Politieke partijen verzamelen bijzondere persoonsgegevens van haar leden. Het is daarom van groot belang dat deze informatie goed wordt beveiligd. D66 wil daarom dat de overheid strenge eisen stelt aan politieke partijen, zoals de installatie van een secretaris die verantwoordelijk is voor de ledenadministratie.
Dat blijkt uit schriftelijke vragen die zijn ingediend door Hind Dekker-Abdulaziz (D66). Deze vragen zijn gericht aan de minister van Binnenlandse Zaken en Koninkrijksrelaties Hanke Bruins Slot.
Forum voor Democratie getroffen door datalek
Aanleiding voor de schriftelijke vragen is het datalek bij Forum voor Democratie begin december. Een onbekend iemand wist de volledige ledenadministratie van de partij te downloaden. Hierdoor beschikte hij over voor- en achternamen, woonadressen, geboortedata, contact- en locatiegegevens, en bankrekeningnummers van 92.901 Nederlanders. Door het datalek lagen niet alleen de persoonlijke gegevens van de huidige leden voor het oprapen: ook voormalige leden zoals Joost Eerdmans, Annabel Nanninga, Henk Otten, Wybren van Haga en Eva Vlaardingenbroek waren de dupe van het lek.
De oorzaak van het lek werd gevonden in de ForumApp, een applicatie die partijleider Thierry Baudet eind november op het partijcongres had gelanceerd. De applicatie was verbonden met de back-end van de website van Forum voor Democratie. Eenmaal ingelogd bleek het mogelijk om gegevens van andere leden op te vragen. De app controleerde niet of je daarvoor de juiste permissie had. Zodoende kon iedereen die was ingelogd geautomatiseerd de persoonlijke gegevens van anderen raadplegen en downloaden.
Na het voorval deed Baudet aangifte van hacking bij de politie. Tegelijkertijd benadrukte de partij in een persverklaring dat het incident enkel mogelijk was “door een bewuste aanval van een gespecialiseerde hacker die de communicatie tussen de ForumApp en de FvD-database heeft onderschept en gemanipuleerd om vervolgens wederrechtelijk data te kunnen ontvreemden”. Vlak na de aangifte meldde zich een 42-jarige man op het politiebureau voor zijn rol in de gebeurtenissen.
D66 wil ‘bijzondere eisen’ voor politieke partijen voor omgaan met bijzondere gegevens
Voor Hind Dekker-Abdulaziz van D66 was het voorval aanleiding om een aantal schriftelijke vragen te stellen aan minister Bruins Slot. Zij maakt zich namelijk zorgen over het lek, omdat er bijzondere persoonsgegevens bij betrokken zijn. Dat zijn gegevens die, als ze in de verkeerde handen terecht komen, je privacy in de meest verregaande zin van het woord aantasten. Ze kunnen namelijk gebruikt worden om jou en anderen te identificeren. Lidmaatschap van een politieke partij kan gevoelig liggen, zowel op de werkvloer als in je directe omgeving.
De D66’er stelt dat politieke partijen zorgvuldig met bijzondere persoonsgegevens moeten omgaan. Dekker-Abdulaziz vindt het dan ook vreemd dat de wet geen ‘bijzondere eisen’ worden gesteld als het gaat om de interne partijorganisatie. De politica noemt als voorbeeld dat het niet verplicht is om een secretaris aan te stellen die verantwoordelijk is voor de ledenadministratie.
‘Extra kwalijk’ dat politieke partijen gegevens oud-leden bewaren
Het Tweede Kamerlid vraagt aan de minister hoe het toezicht plaatsvindt op de ledenadministratie van politieke partijen en hoe zij met persoonsgegevens omgaan. Ze neemt geen blad voor de mond en vindt dat het “extra kwalijk” wanneer politieke partijen persoonsgegevens van oud-leden bewaren. Dekker-Abdulaziz vraagt zich af hoe dit zich verhoudt tot de Algemene Verordening Gegevensbescherming (AVG).
Tot slot is de D66’er kritisch over het opbouwen en beheren van een app, die naast een netwerkfunctie voor zakelijke contacten ook een datingfunctionaliteit bevat. Ze vraagt zich af of de Wet Financiering Politieke Partijen (WFPP) dit toestaat. Deze wet beschrijft aan welke voorwaarden een politieke partij moet voldoen om in aanmerking te komen voor subsidie van de Rijksoverheid.
Update (2 februari 2023): minister van Binnenlandse Zaken en Koninkrijksrelaties Hanke Bruins Slot heeft de vragen van Hind Dekker-Abdulaziz (D66) beantwoord. In haar antwoord schrijft de bewindsvrouw dat politieke partijen verplicht zijn om de ledenadministratie tien jaar te bewaren. Met de gegevens van leden en oud-leden kunnen partijen een betrouwbaar beeld schetsen van hun financiële positie. Naast lidmaatschap moeten politieke partijen ook ontvangsten uit giften en donaties bewaren, zowel van leden als van oud-leden.
“Deze gegevens mogen echter niet buiten de organisatie worden verstrekt en in alle situaties dienen verwerkingen te zijn voorzien van passende waarborgen”, aldus minister Bruins Slot. Dat betekent dat persoonsgegevens van (voormalige) leden niet langer mogen worden bewaard dan noodzakelijk. Verder zijn politieke partijen verplicht zijn om passende technische en organisatorische veiligheidsmaatregelen te treffen. Het is niet aan het kabinet, maar aan de Autoriteit Persoonsgegevens (AP) om te oordelen of een politieke partij handelt in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG).
