Vragen van de leden Simons (BIJ1) en Van Ginneken (D66) aan de Ministers van Economische Zaken en Klimaat, van Binnenlandse Zaken en Koninkrijksrelaties en van Justitie en Veiligheid over een lek van privéadressen van volksvertegenwoordigers en politieke en maatschappelijke organisaties door de Kamer van Koophandel (ingezonden 24 augustus 2021).

Antwoord van Staatssecretaris Keijzer (Economische Zaken en Klimaat) (ontvangen 9 september 2021).

Vraag 1

Bent u op de hoogte van het feit dat (ex-)bestuursleden van in ieder geval de politieke partij BIJ1, de politieke jongerenorganisatie DWARS, de studentenvakbond LSVb, alsook meerdere Kamerleden een brief hebben ontvangen van de Kamer van Koophandel (KvK) waarin zij geïnformeerd werden dat hun privéadressen onrechtmatig zijn gedeeld met een voormalig advocaat?1

Antwoord 1

Ja.

Vraag 2

Bent u ervan op de hoogte dat, zo blijkt uit navraag bij de KvK, er naar verluid 2000 privéadressen uit het historisch handelsregister zijn gelekt? Kunt u exacte cijfers geven van de omvang van dit lek?

Antwoord 2

In totaal zijn door de voormalig advocaat 596 producten uit het Handelsregister opgevraagd. Met deze producten zijn in totaal 1785 privéadressen meegeleverd waarvan het in 1776 gevallen het actuele privéadres van de betrokkene betrof. De overige negen adressen waren niet meer actueel. Dat wil zeggen dat de persoon dus niet meer woonachtig is op het adres zoals vermeld bij de inschrijving. Dit is het geval als een persoon niet meer als actief functionaris in het Handelsregister staat en om die reden zijn actuele woonadres niet meer wordt bijgehouden.

Vraag 3

Is bij u bekend wie de voormalig advocaat in kwestie is?

Antwoord 3

Ja, de identiteit is bekend.

Vraag 4

Indien de voormalig advocaat in kwestie bij u bekend is, weet u wat de aanleiding dan wel reden was dat deze persoon zichzelf uit het tableau (advocatenregister) heeft laten schrappen?

Antwoord 4

Nee, het is niet bekend waarom de voormalig advocaat zichzelf heeft laten schrappen uit het tableau.

Vraag 5

Is er een algemene deler in de doelgroepen die slachtoffer zijn geworden van dit lek? En vanuit welke motieven heeft deze persoon gehandeld? Is er sprake van politieke motieven, criminele motieven of andere motieven?

Antwoord 5

Het gaat om een brede waaier aan organisaties met uiteenlopende maatschappelijke en economische doelstellingen. De voormalig advocaat heeft aangegeven de openbare registers te gebruiken voor onderzoek en begrip van maatschappelijke misstanden. De politie doet onderzoek naar diens handelwijze en motieven. In verband met de mogelijke herleidbaarheid van de informatie naar personen is het niet mogelijk meer bekend te maken over de achtergrond van de betrokkenen.

Vraag 6 en 7

Weet u of de voormalig advocaat in kwestie op zichzelf handelde of dat hier sprake is van een samenwerkingsverband, zoals een actiegroep, politieke groepering of criminele organisatie? Zo ja, kunt u de inhoud hiervan delen met de Kamer?

Indien er niks bekend is bij u over de identiteit, motieven en eventuele samenwerkingsverbanden van de voormalig advocaat in kwestie, bent u bereid deze te onderzoeken? En over de motieven en eventuele samenwerkingsverbanden de Kamer te informeren, zodat de Kamer in politieke oplossingen kan meedenken over de relatie tussen veiligheid van politieke organisaties en datalekken?

Antwoord 6 en 7

Het is niet bekend of de voormalig advocaat onderdeel is van een samenwerkingsverband. De KVK heeft naar aanleiding van de onbevoegde opvraging aangifte gedaan tegen de advocaat. De zaak ligt nu bij de politie die verder onderzoek doet. De KVK staat in contact met het hoofd van de beveiliging van de Tweede Kamer zodat hij zijn werk adequaat kan doen.

Zie antwoorden op vraag 3, 4, 5 en 6.

