Vragen van het lid Bruins Slot (CDA) aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties over het bericht «Russische whizzkid wordt rijk door jouw documentjes» (ingezonden 11 oktober 2017).

Antwoord van Staatssecretaris Knops (Binnenlandse Zaken en Koninkrijksrelaties) (ontvangen 24 november 2017) Zie ook Aanhangsel Handelingen, vergaderjaar 2017–2018, nr. 333.

Vraag 1

Heeft u het item van RTL nieuws over docplayer.nl gezien?1

Antwoord 1

Ja.

Vraag 2

Hoe kan het dat op deze site verschillende belastingaangiftes met burgerservicenummer staan? In hoeverre mag iemand andermans persoonlijke informatie op zijn eigen site zetten?

Antwoord 2

Het programma voor online belastingaangifte biedt de mogelijkheid om een pdf-versie van de aangifte te maken voor de eigen administratie van degene die aangifte doet. De pdf-versie bevat alle gegevens die in de aangifte zijn opgenomen, dus ook de persoonlijke gegevens van de belastingplichtige. Als dit document door de belastingplichtige wordt opgeslagen op een niet goed beveiligde computer of in de cloud, zou het kunnen dat deze documenten met bepaalde software te traceren zijn en dat zij vervolgens weergegeven kunnen worden op een website. Dit is niet het gevolg van de wijze waarop het programma voor het doen van belastingaangifte is ingericht of beveiligd.

Als het persoonsgegevens betreft, dat wil zeggen gegevens die informatie verschaffen over een identificeerbare natuurlijke persoon, is het plaatsen van dergelijke informatie op een eigen site, te kwalificeren als het verwerken van persoonsgegevens. Het begrip «verwerken» omvat ook het verzamelen, vastleggen en samenbrengen van persoonsgegevens en daar is in dit geval sprake van.

In artikel 8 van de Wet bescherming persoonsgegevens is onder meer bepaald dat persoonsgegevens alleen mogen worden verwerkt als de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven. Van een ondubbelzinnige toestemming is in dit geval geen sprake en deze handelwijze is dus niet toegestaan.

Daarnaast is het ook zo dat indien en voor zover op de site ook informatie wordt geplaatst waarop auteursrechten, naburige rechten of sui generis databankenrechten berusten, in beginsel ook voorafgaande toestemming van de rechthebbende moet worden verkregen. Zonder die toestemming is er sprake van een inbreuk op voornoemde rechten.

Vraag 3

Hoe komt Nederlandse content op een klaarblijkelijk door een Rus beheerde site terecht?

Antwoord 3

Internet is een plaats waar content verzameld en vrij gedeeld kan worden. Bij het overnemen van die content moet rekening worden gehouden met auteursrechten en/of andere licentievoorwaarden. Vanzelfsprekend is het plaatsen van content die wederrechtelijk is verkregen niet toegestaan.

De informatie die op docplayer terecht is gekomen, is volgens het betreffende bericht verkregen door met een robot het internet te doorzoeken. Om te voorkomen dat bepaalde content wordt verzameld is het Robots Exclusion Protocol opgesteld, maar dit protocol is niet bindend, omdat het alleen ter advies dient en uitgaat van medewerking van de bezoekende webrobot. Er zijn robots die het protocol niet kennen of negeren en dat laatste is hier mogelijk ook aan de orde.

Vraag 4

Welk gevaar bestaat er dat de beschikbare documenten met burgerservicenummer en namen tot identiteitsfraude leiden?

Antwoord 4

In het algemeen geldt dat hoe meer persoonsgegevens over iemand in verkeerde handen terecht komen, hoe groter de kans is op identiteitsfraude. Met alleen het BSN en de naam is niet zoveel mogelijk. Vaak is er meer nodig zoals een (kopie van een) identiteitsdocument. Dit blijkt uit de meldingen over identiteitsfraude die bij BZK binnenkomen. Risico’s voor identiteitsfraude liggen dus hoofdzakelijk in het combineren van het BSN met andere persoonsgegevens uit andere bronnen. Tot nu toe hebben mij nog geen signalen bereikt dat gegevens die op docplayer zijn opgenomen, tot identiteitsfraude hebben geleid.

