wat is er met deze mensen afgesproken?

Antwoord 2

Dat klopt. Van de 122 mensen van wie de gevoelige persoonsinformatie is gelekt zijn
er 7 personen van wie de bankgegevens en vaststellingovereenkomsten met NAM onderdeel
waren van het datalek. NAM heeft deze 7 mensen telefonisch geïnformeerd en adviezen
en informatie gegeven over cyberveiligheid. De overige 115 personen van wie de gevoelige
persoonsgegevens zijn gelekt, hebben een e-mailbericht of brief van NAM ontvangen
met daarin dezelfde adviezen en informatie.

In een enkel geval is bij het ontbreken van actuele contactinformatie door NAM contact
opgenomen met de gemeente om na te gaan op welke wijze – binnen de kaders van de privacywetgeving
– alsnog contact met de persoon gelegd kon worden. Personen die niet via e-mail of
telefoon bereikt konden worden, hebben een brief ontvangen.

NAM heeft daarnaast een speciaal telefoonnummer en e-mailadres opengesteld voor de
19.000 personen die mogelijk onderdeel van de datadiefstal zijn. Er zijn in totaal
17 vragen ontvangen die door NAM zijn beantwoord.

Naast het informeren van de gedupeerden heeft NAM ook de direct betrokken overheden,
instanties en maatschappelijke organisaties zoals de Stichting WAG en de Autoriteit
Persoonsgegevens over het datalek geïnformeerd.

Vraag 3

Kunt u uitleggen wat er gebeurt indien de gedupeerden, waarvan gegevens zijn gelekt,
hier in de toekomst schade van ondervinden, bijvoorbeeld door identiteitsfraude? Wie
is daar in dat geval voor aansprakelijk?

Antwoord 3

Als een gedupeerde schade lijdt als gevolg van een overtreding van de Algemene Verordening
Gegevensbescherming (AVG), dan kan hij, op grond van de AVG, recht hebben op een vergoeding
van zijn schade als het datalek verwijtbaar is. Op grond van de AVG is de verwerkingsverantwoordelijke
in dat geval aansprakelijk. In dit geval is NAM de verwerkingsverantwoordelijke, en
kan dus aansprakelijk gesteld worden door gedupeerden.

Vraag 4

Klopt het dat de NAM de software waarin het lek ontstond, gebruikte op verzoek van
het Instituut Mijnbouwschade Groningen (IMG) om informatie te versturen over de afhandeling
van claims over waardedaling?

Antwoord 4

IMG heeft aan NAM informatie gevraagd om schademeldingen voor waardedaling te kunnen
afhandelen. NAM heeft deze informatie aangeleverd en gebruikte voor de verzending
van die informatie de betreffende transfer-software van de firma Accellion. IMG heeft
NAM niet gevraagd deze specifieke software te gebruiken.

Vraag 5

Betekent dit dat dezelfde software ook door het IMG wordt gebruikt? Zo ja, is het
IMG ook getroffen door dit datalek en welke stappen zet deze organisatie om datalekken
te voorkomen?

Antwoord 5

De software van Accellion wordt door IMG gebruikt om informatie van NAM te ontvangen.
Aangezien het lek plaatsvond bij de leverancier van de software is IMG niet zelf getroffen
door dit lek. Dit neemt niet weg dat IMG alert is op de veiligheid van zijn informatie.
Voorts heeft IMG werknemers in dienst van wie de taken ingericht zijn op het waarborgen
van de naleving van de AVG binnen de organisatie. Onlangs is bij IMG korte tijd sprake
geweest van een datalek. IMG heeft hier melding van gemaakt bij de Autoriteit Persoonsgegevens
en heeft via haar website bekend gemaakt dat het datalek is ontstaan bij de overstap
naar een nieuw administratiesysteem. Hierbij waren documenten, die afkomstig waren
van RVO-regelingen, zichtbaar in IMG-dossiers van aanvragers. Uit voorzorg heeft IMG
direct alle documenten in het online «Mijn dossier» (specifiek het deel voor fysieke
schade) geblokkeerd. Inmiddels zijn alle verkeerd geplaatste documenten verwijderd
en zijn de dossiers weer volledig zichtbaar en toegankelijk voor de individuele aanvragers.