Vragen van het lid Leijten (SP) aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties over dat een Amerikaanse spion Booking.com heeft gehackt en dit niet is gemeld (ingezonden 17 november 2021).

Antwoord van Minister Ollongren (Binnenlandse Zaken en Koninkrijksrelaties) (ontvangen 6 januari 2022). Zie ook Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 962.

Vraag 1

Klopt het dat gedupeerde klanten van Booking.com, wiens gegevens zijn gestolen, op de hoogte gebracht hadden moeten worden van dit datalek?1

Antwoord 1

Of een datalek moet worden gemeld, hangt af van het wettelijke kader. Volgens de berichtgeving speelde het datalek zich af in 2016 en zou daarmee onder de Wet bescherming persoonsgegevens (hierna: Wbp) vallen.

Per 1 januari 2016 is de meldplicht datalekken, zoals volgt uit artikel 34a Wbp, van kracht geworden. Op grond van lid 2 van dit artikel is een verantwoordelijke verplicht om de betrokkenen bij een inbreuk op de beveiliging op de hoogte te brengen, wanneer de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer. Artikel 43 Wbp biedt een overzicht van de uitzonderingen op deze verplichting. De Wbp is op 25 mei 2018 komen te vervallen. Op deze datum is de Algemene verordening gegevensbescherming (AVG) in werking getreden.

De Autoriteit Persoonsgegevens (AP) heeft laten weten over dit specifieke geval geen verdere informatie te kunnen geven. Het is niet aan mij om over het in de vraag genoemde mogelijke datalek een oordeel te geven, nu dit bij uitstek toekomt aan de toezichthouder.

Vraag 2

Waarom heeft de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) de Autoriteit Persoonsgegevens niet op de hoogte gesteld, als zij hebben geholpen de hacker te vinden?

Antwoord 2

Ik kan in het openbaar niet ingaan op concrete vragen over het handelen van de AIVD.

Vraag 3

Hoe vaak hebben Amerikaanse autoriteiten geprobeerd om bedrijven te hacken die gevestigd zijn in Nederland?

Antwoord 3

De AIVD en de MIVD stellen een onderzoek in indien aanwijzingen bestaan dat Nederlandse of in Nederland gevestigde bedrijven zijn gehackt door statelijke actoren. Over het actuele kennisniveau van de inlichtingen- en veiligheidsdiensten kunnen in het openbaar geen mededelingen worden gedaan.

Vraag 4

Is de AIVD volgens u voldoende toegerust om dit soort spionage tegen te gaan?

Antwoord 4

De genoemde berichtgeving geeft onvoldoende duidelijkheid of in deze casus sprake is geweest van spionage. In het algemeen geldt dat de AIVD Nederland beschermt door (ongeziene) dreigingen tegen de nationale veiligheid te onderzoeken. Dat geldt onder meer voor digitale spionage. Als de AIVD dreigingen ontdekt binnen of buiten Nederland, waarschuwt de dienst (overheids-)partners die daartegen kunnen optreden.

Vraag 5

In hoeverre staat Booking.com onder verscherpt toezicht nu zij vaker datalekken niet hebben gemeld?

Antwoord 5

Desgevraagd heeft de AP laten weten op dit moment nog niets te kunnen zeggen over eventuele vervolgstappen met betrekking tot de veronderstelde inbreuk op de beveiliging bij Booking.com

X Noot
1

NRC, 10 november 2021, «Een Amerikaanse spion brak in bij Booking.com, maar de hotelboeksite hield dat stil», https://www.nrc.nl/nieuws/2021/11/10/een-amerikaanse-spion-brak-in-bij-bookingcom-maar-de-hotelboeksite-hield-dat-stil-2-a4065059

Naar boven