Vraag 8 en 9

Is deze persoon verzocht tot het vernietigen van de gegevens? Zo ja, wordt dit gecontroleerd en hoe wordt dit gecontroleerd? Zo nee, waarom niet? Is de KvK van plan dit alsnog te gaan doen? Hoe gaat erop worden toegezien dat de voormalige advocaat in kwestie niet langer over de gegevens kan beschikken?

Kan er gecontroleerd worden of de voormalig advocaat in kwestie de gegevens vervolgens niet weer heeft doorgedeeld aan derden? Zo ja, bent u bereid om die controle te gaan uitvoeren?

Antwoord 8 en 9

De voormalige advocaat verklaart de gegevens te hebben vernietigd en niet met derden te hebben gedeeld. De KVK heeft naar aanleiding van de onbevoegde opvraging aangifte gedaan tegen deze persoon. De autorisatie is per direct ingetrokken. De zaak ligt nu bij de politie die verder onderzoek doet en vervolgens besluit of er tot vervolging wordt overgegaan. De KVK heeft ook niet de bevoegdheid op basis waarvan zij aanvullend aan de politie onderzoek kan doen.

Vraag 10 en 11

Hoe groot schat u de dreiging voor de nationale veiligheid, gezien het feit dat het lek meerdere politici en politieke organisaties betreft? Kunt u die dreiging duiden?

Zijn er signalen dat er bedreigingen zijn voortgevloeid uit het lek van deze data?

Antwoord 10 en 11

Het inschatten van een dreiging voor de nationale veiligheid is aan de Nationaal Coördinator Terrorismebestrijding en Veiligheid. De voormalig advocaat heeft aangegeven de openbare registers te hebben gebruikt voor onderzoek en begrip van maatschappelijke misstanden. Tevens heeft de voormalig advocaat verklaard dat het hem niet ging om het woonadres en dat de gegevens zijn vernietigd. De zaak is bij de politie in onderzoek.

Vraag 12

Is uw inschatting dat er situaties van chantage of andere strafbare feiten kunnen voortvloeien uit het feit dat deze voormalige advocaat in bezit is van deze persoonsgegevens?

Antwoord 12

Ik wil niet speculeren over welke strafbare handelingen kunnen worden verricht met de gegevens. De KVK heeft geconstateerd dat de voormalige advocaat onbevoegd heeft gehandeld. Uit het onderzoek van de politie zal blijken of er reden is voor vervolging.

Vraag 13

Welke veiligheidsmaatregelen worden er getroffen om de adressen van deze 2000 mensen, waaronder Kamerleden, te beveiligen?

Antwoord 13

De KVK heeft aangifte tegen de voormalige advocaat gedaan en de maatregelen getroffen zoals beschreven in de antwoorden op de navolgende vragen. Daarnaast staat de KVK in contact met het hoofd Beveiliging van de Tweede Kamer zodat hij zijn werk adequaat kan doen.

Vraag 14

Zijn alle personen die getroffen zijn door dit datalek door de KvK geïnformeerd?

Antwoord 14

De KVK heeft conform AVG de betrokken personen geïnformeerd over het onbevoegd opvragen van hun organisatiegegevens waardoor actuele privégegevens inzichtelijk waren. Alle betrokkenen waarbij het actuele privéadres is meegeleverd als onderdeel van een HR-product zijn geïnformeerd over de onbevoegde opvraging.

Vraag 15

Meerdere door dit datalek getroffen personen hebben vanwege hun politieke en publieke functie via hun gemeenten geheimhouding gekregen op de van hen bekende gegevens in het Basisregistratie Personen (BRP), evenzo zij geheimhouding hebben gekregen op hun bij de KvK bekende persoonsgegevens; hoe is het mogelijk dat zij alsnog slachtoffer konden worden van dit datalek? Welke personen en instanties hebben ondanks deze geheimhoudingen toegang tot persoonsgegevens a) in de BRP, en b) in de KvK? Kunt u daar voor beide categorieën van geheimhouding over uitweiden?

Antwoord 15

De KVK is een overheidsorgaan. Er kan op grond van de Wet BRP geen geheimhouding worden gevraagd voor verstrekkingen van persoonsgegevens uit de BRP aan overheidsorganen. Welke persoonsgegevens een overheidsorgaan verstrekt krijgt is vastgelegd in een (BRP-)autorisatiebesluit. Er worden enkel persoonsgegevens verstrekt voor zover dit noodzakelijk is voor de goede vervulling van de taak van het overheidsorgaan. De KVK is op grond van het aan haar afgegeven BRP-autorisatiebesluit geautoriseerd voor het verkrijgen van onder andere adresgegevens ten behoeve van het kunnen bijhouden van het handelsregister.

