Handeling
| Datum publicatie | Organisatie | Vergaderjaar | Vergadernummer | Datum vergadering |
|---|---|---|---|---|
| Tweede Kamer der Staten-Generaal | 2019-2020 | nr. 91, item 65 |
Authentieke versie (PDF)
Informatie
Gerelateerd
Printen
Delen
65 Datalek Donorregister
Aan de orde is het VSO Datalek Donorregister (32761, nr. 162).
De voorzitter:
De eerste spreker is mevrouw Van den Berg.
Mevrouw Van den Berg (CDA):
Dank u wel, voorzitter. Twee harde schijven zijn verdwenen uit een kluis, met de gegevens van 6 miljoen Nederlanders. Wij vinden dat schokkend. We hebben er natuurlijk een schriftelijk overleg over gevoerd, maar we willen dit toch ook wat indringender neerleggen bij de minister.
We hebben onder andere een verzoek aan de minister. Op dit moment is het nog niet helder of er onbevoegden kennisname hebben gekregen van deze data. De data zijn in ieder geval nog niet gevonden. Mocht dat zo zijn, dan willen wij als Kamer daarover worden geïnformeerd. Ten tweede ben ik benieuwd of en in hoeverre deze 6 miljoen betrokkenen zijn geïnformeerd en hoe dat is gebeurd.
Tot slot, een motie van onze kant.
Motie
De Kamer,
gehoord de beraadslaging,
constaterende dat de Algemene Rekenkamer constateert dat ongeveer de helft van de rijksbrede organisaties de informatiebeveiliging (op het gebied van governance, de inrichting van de organisatie, het incidentmanagement en het risicomanagement) niet op orde heeft;
overwegende dat bij VWS de Algemene Rekenkamer een onvolkomenheid met ICT heeft geconstateerd in het verantwoordingsonderzoek 2019;
verzoekt de regering de Inspectie Overheidsinformatie en Erfgoed, welke onder andere verantwoordelijk is voor archivering, een onderzoek te laten doen naar de wijze waarop de harde schijven waren gearchiveerd, alsmede naar de wijze waarop de huidige donorregistratie is georganiseerd, en de Kamer voor het eind van het jaar hierover te informeren,
en gaat over tot de orde van de dag.
Dank u wel. Dan geef ik nu het woord aan mevrouw Tellegen namens de VVD.
Mevrouw Tellegen (VVD):
Voorzitter. Gisteren is de nieuwe Donorwet in werking getreden. Van ruim 14 miljoen Nederlanders vraagt de overheid of zij hun keuze in het nieuwe Donorregister willen vastleggen over wat er na hun dood met hun organen moet gebeuren. Tot nu toe hebben 7 miljoen mensen dat gedaan. Er is dus nog veel werk aan de winkel om mensen ertoe te bewegen om zelf een bewuste, eigen keuze te laten maken. De VVD vindt het dan ook meer dan verstandig dat er, mede door het hele coronagebeuren, meer tijd is ingeruimd om de campagnes door te laten lopen.
De overheid vraagt 14 miljoen Nederlanders om een gunst. Dan helpt het niet als diezelfde overheid zo slordig en nalatig met eerder geregistreerde donorgegevens omgaat. Het CIBG raakte twee harde schijven kwijt, met daarop de persoonlijke donorgegevens van ruim 6,9 miljoen mensen. Het gaat hier om privégegevens: naam, adres, handtekening, burgerservicenummer en donorkeuze. Alles stond erop. En dit aan de vooravond van de inwerkingtreding van het nieuwe Donorregister. De timing kon niet slechter. Daarom heb ik de minister gevraagd om de mensen wier gegevens zijn gelekt, hierover actief te informeren. In zijn brief zegt hij dat dit heel erg lastig is. Er zijn allerlei praktische problemen. Wil de minister hiermee zeggen dat het berichtje op de website van het CIBG alles is wat de overheid doet om haar fout te herstellen? Ik wil de minister dan ook vragen deze zomer alsnog te bekijken of er andere mogelijkheden zijn om deze 6,9 miljoen mensen alsnog te bereiken en hen persoonlijk op de hoogte te stellen.
Dank u wel.
