2017Z13602
Vragen van het lid Bruins Slot (CDA) aan de minister van Binnenlandse Zaken en
Koninkrijksrelaties over het bericht ‘Russische whizzkid wordt rijk door jouw
documentjes’(ingezonden 11 oktober 2017)
Vraag 1
Heeft u het item van RTL nieuws over docplayer.nl gezien? 1)
Antwoord 1
Ja.
Vraag 2
Hoe kan het dat op deze site verschillende belastingaangiftes met
burgerservicenummer staan? In hoeverre mag iemand andermans persoonlijke
informatie op zijn eigen site zetten?
Antwoord 2
Het programma voor online belastingaangifte biedt de mogelijkheid om een pdfversie
van de aangifte te maken voor de eigen administratie van degene die
aangifte doet. De pdf-versie bevat alle gegevens die in de aangifte zijn
opgenomen, dus ook de persoonlijke gegevens van de belastingplichtige. Als dit
document door de belastingplichtige wordt opgeslagen op een niet goed
beveiligde computer of in de cloud, zou het kunnen dat deze documenten met
bepaalde software te traceren zijn en dat zij vervolgens weergegeven kunnen
worden op een website. Dit is niet het gevolg van de wijze waarop het programma
voor het doen van belastingaangifte is ingericht of beveiligd.
Als het persoonsgegevens betreft, dat wil zeggen gegevens die informatie
verschaffen over een identificeerbare natuurlijke persoon, is het plaatsen van
dergelijke informatie op een eigen site, te kwalificeren als het verwerken van
persoonsgegevens. Het begrip ‘verwerken’ omvat ook het verzamelen, vastleggen
en samenbrengen van persoonsgegevens en daar is in dit geval sprake van.
In artikel 8 van de Wet bescherming persoonsgegevens is onder meer bepaald dat
persoonsgegevens alleen mogen worden verwerkt als de betrokkene daarvoor zijn
ondubbelzinnige toestemming heeft gegeven. Van een ondubbelzinnige
toestemming is in dit geval geen sprake en deze handelwijze is dus niet
toegestaan.
Daarnaast is het ook zo dat indien en voor zover op de site ook informatie wordt
geplaatst waarop auteursrechten, naburige rechten of sui generis
databankenrechten berusten, in beginsel ook voorafgaande toestemming van de
rechthebbende moet worden verkregen. Zonder die toestemming is er sprake van
een inbreuk op voornoemde rechten.
Vraag 3
Hoe komt Nederlandse content op een klaarblijkelijk door een Rus beheerde site
terecht?
Antwoord 3
Internet is een plaats waar content verzameld en vrij gedeeld kan worden. Bij het
overnemen van die content moet rekening worden gehouden met auteursrechten
en/of andere licentievoorwaarden. Vanzelfsprekend is het plaatsen van content die
wederrechtelijk is verkregen niet toegestaan.
De informatie die op docplayer terecht is gekomen, is volgens het betreffende
bericht verkregen door met een robot het internet te doorzoeken. Om te
voorkomen dat bepaalde content wordt verzameld is het Robots Exclusion Protocol
opgesteld, maar dit protocol is niet bindend, omdat het alleen ter advies dient en
uitgaat van medewerking van de bezoekende webrobot. Er zijn robots die het
protocol niet kennen of negeren en dat laatste is hier mogelijk ook aan de orde.
Vraag 4
Welk gevaar bestaat er dat de beschikbare documenten met
burgerservicenummer en namen tot identiteitsfraude leiden?
Antwoord 4
In het algemeen geldt dat hoe meer persoonsgegevens over iemand in verkeerde
handen terecht komen, hoe groter de kans is op identiteitsfraude. Met alleen het
BSN en de naam is niet zoveel mogelijk. Vaak is er meer nodig zoals een (kopie
van een) identiteitsdocument. Dit blijkt uit de meldingen over identiteitsfraude die
bij BZK binnenkomen. Risico’s voor identiteitsfraude liggen dus hoofdzakelijk in
het combineren van het BSN met andere persoonsgegevens uit andere bronnen.
