Antwoord op vragen van het lid Kuiken over een explosieve toename hacks en datadiefstal

Vragen van het lid Kuiken (PvdA) aan de Minister voor Rechtsbescherming over een explosieve toename hacks en datadiefstal (ingezonden 1 maart 2021).

Antwoord van Minister Dekker (Rechtsbescherming) (ontvangen 1 april 2021). Zie ook Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 2074.

Vraag 1

Kent u het bericht «AP luidt noodklok: explosieve toename hacks en datadiefstal»?1

Antwoord 1

Ja.

Vraag 2

Deelt u de mening dat het verontrustend is dat voor het tweede jaar op rij het aantal incidenten van hacking, phishing of malware om persoonsgegevens buit te maken sterk gestegen is? Zo nee, waarom niet?

Antwoord 2

Zoals onder meer gemeld in de Kamerbrief van 9 oktober jl. (Kamerstukken 2019–2020, 26 643, nr. 715) zijn geregistreerde cybercrime (waaronder hacken) en gedigitaliseerde criminaliteit (waaronder online fraude en babbeltrucs) de afgelopen jaren beide gestegen. Sinds het begin van de coronacrisis zijn deze vormen van criminaliteit verder toegenomen. Dat is zorgelijk. Het is niet bekend in hoeveel gevallen er persoonsgegevens zijn overgenomen.

Vraag 3

Heeft u een indicatie in hoeveel gevallen genoemde incidenten leiden tot misdrijven waaronder oplichting en identiteitsfraude?

Antwoord 3

Uit de cijfers van de politie, het OM, de Fraudehelpdesk en het Centraal Meldpunt Identiteitsfraude is niet te herleiden welke specifieke hack of datadiefstal ook heeft geleid tot fraude. Ook de AP beschikt niet over informatie over misdrijven die het gevolg zijn van datalekken. Er zijn namelijk verscheidene manieren om aan informatie en persoonsgegevens te komen, denk hierbij aan phishing, het onderscheppen van de post en online gedrag op social media. Bij het plegen van fraude wordt ook vaak gebruik gemaakt van combinaties van meerdere datasets. Bijvoorbeeld wordt een dataset die is gestolen via phishing gecombineerd met de dataset die is gestolen door middel van hacken. Ook kan er veel tijd zitten tussen het moment dat de gegevens worden gestolen en de mogelijke gevolgen, waardoor een direct verband moeilijk aan te tonen is. Daarnaast hebben slachtoffers vaak zelf geen zicht op hoe de fraudeur aan de gegevens is gekomen, waardoor het niet herleidbaar is.

Vraag 4

Deelt u de mening van de voorzitter van de Autoriteit Persoonsgegevens dat organisaties waar mensen hun persoonsgegevens aan toevertrouwen daar niet altijd zorgvuldig mee omgaan? Zo ja, hoe komt dat en hoe gaat u er aan bijdragen dat dat verbeterd gaat worden? Zo nee, waarom niet?

Antwoord 4

De AP rapporteert in haar datalekkenrapportage dat 2020 een toename met 30% kende van het aantal hacks dat gericht is op het buitmaken van persoonsgegevens. Die toename kan verschillende oorzaken hebben, waaronder onzorgvuldigheid. De AVG verplicht tot het nemen van technische en organisatorische maatregelen om persoonsgegevens te beveiligen en het verlies van persoonsgegevens te voorkomen. De verbetering hiervan is in belangrijke mate een kwestie van bewustwording. De voorlichtende rol met betrekking tot de AVG ligt primair bij de AP. Daarnaast is vergroting van het privacybewustzijn een van de voornemens uit de Agenda horizontale privacy, waarover ik uw Kamer bij brief van 5 februari jl. (Kamerstukken 2020–21, 34 926, nr. 11) informeerde.

Vraag 5

Bij hoeveel datalekken is de Autoriteit Persoonsgegevens bij gebrek aan capaciteit niet in de staat om daar actie tegen te ondernemen?

Antwoord 5

In 2020 ontving de AP 23.976 meldingen van datalekken. Uit de rapportage Datalekken 2020 van de AP blijkt dat de AP in 1.736 gevallen actie heeft ondernomen. Dit kan naar aanleiding van datalekmeldingen zijn, maar ook als de AP een datalek vermoedt door klachten, tips of andere datalekmeldingen.

Het is niet mogelijk om aan te geven of het niet oppakken van gemelde datalekken te wijten is aan capaciteitsgebrek. Het is immers niet zo dat elke melding automatisch om ingrijpen van de AP vraagt. De AP beoordeelt na binnenkomst van een melding of actie nodig is, waarbij de ernst van het datalek het zwaarstwegende criterium is.

Vraag 6

Deelt u de mening, zoals die mede verwoord is door de Kamer in het debat over het datalek bij de GGD, dat de Autoriteit Persoonsgegevens als de toezichthouder moet meegroeien met de toename van het aantal risico’s waardoor de bescherming van persoonsgegevens steeds meer onder druk komt te staan? Zo ja, hoe gaat u hier en op welke termijn concreet gevolg aan geven? Zo nee, waarom niet?

Antwoord 6

In de rapportage Datalekken 2020 van de AP wordt een toename van het aantal meldingen van hacking en malware gemeld van 271 meldingen. Het totaal aantal datalekmeldingen neemt echter af met 2.980 meldingen. Dit impliceert dat niet meer capaciteit nodig is, maar een herprioritering van de bestaande capaciteit. Het is aan de AP om haar capaciteit risico-gestuurd in te zetten.

Het vergroten van de opdracht aan de AP door toekenning van meer middelen op bijvoorbeeld dit specifieke punt of in totaliteit, zoals is verzocht in de motie van het lid Hijink c.s., vraagt om investeringen en fundamentele beleidskeuzes die aan een volgend kabinet zijn. Zoals ik per brief van 1 maart aan uw Kamer heb laten weten, is het gelet op de demissionaire status van dit kabinet thans niet mogelijk om toezeggingen te doen over de verhoging van het budget van de AP.


X Noot
1

Autoriteit Persoonsgegevens, 1 maart 2021, «AP luidt noodklok: explosieve toename hacks en datadiefstal», https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-luidt-noodklok-explosieve-toename-hacks-en-datadiefstal

Indiener(s)