De voorzitter:
Dank u wel. Dan geef ik nu het woord aan mevrouw Dijkstra namens D66.
Mevrouw Pia Dijkstra (D66):
Dank u wel, voorzitter. Kortheidshalve zal ik alle inleidende woorden achterwege laten. U zult begrijpen dat ik verheugd ben over de inwerkingtreding van de wetswijziging van de Donorwet gisteren, maar dat ik mij natuurlijk ook zorgen maak over het vertrouwen in het Donorregister als er allerlei gegevens weg raken. Vandaar de volgende motie.
Motie
De Kamer,
gehoord de beraadslaging,
constaterende dat het onderzoek van de Auditdienst Rijk (ADR) aangaande het datalek zich in beginsel beperkt tot externe gegevensdragers omwille van snelheid maar dat de expertise van de ADR aangaande informatiebeveiliging breder is;
van mening dat voor het vertrouwen in het Donorregister van belang is dat de gehele informatiebeveiliging bij het CIBG op orde is;
verzoekt de regering om de ADR te verzoeken de gehele informatiebeveiliging van het Donorregister bij het CIBG te onderzoeken en de uitkomsten van dit onderzoek alsmede de concrete wijze waarop uitvoering gegeven wordt aan de aanbevelingen voor het einde van 2020 aan de Kamer te sturen,
en gaat over tot de orde van de dag.
Dank u wel. Dan schors ik voor enkele momenten, zodat de minister zich kan voorbereiden op de appreciatie van de moties en de beantwoording van de vragen.
De vergadering wordt enkele ogenblikken geschorst.
De voorzitter:
Wij vervolgen het VSO Datalek Donorregister. De minister gaat de in eerste termijn gestelde vragen beantwoorden en een appreciatie van de moties geven.
Minister De Jonge:
Dank u wel, voorzitter. Allereerst de motie van mevrouw Van den Berg, de motie op stuk nr. 166, waarin de regering wordt verzocht om de Inspectie Overheidsinformatie en Erfgoed, welke onder andere verantwoordelijk is voor archivering, een onderzoek te laten doen. Dat zou echt een dubbeling zijn van het ADR-onderzoek dat op dit moment plaatsvindt. Hoe zit het dan nu met het huidige register? En hoe is het ooit mogelijk geweest dat die schijven zoek zijn geraakt? Dat is nu juist waar het onderzoek van ADR over gaat. Ik had graag gehad dat dit onderzoek al gereed was, maar het is natuurlijk iets de vertraging ingegaan. Maar laten wij nu eerst even dat ADR-onderzoek afwachten om te bekijken of er verder überhaupt nog iets te onderzoeken valt. Ik ontraad derhalve de motie op stuk nr. 166.
De voorzitter:
De motie op stuk nr. 166 wordt ontraden.
Minister De Jonge:
Dan de motie op stuk nr. 167, waarin de regering wordt verzocht de ADR te verzoeken de gehele informatiebeveiliging van het Donorregister bij het CIBG te onderzoeken. Daar kan ik mij wel iets bij voorstellen. Dat gaat dan wel ietsje langer duren, maar ik kan mij voorstellen dat wij deze vraag toevoegen aan de onderzoeksvraag die ADR al heeft gekregen. Ik laat het oordeel over deze motie aan de Kamer.
De voorzitter:
De motie op stuk nr. 167 krijgt het oordeel Kamer. Ik zie dat mevrouw Van den Berg een interruptie wil plegen, waarschijnlijk over de eerste motie.
Mevrouw Van den Berg (CDA):
Het is prima dat wij eerst het onderzoek van ADR even afwachten. Maar het kan goed zijn dat u misschien toch — want deze instantie is met name gericht op de archivering — naar aanleiding van dat rapport een eigen reflectie kan geven.
Minister De Jonge:
Dat zou kunnen, maar laten we eerst even het onderzoeksrapport afwachten. Misschien valt er dan niets meer te reflecteren en is alles dan bekend. Laten wij dat gewoon even in de goede volgorde doen. Eerst het onderzoek. Dat loopt nu. Dat hadden wij eigenlijk al willen hebben, maar dat is iets de vertraging in gegaan. Eerst het onderzoek en daarna bekijken wat er nog te onderzoeken valt. Ik zou het echt in die volgorde willen doen.