Het uitgangspunt van de BRP is dat overheidsorganisaties en bepaalde derden persoonsgegevens ontvangen die zij nodig hebben bij hun taakuitvoering. Indien een burger dit zou kunnen verhinderen komt het functioneren van de overheid in het geding. Personen die zijn ingeschreven in de BRP kunnen hun gemeenten wel verzoeken om een «aantekening omtrent de verstrekking van gegevens aan derden» te plaatsen bij de persoonslijst. Die geheimhouding is op grond van de Wet BRP enkel van toepassing op verstrekking aan derden in de zin van de Wet BRP (niet- overheidsorganisaties die werkzaamheden van gewichtig maatschappelijk belang verrichten) en voor zover de geheimhouding in bijlage 4 van het Besluit BRP van toepassing is verklaard ten aanzien van een categorie derden. Deze uitzondering wordt beperkt toegepast. Gemeenten kunnen tevens de mogelijkheid tot geheimhouding bieden voor gemeentelijke verstrekkingen aan derden.

De KVK krijgt op grond van het BRP-autorisatiebesluit automatisch verstrekt of een burger heeft verzocht om geheimhouding, en kan dit indien nodig ook opvragen. Indien de burger heeft verzocht om geheimhouding, kan de KVK aanvullende maatregelen treffen ter bescherming van de privacy van de burger. De KVK gebruikt het gegeven over de verzochte geheimhouding in die gevallen dat zij een verzoek krijgt tot afscherming van een woonadres van een natuurlijk persoon, zoals geregeld in het huidig artikel 51 lid 3 Handelsregisterbesluit. Als onderdeel van de toetsing van dat verzoek door de KVK geldt namelijk als toetsingscriterium dat een persoon zelf maatregelen heeft genomen om de bekendheid van zijn adres te verminderen, zoals het vragen van geheimhouding voor verstrekkingen uit de BRP. Na afscherming van de openbaarheid door de KVK is het adres enkel nog inzichtelijk voor notarissen, advocaten, deurwaarders en bestuursorganen, als bedoeld in artikel 1:1, eerste lid, onderdeel a, van de Algemene wet bestuursrecht.

Op basis van art 51 van het Handelsregisterbesluit 2008 zijn de woonadressen van bestuurders en functionarissen van rechtspersonen standaard afgeschermd. Die gegevens kunnen uitsluitend worden ingezien door advocaten, notarissen, deurwaarders en bepaalde bestuursorganen. Voor deze partijen is het noodzakelijk de woonadressen van de functionarissen te kennen om hun publieke taken uit te voeren.

Nadat de betreffende persoon zich had laten schrappen van het tableau als advocaat, was de persoon niet langer bevoegd om in die hoedanigheid gebruik te maken van de autorisatie om privéadressen in het handelsregister in te zien. Hij had de autorisatie moeten laten intrekken door KVK conform de voorwaarden bij de gebruikersovereenkomst waarmee hij bij het verkrijgen van de autorisatie heeft ingestemd. Zie het antwoord op vraag 18 voor een toelichting op deze procedure.

Vraag 16

Door wie of welk orgaan wordt de controle verricht op het proces van gegevensverwerking en specifiek gegevensverstrekking door de KvK? Wie of welk orgaan controleert bij de KvK of een persoon die gegevens opvraagt daadwerkelijk daartoe bevoegd is?

Antwoord 16

De Autoriteit Persoonsgegevens is de nationale toezichthouder op de naleving van de Algemene Verordening Gegevensbescherming. Voor beroepsgroepen en instanties die de gegevens nodig hebben voor de uitoefening van hun taak (zie antwoord vraag 15) bestaat een autorisatieproces. Tijdens de aanvraag van de autorisatie wordt getoetst of de persoon of instantie aan de benodigde eisen voldoet. Indien dit het geval is, wordt een autorisatie verstrekt. Het is niet zo dat iedere opvraging van gegevens wordt getoetst, wel wordt elke autorisatie getoetst voordat die wordt afgegeven. Is eenmaal een autorisatie afgegeven, dan is de persoon zelf verantwoordelijk voor een correct gebruik van de gegevens. Deze verantwoordelijkheid is vastgelegd in de gebruikersvoorwaarden zoals die van toepassing zijn op de autorisaties.

