Antwoord schriftelijke vragen : Antwoord op vragen van het lid Leijten over dat een Amerikaanse spion Booking.com heeft gehackt en dit niet is gemeld
Vragen van het lid Leijten (SP) aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties over dat een Amerikaanse spion Booking.com heeft gehackt en dit niet is gemeld (ingezonden 17 november 2021).
Antwoord van Minister Ollongren (Binnenlandse Zaken en Koninkrijksrelaties) (ontvangen
6 januari 2022). Zie ook Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 962.
Vraag 1
Klopt het dat gedupeerde klanten van Booking.com, wiens gegevens zijn gestolen, op
de hoogte gebracht hadden moeten worden van dit datalek?1
Antwoord 1
Of een datalek moet worden gemeld, hangt af van het wettelijke kader. Volgens de berichtgeving
speelde het datalek zich af in 2016 en zou daarmee onder de Wet bescherming persoonsgegevens
(hierna: Wbp) vallen.
Per 1 januari 2016 is de meldplicht datalekken, zoals volgt uit artikel 34a Wbp, van
kracht geworden. Op grond van lid 2 van dit artikel is een verantwoordelijke verplicht
om de betrokkenen bij een inbreuk op de beveiliging op de hoogte te brengen, wanneer
de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer.
Artikel 43 Wbp biedt een overzicht van de uitzonderingen op deze verplichting. De
Wbp is op 25 mei 2018 komen te vervallen. Op deze datum is de Algemene verordening
gegevensbescherming (AVG) in werking getreden.
De Autoriteit Persoonsgegevens (AP) heeft laten weten over dit specifieke geval geen
verdere informatie te kunnen geven. Het is niet aan mij om over het in de vraag genoemde
mogelijke datalek een oordeel te geven, nu dit bij uitstek toekomt aan de toezichthouder.
Vraag 2
Waarom heeft de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) de Autoriteit Persoonsgegevens
niet op de hoogte gesteld, als zij hebben geholpen de hacker te vinden?
Antwoord 2
Ik kan in het openbaar niet ingaan op concrete vragen over het handelen van de AIVD.
Vraag 3
Hoe vaak hebben Amerikaanse autoriteiten geprobeerd om bedrijven te hacken die gevestigd
zijn in Nederland?
Antwoord 3
De AIVD en de MIVD stellen een onderzoek in indien aanwijzingen bestaan dat Nederlandse
of in Nederland gevestigde bedrijven zijn gehackt door statelijke actoren. Over het
actuele kennisniveau van de inlichtingen- en veiligheidsdiensten kunnen in het openbaar
geen mededelingen worden gedaan.
Vraag 4
Is de AIVD volgens u voldoende toegerust om dit soort spionage tegen te gaan?
Antwoord 4
De genoemde berichtgeving geeft onvoldoende duidelijkheid of in deze casus sprake
is geweest van spionage. In het algemeen geldt dat de AIVD Nederland beschermt door
(ongeziene) dreigingen tegen de nationale veiligheid te onderzoeken. Dat geldt onder
meer voor digitale spionage. Als de AIVD dreigingen ontdekt binnen of buiten Nederland,
waarschuwt de dienst (overheids-)partners die daartegen kunnen optreden.
Vraag 5
In hoeverre staat Booking.com onder verscherpt toezicht nu zij vaker datalekken niet
hebben gemeld?
Antwoord 5
Desgevraagd heeft de AP laten weten op dit moment nog niets te kunnen zeggen over
eventuele vervolgstappen met betrekking tot de veronderstelde inbreuk op de beveiliging
bij Booking.com
Ondertekenaars
-
Eerste ondertekenaar
K.H. Ollongren, minister van Binnenlandse Zaken en Koninkrijksrelaties
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.