Handeling

Datum publicatieOrganisatieVergaderjaarVergadernummerDatum vergadering
Tweede Kamer der Staten-Generaal2011-2012nr. 14, item 6

6 Vragenuur

Vragen van het lid El Fassed aan de staatssecretaris van Veiligheid en Justitie over een geconstateerd ICT-lek bij cheaptickets.nl.

De heer El Fassed (GroenLinks):

Voorzitter. Het is "lektober". Alweer blijken er allerlei persoonsgegevens op straat te liggen. Dit keer is het cheaptickets.nl dat kwetsbaar blijkt voor inbreuken op zijn database. NAW-gegevens, tickets, paspoortnummers, zelfs maaltijdvoorkeuren liggen kinderlijk eenvoudig op straat, terwijl het keurmerk van thuiswinkel.org de schijn wekt dat je gegevens in goede handen zijn. Hoe veilig zijn de gegevens van consumenten? Zij hebben in 2008 en 2009 hun gegevens ingevuld, alleen om een ticket te kopen. Nu blijkt dat die persoonsgegevens zijn gebruikt voor het testen van systemen. Hoe veilig is webwinkelen eigenlijk? Het door consumenten gestelde vertrouwen wordt zwaar op de proef gesteld, want de risico's zijn groot. Wie beschikt over andermans persoonlijke gegevens, het paspoortnummer, kan naar hartenlust andermans identiteit misbruiken. Identiteitsfraude is het delict van de toekomst, maar tot nu toe zijn wij daar blijkbaar nog steeds niet op ingesteld. En de overheid staat erbij en kijkt ernaar, zo lijkt het wel. Lek na lek laat zien dat gegevens lukraak worden opgeslagen en problemen onder de mat worden geveegd. Ik heb daarom de volgende vragen.

Wat dacht de staatssecretaris toen hij dit bericht hoorde?

Wij kunnen niet langer wachten op een meldplicht van ICT-incidenten voor zowel het bedrijfsleven als overheidsinstellingen. Gaat de staatssecretaris nu eindelijk haast maken met zo'n meldplicht?

Is de staatssecretaris het met mij eens dat het vertrouwen van consumenten hersteld moet worden en dat openheid daarbij essentieel is?

Deelt de staatssecretaris de mening dat dit keurmerk weinig zegt over garanties voor veiligheid en privacy? In hoeverre staat de overheid garant voor dit soort keurmerken? Is het niet hoog tijd voor een verplichte APK-keuring voor dit soort websites?

Wat wil de staatssecretaris in de tussentijd: pappen en nathouden of doortastende stappen waardoor consumenten erop kunnen vertrouwen dat hun persoonsgegevens in goede handen vallen?

Staatssecretaris Teeven:

Voorzitter. Ik dank de heer El Fassed voor zijn vragen. De minister van Buitenlandse Zaken en ik constateerden dat wij beiden in 2008 een reis hadden geboekt via cheaptickets.nl, dus vermoedelijk liggen ook de persoonsgegevens van ons beiden op straat. Dat is vervelend; wij zijn er zelf ook mee geconfronteerd.

De staatssecretaris dacht: het is goed als de wet die in het regeerakkoord is aangekondigd en waarover met de vaste commissie van Justitie is gesproken – in september hebben wij over dit onderwerp van gedachten gewisseld – zo snel mogelijk in consultatie gaat. De wet meldplicht datalekken zal eind november in consultatie gaan, waarna wij die zo snel mogelijk in de Kamer zullen behandelen. Wij hebben voor de zomer eerst met de Eerste Kamer overlegd, onder meer over deze meldplicht datalekken, en daarna in september met uw Kamer overlegd. Toen wisten wij hoe de steun was en wat de wensen waren van het parlement. Die hebben wij verwerkt in het wetsvoorstel, dat eind volgende maand ter beschikking ligt.

Het is aan het College Bescherming Persoonsgegevens om als onafhankelijke toezichthouder hier iets concreet aan te doen. In de tussentijd, de komende 35 dagen tot het moment waarop die wet in consultatie gaat – de regering zal er echt haast achter zetten – is het eventjes de vraag wat het CBP gaat doen. Het is een onafhankelijke organisatie die zelf kan handhaven. Maar wij gaan ook iets doen aan de boetebevoegdheden achteraf van het CBP, ook wat dit onderwerp betreft. Het komt er dus aan.