Vraag 5

Welke risico’s zijn er dat via deze site snel virussen kunnen worden verspreid? Hoe wenselijk is het dat de overheid deze site ook gebruikt bij het maken van verwijzingen in Kamerstukken (bijvoorbeeld Kamerstuk 34 595, nr. 33, p. 5)?

Antwoord 5

Het is niet onmogelijk dat dergelijke websites malware verspreiden. Echter er zijn geen concrete aanwijzingen dat dit ook gebeurt. Dat neemt niet weg dat het bij overheidsdocumenten de voorkeur geniet om naar de primaire en vertrouwde bron te verwijzen. Kanalen van de rijksoverheid (zoals bijvoorbeeld www.rijksoverheid.nl en www.officielebekendmakingen.nl) genieten daarbij ten principale de voorkeur in het licht van vertrouwde communicatie met burgers. Dit onderwerp zal binnen de daarvoor passende gremia van de rijksoverheid onder de aandacht komen.

Vraag 6

Welke mogelijkheden zijn er vanuit de overheid om ongewenste content, zoals ingevulde belastingaangiftes met burgerservicenummer of het personeelsblad van de inlichtingentak van de Militaire Inlichtingen- en Veiligheidsdienst, van de site te halen?

Antwoord 6

Het kabinet hecht aan een vrij en open internet. Daar waar sprake is van schendingen van de Wet bescherming persoonsgegevens (Wbp) is de Autoriteit Persoonsgegevens (Ap) de onafhankelijk toezichthouder die de bevoegdheid heeft om op te treden in geval van schending van de Wbp. De Ap bepaalt dus zelf wanneer zij dat doet. Daarbij geldt wel dat de bescherming die de Wbp biedt niet kan gelden als de verwerkingen worden gedaan door een verantwoordelijke die geen vestiging heeft in de EU en indien de verwerking wordt gedaan met middelen die zich niet in Nederland bevinden. Voor wat betreft het deel van uw vraag naar het personeelsblad van de MIVD, verwijs ik u naar de brief van de Minister van Defensie hierover van 1 april 2016 (Aanhangsel van Handelingen nr. 2208, Vergaderjaar 2015–2016).

Vraag 7

Welke mogelijkheden zijn er voor individuen, zo mogelijk gesteund door de overheid, om ongewenste content, zoals ingevulde belastingaangiftes met burgerservicenummer, van de site te halen?

Vraag 8

Welke verantwoordelijkheid kan hier van Google verwacht worden? Heeft de Nederlandse overheid mogelijkheden om Google tot actie over te laten gaan? Zo nee, waarom niet?

Antwoord 7 en 8

Het kabinet is voorstander van een vrij en open internet. Het via Google van overheidswege onbereikbaar maken van zich op het internet bevindende gegevens is volgens het kabinet niet de aangewezen weg.

Zoals eerder aangegeven heeft de Autoriteit Persoonsgegevens de bevoegdheid om op te treden in geval van schending van de Wet bescherming persoonsgegevens; deze wet geldt evenwel niet als het verwerkingen betreft door een verantwoordelijke, die geen vestiging heeft in Nederland, met gebruikmaking van middelen die zich niet in Nederland bevinden. Het verwijderen van gegevens van de websites zelf zal in die gevallen moeilijk te realiseren te zijn. Wel kunnen burgers bij de zoekmachines een individueel verwijderverzoek indienen, teneinde zo de resultaten te verwijderen van een zoekopdracht op hun naam. Dit betekent evenwel niet dat de informatie nooit meer gevonden kan worden, want de bron blijft beschikbaar op internet.

Naar boven