Vraag 17

Wat zijn de exacte criteria op basis waarvan de KvK toegang verleend aan personen om niet-openbare gegevens op te vragen en wie heeft die criteria bepaald?

Antwoord 17

In artikel 51 van het Handelsregisterbesluit 2008 staat wie bevoegd is om een autorisatie aan te vragen voor het opvragen van afgeschermde woonadressen. Voor de beroepsgroep advocaten controleert KVK via het tableau van de Nederlandse Orde van Advocaten (NOvA) bij aanvraag van de autorisatie of de betreffende persoon ook daadwerkelijk advocaat is en of de aanvrager gerechtigd is om zijn organisatie te vertegenwoordigen. Daarnaast vinden er een aantal checks plaats om de identiteit van de aanvrager te verifiëren. Als de aanvrager van de autorisatie voldoet aan de eisen zoals in de wet gesteld, wordt een autorisatie afgegeven.

Vraag 18

Hoe kan het dat uitschrijving uit het advocatenregister niet automatisch heeft geleid tot het ontzeggen van de toegang tot deze gegevens?

Antwoord 18

Er bestaat geen automatische koppeling tussen het tableau en het Handelsregister. Het is de verantwoordelijkheid van de advocaat om integer om te gaan met de door de wet toegekende bevoegdheden. Dit betekent dat een advocaat de autorisatie enkel gebruikt in het kader van de uitoefening van zijn/haar beroep. Wanneer een advocaat stopt met de uitoefening van het beroep, heeft de advocaat de verantwoordelijkheid om hiervan melding te doen bij KVK en de autorisatie in te laten trekken.

Vraag 19

Is het gebruikelijk dat een, al dan niet voormalig, advocaat in één klap duizenden persoonsgegevens opvraagt? Gaat er geen alarm af – in het systeem of bij de persoon dan wel het orgaan dat belast is met het verstrekken van deze persoonsgegevens – op het moment dat iemand van 2000 personen privégegevens opvraagt?

Antwoord 19

De privéadressen zijn geleverd als onderdeel van een product op basis van het KVK-nummer. Hierbij gaat het om 596 individuele bevragingen in de periode januari–juni 2021. Het betreft dus niet een eenmalige bevraging van het Handelsregister.

Vraag 20

Hoe is dit datalek aan het licht gekomen en weet u of er vaker op vergelijkbare wijze niet-openbare gegevens zijn opgevraagd door een persoon die daar geen toegang (meer) toe had mogen hebben?

Antwoord 20

KVK heeft een melding gekregen van de onbevoegde bevraging en heeft naar aanleiding daarvan gelijk actie ondernomen, zoals het intrekken van de betreffende autorisatie. Daarnaast heeft KVK alle autorisaties van advocaten die toegang hadden tot niet openbare privéadressen gecontroleerd en ingetrokken als zij niet meer ingeschreven stonden bij de Nederlandse Orde van Advocaten. Hieruit is gebleken dat er 164 gevallen zijn van autorisaties op een naam die niet meer in het tableau staan ingeschreven. KVK doet nader onderzoek of middels deze autorisaties ook onbevoegde opvragingen hebben plaatsgevonden.

Vraag 21

Welke consequenties heeft dit, potentieel gevaarlijke, datalek voor het beleid omtrent gegevensverwerking bij de KvK?

Antwoord 21

KVK heeft naar aanleiding van de melding maatregelen genomen. KVK gaat een controle uitvoeren voor alle autorisaties die zijn afgegeven. KVK werkt aan een structurele oplossing om het beheer van autorisaties aan te scherpen. Deze oplossingen vragen meer tijd aangezien er aanpassingen aan het IT-systeem nodig zijn.

Vraag 22

Welke maatregelen gaat u nemen om a) de huidige situatie recht te zetten met veiligheid voor de getroffenen op de eerste plaats, en om b) dergelijke situaties in de toekomst te voorkomen?