De voorzitter:
De motie op stuk nr. 166 blijft daarmee ontraden, begrijp ik.
Mevrouw Van den Berg (CDA):
In dat geval wil ik de motie graag aanhouden.
De voorzitter:
Dat is ook een optie.
Op verzoek van mevrouw Van den Berg stel ik voor haar motie (32761, nr. 166) aan te houden.
Daartoe wordt besloten.
De voorzitter:
De motie op stuk nr. 167 was oordeel Kamer.
Dan geef ik nu weer het woord aan de minister voor de beantwoording van de overige vragen.
Minister De Jonge:
Dan is er nog een aantal vragen. Mevrouw Van den Berg vraagt of wij die zoektocht niet nog verder kunnen voortzetten. Wij zouden eerlijk gezegd niet meer weten hoe dan en waar dan. Die zoektocht is echt heel erg uitbundig en uitgebreid gedaan en die heeft niets opgeleverd.
Mevrouw Van den Berg (CDA):
Ik vroeg niet of de zoektocht verder kan worden voortgezet. Daar is inderdaad al het nodige aan gedaan. Ik vroeg alleen of wij, op het moment dat er toch nog iets zou oppoppen, over drie maanden of over een jaar, dan als Kamer onmiddellijk geïnformeerd worden.
Minister De Jonge:
Ja, uiteraard. Ik dacht dat dat uw aanvullende vraag, uw tweede vraag was. Maar zeker. Op dit moment is eigenlijk de aanname dat het niet in verkeerde handen is gevallen. Wij hebben nergens een signaal van identiteitsfraude kunnen ontdekken. Mocht dat anders zijn en mochten er wel ergens gegevens opduiken waarvan wij het vermoeden hebben dat die van de oude schijven komen, dan moeten wij de Kamer natuurlijk onmiddellijk informeren en kijken wat ons dan te doen staat. Maar op dit moment is echt de aanname dat daar geen oneigenlijk gebruik van zou zijn gemaakt.
Mevrouw Van den Berg (CDA):
Mijn tweede vraag betrof iets wat mevrouw Tellegen ook heeft gevraagd. Op welke wijze gaan de iets meer dan 6 miljoen burgers geïnformeerd worden?
Minister De Jonge:
Ja, daar kwam ik op. Op 29 juni heb ik u daar een brief over gestuurd. Ik heb u in die brief toegelicht waarom ik denk dat mensen inmiddels echt goed geïnformeerd zijn. Sowieso is het een publiek bericht geweest, dat werkelijk in alle kranten heeft gestaan. Dat is een. Ten tweede staat er op de website nu een goed bericht om de mensen te informeren. Daarnaast is er een speciaal telefoonnummer geopend en is er een speciaal e-mailadres geopend. Dat is de manier waarop mensen informatie kunnen krijgen. Zou je 6 miljoen mensen proactief willen informeren, dan kan dat niet per e-mail, want wij hebben van al deze mensen geen e-mailadres. Het zijn bestanden van dik tien jaar geleden, tot het jaar 2010. Het is dus eigenlijk technisch niet mogelijk om de mensen nog te informeren. Je zou dan een enorme uitvoeringsorganisatie moeten inrichten om die 6 miljoen mensen te informeren, met enorme risico's op datalekken. Want je gaat van een heleboel mensen adressen gebruiken die waarschijnlijk niet meer accuraat zijn. Vervolgens staat er in de brief dat iemands persoonsgegevens mogelijkerwijs openbaar zijn geworden, maar die brief kan ook worden geopend door de nieuwe bewoner van dat adres. Dat zou gelijk weer allerlei nieuwe datalekken tot gevolg kunnen hebben. Het is dus eigenlijk niet goed mogelijk om dat uit te voeren. Nogmaals, op de website staat informatie. Er is een speciaal telefoonnummer en er is een speciaal e-mailadres. Ik denk dat de mensen hiermee echt afdoende zijn geïnformeerd.