Tot nu toe hebben mij nog geen signalen bereikt dat gegevens die op docplayer
zijn opgenomen, tot identiteitsfraude hebben geleid.
Vraag 5
Welke risico’s zijn er dat via deze site snel virussen kunnen worden verspreid? Hoe
wenselijk is het dat de overheid deze site ook gebruikt bij het maken van
verwijzingen in Kamerstukken (bijvoorbeeld Kamerstuk 34 595, nr. 33, p. 5)?
Antwoord 5
Het is niet onmogelijk dat dergelijke websites malware verspreiden. Echter er zijn
geen concrete aanwijzingen dat dit ook gebeurt. Dat neemt niet weg dat het bij
overheidsdocumenten de voorkeur geniet om naar de primaire en vertrouwde
bron te verwijzen. Kanalen van de Rijksoverheid (zoals bijvoorbeeld
www.rijksoverheid.nl en www.officielebekendmakingen.nl) genieten daarbij ten
principale de voorkeur in het licht van vertrouwde communicatie met burgers. Dit
onderwerp zal binnen de daarvoor passende gremia van de Rijksoverheid onder
de aandacht komen.
Vraag 6
Welke mogelijkheden zijn er vanuit de overheid om ongewenste content, zoals
ingevulde belastingaangiftes met burgerservicenummer of het personeelsblad van
de inlichtingentak van de Militaire Inlichtingen- en Veiligheidsdienst, van de site te
halen?
Antwoord 6
Het kabinet hecht aan een vrij en open internet. Daar waar sprake is van
schendingen van de Wet bescherming persoonsgegevens (Wbp) is de Autoriteit
Persoonsgegevens(Ap) de onafhankelijk toezichthouder die de bevoegdheid heeft
om op te treden in geval van schending van de Wbp. De Ap bepaalt dus zelf
wanneer zij dat doet. Daarbij geldt wel dat de bescherming die de Wbp biedt niet
kan gelden als de verwerkingen worden gedaan door een verantwoordelijke die
geen vestiging heeft in de EU en indien de verwerking wordt gedaan met
middelen die zich niet in Nederland bevinden. Voor wat betreft het deel van uw
vraag naar het personeelsblad van de MIVD, verwijs ik u naar de brief van de
minister van Defensie hierover van 1 april 2016 (Aanhangsel van Handelingen nr.
2208, Vergaderjaar 2015 – 2016).
Vraag 7
Welke mogelijkheden zijn er voor individuen, zo mogelijk gesteund door de
overheid, om ongewenste content, zoals ingevulde belastingaangiftes met
burgerservicenummer, van de site te halen?
Vraag 8
Welke verantwoordelijkheid kan hier van Google verwacht worden? Heeft de
Nederlandse overheid mogelijkheden om Google tot actie over te laten gaan? Zo
nee, waarom niet?
Antwoord 7 en 8
Het kabinet is voorstander van een vrij en open internet. Het via Google van
overheidswege onbereikbaar maken van zich op het internet bevindende
gegevens is volgens het kabinet niet de aangewezen weg.
Zoals eerder aangegeven heeft de Autoriteit Persoonsgegevens de bevoegdheid
om op te treden in geval van schending van de Wet bescherming
persoonsgegevens; deze wet geldt evenwel niet als het verwerkingen betreft door
een verantwoordelijke, die geen vestiging heeft in Nederland, met gebruikmaking
van middelen die zich niet in Nederland bevinden. Het verwijderen van gegevens
van de websites zelf zal in die gevallen moeilijk te realiseren te zijn. Wel kunnen
burgers bij de zoekmachines een individueel verwijderverzoek indienen, teneinde
zo de resultaten te verwijderen van een zoekopdracht op hun naam. Dit betekent
evenwel niet dat de informatie nooit meer gevonden kan worden, want de bron
blijft beschikbaar op internet.
1) https://www.rtlnieuws.nl/nederland/russische-whizzkid-wordt-rijk-door-jouwdocumentjes