Het Kadaster heeft in totaal 39 schadeclaims ontvangen naar aanleiding van een datalek dat afgelopen jaar plaatsvond. Er zijn twee claims ingediend waarbij het Kadaster aansprakelijk wordt gesteld voor de gevolgen van het lekken van persoonlijke informatie. Het Kadaster zegt alle klachten serieus te nemen en per geval de situatie in kaart te brengen.
Dat schrijft minister voor Volkshuisvesting en Ruimtelijke Ordening Hugo de Jonge in een brief (1) aan de Tweede Kamer.
Voor het begin van deze zaak moeten we terug naar oktober 2022. Toen ontdekte het Kadaster dat afgeschermde adressen in de Basisregistratie Personen (BRP) korte tijd -van 18 september tot en met 11 oktober- inzichtelijk waren voor onbevoegden (2).
De oorzaak bleek een update van het systeem te zijn. Daardoor werd er bijna een maand lang een onjuiste koppeling gelegd met de BRP. Geheime woonadressen, die normaliter alleen via Kadaster Online (KOL) of Ketenintegratie Inschrijving Kadaster (KIK) toegankelijk zijn, waren zodoende tijdelijk inzichtelijk voor anderen. Personen met een afgeschermd adres die onder het Stelsel Bewaken en Beveiligen vallen waren onvindbaar.
Door het voorval waren er 3.700 personen waarvan het geheime woonadres tijdelijk zichtbaar was. De betrokkenen zijn door het Kadaster op de hoogte gebracht van het incident. Voor vragen konden ze telefonisch contact opnemen met Kadaster, of een webpagina bezoeken met vragen en antwoorden over de kwestie. 800 gedupeerden belden met het Kadaster, 175 bezochten de website, zo schrijft minister De Jonge.
Professionele gebruikers die onbedoeld persoonsgegevens hebben verkregen via KOL of KIK, hebben op 25 oktober een brief van het Kadaster ontvangen. Daarin verzocht de instantie hen om deze data te verwijderen. Op 10 november verstuurde het Kadaster een herinneringsbericht. De ontvangers werd gevraagd om een online formulier in te vullen om te bevestigen dat ze de informatie hadden verwijderd. De respons hierop was 81,6 procent.
Aanvankelijk had het Kadaster een voorlopige melding gedaan bij de Autoriteit Persoonsgegevens over de kwestie. Deze is omgezet in een definitieve melding. Het is nu aan de toezichthouder om te bepalen hoe ernstig de overtreding is, en of daar een geldboete of andere sanctie tegenover moet staan.
Betrokkenen en gebruikers hadden de mogelijkheid om een klacht in te dienen over het incident. Enkele tientallen gedupeerden hebben daar gebruik van gemaakt. In totaal dienden 34 betrokkenen en 5 KOL-gebruikers een klacht in bij het Kadaster over de gang van zaken.
Het Kadaster ontving 2 claims waarin de instantie aansprakelijk wordt gesteld voor de veronderstelde gevolgen van het datalek. Minister De Jonge stelt dat er geen bedragen of omschrijvingen van de geleden schade zijn genoemd. Om maatwerk te kunnen bieden worden alle klachten individueel beoordeeld en afgehandeld.
De minister schrijft dat het Kadaster informatiebeveiliging uiterst serieus neemt. Zo laat de instantie zich jaarlijks auditen en certificeren door een extern bureau. Door de systemen blijvend te laten controleren, tracht het Kadaster de privacy van burgers te waarborgen.
“Desondanks kan er altijd iets misgaan waar technologische ontwikkelingen niet stil staan”, schrijft minister De Jonge. Om die reden heeft het Kadaster zichzelf kritisch onder de loep genomen. Alle informatiesystemen die BRP-gegevens verwerken worden aan een Privacy Impact Assessment (PIA) onderworpen. Verder gaat het Kadaster kijken of het mogelijk is om een geautomatiseerde test te ontwikkelen die geheime adressen filtert.
https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2023Z04290&did=2023D10051
https://www.vpngids.nl/nieuws/geheime-adressen-bij-kadaster-zichtbaar-door-datalek/
https://www.vpngids.nl/privacy/