Mevrouw Tellegen (VVD):
Ik zou het bijna een beetje laconiek willen noemen. Het is geen kwestie van "foutje bedankt". Nee, de gegevens van 6,9 miljoen mensen zijn gelekt. Het is mooi dat die niet in verkeerde handen zijn gevallen, maar daarmee heb je als overheid toch iets meer te doen en de burger te informeren. Ik begrijp de praktische problematiek en ik begrijp ook dat het enorm veel gevraagd is om al die individuen actief te benaderen. Maar ik ben een beetje op zoek naar een andere houding van de minister: een houding waarmee hij heel duidelijk uitstraalt dat wat er is gebeurd, heel gênant is. Het is slecht voor de Donorwet die we op dit moment met kracht proberen uit te dragen en het feit dat we mensen daartoe willen oproepen. Maar dat gebeurt niet meer. Daar zit iets tussen en dat mis ik.
Minister De Jonge:
Houd me ten goede. Ik meen dat we in alle bewoordingen die daarbij passend zijn, hebben gezegd dat dit natuurlijk nooit had mogen gebeuren. Daarom laten we de ADR onderzoek doen en daarom juichen we wat mevrouw Dijkstra zegt ook toe. De overheid en de digitale gegevensverstrekking moeten volstrekt betrouwbaar zijn. We hebben dus heel goed nagegaan of het nieuwe donorregister op geen enkele manier op dezelfde wijze als het oude donorregister tot een beveiligingslek zou kunnen leiden. Het antwoord is "ja". Voor zover wij kunnen overzien, kan dat op geen enkele manier. Niet alleen omdat het over en over getest is, maar ook omdat het design helemaal vanaf het begin privacy by design is geweest. Excuus voor het Engels, voorzitter, maar zo heet het nu eenmaal in die wereld.
Natuurlijk is dit fout en mag het niet meer gebeuren. Dat is ook de reden voor het onderzoek. We hebben mensen goed te informeren. Ik meen dat we dat hebben gedaan met de mogelijkheden die we hebben. Als het anders was geweest en als we wel e-mailadressen hadden gehad of een directe vorm van toegang tot de gegevens van de mensen om ze direct te informeren, dan hadden we dat natuurlijk gedaan. We hebben dat afgewogen, maar dat vraagt zo'n onevenredige hoeveelheid werk, met zo'n ongelofelijke hoeveelheid risico's op nieuwe datalekken, dat het onverstandig is om dat te doen. Dat is de afweging geweest om niet directer dan nu mogelijk, mensen te informeren.
Maar ik deel volstrekt dat je, als je zo'n bericht krijgt — dat gold voor mij ook toen ik hierover door onze psg werd geïnformeerd — denkt: jemig, hoe krijg je het voor elkaar? Hoe kan dat nou? Dit is zo slecht voor het vertrouwen in de manier waarop de overheid met gegevens omgaat. Dat is het eerste wat je denkt. Ik denk dat de stappen die we vervolgens hebben gezet, passend zijn bij die observatie, die we volgens mij allemaal delen. Bij het ontwerp van nieuwe systemen, waarbij we gebruikmaken van informatie van burgers, moet het ontwerp het volstrekt onmogelijk maken dat dit soort dingen kan gebeuren.
Gelukkig is er geen enkele reden om aan te nemen dat deze gegevens in verkeerde handen zijn gevallen. Misschien zijn ze gewoon vernietigd door de papiervernietiger die de spullen heeft meegenomen van het CIBG. Dat zou een heel waarschijnlijke verklaring kunnen zijn, maar we weten het niet zeker. Het is heel goed mogelijk dat we dat ding nooit meer terugvinden en dat we nooit meer iets horen van oneigenlijk gebruik van deze schijf. Ik hoop dat het zo is. Maar als het wel zo is en we die schuif ergens zien opduiken, dan zal ik u uiteraard onverwijld informeren.
De voorzitter:
Dank u wel. Er stonden nog vragen open? Of waren we er helemaal doorheen?
Minister De Jonge:
Nee, dit waren de vragen.
De voorzitter:
Uitstekend. Dan zijn we aan het einde gekomen van dit VSO.
De beraadslaging wordt gesloten.
De voorzitter:
Ik schors even voor enkele ogenblikken, want volgens mij wordt mijn voorzitterschap overgenomen door mevrouw Tellegen.
De vergadering wordt enkele ogenblikken geschorst.
Voorzitter: Tellegen
Directe link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/h-tk-20192020-91-65.html