De Tweede Kamer wil dat het kabinet tekst en uitleg geeft over het datalek dat eerder deze week plaatsvond bij een softwareleverancier. Kamerleden vragen zich af hoe persoonsgegevens van treinreizigers op straat zijn beland. Verder willen ze van het kabinet weten wat ze gaat doen om te voorkomen dat persoonsgegevens van gedupeerden in de toekomst gebruikt worden door externe partijen.
Dat blijkt uit schriftelijke vragen van Fahid Minhas en Queeny Rajkowski (beiden VVD) aan staatssecretaris van Digitalisering Alexandra van Huffelen en staatssecretaris van Infrastructuur en Waterstaat Vivianne Heijnen.
Privégegevens honderdduizenden treinreizigers ingezien of gestolen
Dinsdag maakte de Nederlandse Spoorwegen (NS) bekend dat er mogelijk persoonsgegevens van 780.000 treinreizigers zijn ingezien of ontvreemd door onbevoegden. De oorzaak van het lek zit hem niet bij het spoorwegbedrijf, maar bij een softwareleverancier waar marktonderzoeker Blauw zaken mee doet. De NS is een klant van Blauw, dat in opdracht van het spoorwegbedrijf regelmatig klanttevredenheidsonderzoeken laat uitvoeren onder treinreizigers.
Bij het datalek zijn privacygevoelige gegevens als namen, e-mailadressen en telefoonnummers wellicht in verkeerde handen beland. Financiële gegevens en wachtwoorden zijn niet gelekt. Marktonderzoeksbureau Blauw zegt dat het lek inmiddels is gedicht en momenteel wordt onderzocht hoe dit heeft kunnen gebeuren. Het incident is gemeld bij de Autoriteit Persoonsgegevens.
Vandaag maakte VodafoneZiggo bekend dat er ook bij haar mogelijk privégegevens van 700.000 klanten zijn buitgemaakt. Net als bij de NS gaat het om onder meer namen, e-mailadressen en telefoonnummers.
Beveiliging klantgegevens maximeren
Voor Fahid Minhas en Queeny Rajkowski was het lekken van klantgegevens van honderdduizenden treinreizigers aanleiding om een reeks schriftelijke vragen te stellen. Ze willen van staatssecretaris Van Huffelen en Heijnen weten wat zij van de gang van zaken vinden. De VVD’ers vragen zich af of de persoonsgegevens op straat zijn beland doordat er een hack heeft plaatsgevonden bij de softwareleverancier, of dat de data onzorgvuldig waren beveiligd.
Daarnaast vragen de Kamerleden zich af wat de wettelijke grondslag is op basis waarvan persoonsgegevens zijn verwerkt door de NS, het marktonderzoeksbureau en de softwareleverancier. “Kunt u aangeven welke afspraken NS maakt met externe partijen, teneinde de veiligheid van klantdata te maximeren?”, informeren Minhas en Rajkowski bij de bewindslieden.
De VVD is benieuwd of er op enig moment een Data Protection Impact Assessment (DPIA) is uitgevoerd voordat de gegevensverwerking tot stand werd gebracht. Een DPIA is een onderzoek waarbij een onafhankelijke partij in kaart brengt hoe een bedrijf of organisatie omgaat met het verwerken van persoonsgegevens. Deze kijkt onder meer welke privacygevoelige data een instantie verzamelt, voor welke doeleinden ze deze gegevens nodig heeft, hoe ze deze informatie verwerkt en of het verwerken van deze gegevens opweegt tegen de inbreuk op privacy.
VVD pleit voor strenge regels voor gebruik klantgegevens door derden
Verder willen de Tweede Kamerleden van de staatssecretarissen horen of de NS op enig moment wist welke medewerkers van de softwareleverancier inzage hadden in de persoonsgegevens die het bedrijf verwerkte. Ze vragen zich af of er voldoende regels zijn die de veiligheid van klantgegevens bij publieke instellingen en externe partijen regelen.
Tot slot vragen Minhas en Rajkowski aan staatssecretaris Van Huffelen en Heijnen wat ze doen om te voorkomen dat privacygevoelige of vertrouwelijke gegevens van klanten in de toekomst door externe partijen worden gebruikt. De liberalen willen dat hiervoor “strenge regels” komen.