Antwoord 22

In afstemming met de Koninklijke Notariële Beroepsorganisatie (KNB) en de Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders (KBVG) worden de komende weken ook de autorisaties van notarissen, respectievelijk gerechtsdeurwaarders gecontroleerd. Eind oktober is dit onderzoek naar verwachting afgerond. Daarna zullen alle overige autorisaties gecontroleerd worden, zoals autorisaties van bestuursorganen. Dit onderzoek is naar verwachting eind december gereed.

Zie antwoorden vragen 10 tot en met 21.

Vraag 23

Er zijn meer privacy-problemen met het Handelsregister, zoals bijvoorbeeld dat in tegenstelling tot de wens van de Kamer de privéadressen van de meeste zzp’ers de facto nog steeds openbaar zijn via hun vestigingsadres; hoe beoordeelt u de algehele attitude van de KvK ten aanzien van de bescherming van de privacy van ingeschrevenen?

Antwoord 23

De huidige situatie is te wijten aan het onbevoegd handelen van een individu. Ik stel vast dat KVK maatregelen treft om nieuwe gevallen in de toekomst te voorkomen. KVK is zich naar aanleiding van dit incident bewust dat het beheer van autorisaties onvoldoende bescherming biedt tegen onbevoegd gebruik en dat dit beveiligingsrisico’s met zich meebrengt. De attitude van de KVK staat mijn inziens niet ter discussie.

Ik heb u geïnformeerd over de Datavisie Handelsregister, die ik samen met de KVK ontwikkel. Voor de zomer ben ik daarover een brede maatschappelijke discussie gestart met belanghebbenden.2 Het doel van de visie is om een balans te vinden tussen de uiteenlopende belangen die spelen rondom het Handelsregister. De visie zal een nieuw beleidskader vormen voor de verwerking en verstrekking van gegevens uit het Handelsregister.

Ik tref voorts maatregelen voor wat betreft de openbaarheid van adresgegevens in het Handelsregister. De afscherming van woonadressen, zoals die nu bestaat voor bestuurders en andere functionarissen, wordt uitgebreid naar de woonadressen van alle natuurlijke personen. Ik streef ernaar het ontwerpbesluit van die strekking dit najaar te publiceren in het Staatsblad.

De Kamer heeft in de motie-Yesilgöz-Zegerius c.s. (Kamerstuk 35 570 VI, nr. 36) verzocht om alle vestigingsadressen van ondernemingen en rechtspersonen, die tevens als woonadres fungeren, standaard af te schermen. Ik heb u laten weten dat deze motie op onderdelen niet uitvoerbaar is en ook niet zonder meer recht doet aan een zorgvuldige afweging van alle betrokken belangen. Het afschermen van een vestigingsadres van een onderneming (ook wanneer dat tevens als woonadres wordt gebruikt) is met het oog op de rechtszekerheid in het handelsverkeer en het naleven van de Wwft-verplichtingen van bepaalde afnemers van deze informatie onwenselijk, en waar het vennootschappen betreft, onmogelijk met het oog op Europeesrechtelijke verplichtingen.

In de motie Verhoeven (Kamerstuk 25 421 nr. 15) spreekt de Kamer de wens uit dat vestigingsadressen die tevens als woonadres fungeren, op verzoek van de ingeschrevene wordt afgeschermd. De indiener van de motie heeft mij daarbij de ruimte gelaten om meerdere oplossingsrichtingen te onderzoeken. Dat heb ik gedaan door het mee te nemen in de ontwikkeling van de datavisie en ik zal u over de uitkomst dit najaar informeren met een brief. Ondertussen maakt de KVK gebruik van de beleidsruimte die de huidige wetgeving aangaande het Handelsregister biedt om de privacy van ingeschrevenen te beschermen.

Vraag 24

Welke maatregelen gaat u nemen tegen de voormalig advocaat in kwestie die, blijkens het feit dat deze persoon zichzelf heeft uitgeschreven uit het advocatenregister, zich logischerwijs bewust moet zijn geweest van het feit dat hij/zij/hen hierdoor geen toegang had mogen hebben tot deze gegevens?

Antwoord 24

De autorisatie is direct ingetrokken. De zaak ligt nu bij de politie die verder onderzoek doet en vervolgens besluit of er tot vervolging wordt overgegaan. Zie antwoorden 8 en 9.

Vraag 25

Heeft de KvK van dit lek melding gemaakt bij de Autoriteit Persoonsgegevens?

Antwoord 25

Ja.


X Noot
1

bijlage onderhands meegezonden

Naar boven