Het keurmerk zegt inderdaad weinig. Ik ben ook teleurgesteld in de waarde van het keurmerk. En laat ik het hier maar gewoon zeggen: ik ben ook teleurgesteld in de reactie van cheaptickets.nl en thuiswinkel.org. Ik vind dat er enige verantwoordelijkheid in de richting van consumenten kan worden genomen als je zo'n keurmerk afgeeft. Ik deel dan ook de verontrusting van de heer El Fassed. De regering is ermee bezig en over 35 dagen ligt er een voltooid wetsvoorstel. Dan kunnen wij ermee aan de slag.

De heer El Fassed (GroenLinks):

Wij spreken al een aantal jaren over zo'n meldplicht. Ik ben blij dat de staatssecretaris met mij constateert dat er haast bij is. Dat geldt niet alleen voor een meldplicht voor datalekken, maar ook voor een meldplicht voor ICT-incidenten. Nu gaat het alleen over datalekken, maar wij hebben onlangs nog bij het DigiNotardebacle gezegd dat er een meldplicht moet komen voor ICT-incidenten. Daar is ook haast bij geboden. Ik verzoek de minister om haast te maken. Het College bescherming persoonsgegevens zou de ideale waakhond zijn, maar helaas beschikt het college nog steeds niet over voldoende capaciteit en bevoegdheden. De Kamer wil unaniem een meldplicht voor datalekken. Dat is nog steeds niet geactiveerd. Ook daar is haast bij. Het college moet voldoende bevoegdheden en capaciteit krijgen. Wij praten over duizenden databanken waarin gegevens van de gemiddelde Nederlander zitten.

Staatssecretaris Teeven:

Voorzitter. De vaste Kamercommissie voor Justitie had pas in september de gelegenheid om met de regering over dit onderwerp te spreken. Ik had dat graag vóór de zomer gedaan, maar het kon niet eerder worden geagendeerd. Dat is geen verwijt, maar wel een constatering. Ik moet weten hoe de verhoudingen in de Kamer liggen en wat de wensen zijn. Het CBP heeft voldoende capaciteit. Het moet de goede prioriteiten stellen. In de zomer heb ik voorbeelden gezien waarbij ik mij afvroeg: zijn dit de prioriteiten die moeten worden gesteld? Dit is een onderwerp waar de regering van vindt dat er haast mee moet worden gemaakt. De boetebevoegdheden worden opgenomen in de wet. Het gaat niet alleen om een aanpassing van de Wet bescherming persoonsgegevens, maar ook om een aanpassing van de Telecommunicatiewet. Ik heb vandaag met minister Verhagen besproken dat ik dit voor mijn verantwoordelijkheid zal nemen. De vragen op het terrein van de ICT-wetgeving regarderen de minister van BZK, maar wij zullen dat zeker met voortvarendheid oppakken. Wij delen de verontrusting van de GroenLinks-fractie.

De heer El Fassed (GroenLinks):

Voorzitter. Ik dank de minister voor deze wachtwoorden, maar ze zijn eenvoudig te kraken. 130 km/u op de snelweg was in één dag geregeld, maar op de digitale snelweg rijdt dit kabinet met een driewieler op de rechterbaan. En daar komen ongelukken van. Met klem verzoek ik de regering om haast en zorgvuldigheid. Wij moeten dit allemaal goed regelen. Het is mooi dat er een meldplicht komt, maar wij hoeven niet te wachten met de invoering daarvan. Dit keer zijn het de maaltijdgegevens, de volgende keer zijn het de loonstrookjes.

Staatssecretaris Teeven:

Voorzitter. Het was ook de fractie van GroenLinks die het onderwerp niet wilde agenderen voor de zomer. Ik had er graag voor de zomer over gesproken. De Kamer kon het niet agenderen. Als ik met een wetsvoorstel aan de gang ga, moet ik dat op een goede manier inbrengen.

De heer Heijnen (PvdA):

Voorzitter. Ik had niet erg de neiging om te interrumperen, maar na al deze jij-bakken voel ik mij ertoe gedwongen. Wanneer gaat het kabinet de verantwoordelijkheid voor ICT en computerveiligheid beleggen bij één bewindspersoon, zodat er niet voortdurend kan worden verwezen van het ene hokje naar het andere, zoals thans te veel gebeurt?

Staatssecretaris Teeven:

Voorzitter. Daar neem ik afstand van. Wij verwijzen helemaal niets op dit punt. Als het gaat om de bescherming van persoonsgegevens, betreft het mijn verantwoordelijkheid. Wij gaan ermee aan het werk. Binnen 35 dagen ligt er een wet in consultatie. Dan kan het parlement erover spreken.