Vragen van het lid Agnes Mulder (CDA) aan de Minister van Economische Zaken en Klimaat over het bericht «Groot datalek bij NAM, 19.000 gedupeerden aardbevingsschade getroffen» (ingezonden 15 maart 2021).
Antwoord van Minister Van ’t Wout (Economische Zaken en Klimaat) (ontvangen 13 april 2021).
Vraag 1
Bent u bekend met het bericht «Groot datalek bij de Nederlandse Aardolie Maatschappij (NAM), 19.000 gedupeerden aardbevingsschade getroffen»? Kunt u uitleggen hoe dit datalek mogelijk is geweest en welke gegevens er exact zijn gelekt bij deze 19.000 gedupeerden? Klopt het dat er van 120 mensen privacygevoelige gegevens, zoals e-mailadressen, telefoonnummers of bankgegevens, zijn gelekt?1
Antwoord 1
Ja, ik ben daarmee bekend. Zoals in de brief van 31 maart 2021 aan uw Kamer gemeld staat de NAM volledig op afstand (Kamerbrief Kamerstukken 33 529, nr. 851). De NAM handelt al geruime tijd geen schademeldingen meer af die een gevolg zijn van gaswinning uit het Groningenveld of de gasopslag bij Norg. Hiervoor is het Instituut Mijnbouwschade Groningen (IMG) opgericht. Omdat het IMG controleert of er sprake is van eerder uitgekeerde schadevergoedingen op een adres, hebben zij gegevens van NAM nodig. NAM gebruikt de software van Accellion voor het verzenden van grote databestanden. Begin maart 2021 is NAM, evenals vele andere bedrijven wereldwijd, op de hoogte gesteld van het feit dat de transfer-software kwetsbaar bleek voor datadiefstal. Daarop is NAM een onderzoek gestart en heeft het vastgesteld dat bij het versturen van data naar het Instituut Mijnbouwschade Groningen (IMG) gegevens zijn ontvreemd.
De gelekte data betreffen gegevens van circa 19.000 mensen. Voor het overgrote deel betreft het vooral NAW-gegevens, zoals initialen, achternaam, adres en woonplaats en soms ook geboortedatum en -plaats. De gelekte adressen variëren in gegevens: bij tweederde deel van de adressen staat bijvoorbeeld geen naamsinformatie vermeld maar enkel een adres, huisnummer, postcode en plaatsnaam. Er zijn 122 gevallen waar gevoelige persoonsgegevens is gelekt, bijvoorbeeld mailadressen en telefoonnummers. NAM heeft na ontdekking direct de Autoriteit Persoonsgegevens op de hoogte gesteld en mogelijke gedupeerden geïnformeerd. Accellion heeft aangegeven dat het veiligheidslek na de ontdekking direct is gedicht.
Vraag 2
Klopt het tevens dat er met deze mensen persoonlijk contact is opgenomen door de NAM? Wat is hen daarbij verteld en wat is er met deze mensen afgesproken?
Antwoord 2
Dat klopt. Van de 122 mensen van wie de gevoelige persoonsinformatie is gelekt zijn er 7 personen van wie de bankgegevens en vaststellingovereenkomsten met NAM onderdeel waren van het datalek. NAM heeft deze 7 mensen telefonisch geïnformeerd en adviezen en informatie gegeven over cyberveiligheid. De overige 115 personen van wie de gevoelige persoonsgegevens zijn gelekt, hebben een e-mailbericht of brief van NAM ontvangen met daarin dezelfde adviezen en informatie.
In een enkel geval is bij het ontbreken van actuele contactinformatie door NAM contact opgenomen met de gemeente om na te gaan op welke wijze – binnen de kaders van de privacywetgeving – alsnog contact met de persoon gelegd kon worden. Personen die niet via e-mail of telefoon bereikt konden worden, hebben een brief ontvangen.
NAM heeft daarnaast een speciaal telefoonnummer en e-mailadres opengesteld voor de 19.000 personen die mogelijk onderdeel van de datadiefstal zijn. Er zijn in totaal 17 vragen ontvangen die door NAM zijn beantwoord.
Naast het informeren van de gedupeerden heeft NAM ook de direct betrokken overheden, instanties en maatschappelijke organisaties zoals de Stichting WAG en de Autoriteit Persoonsgegevens over het datalek geïnformeerd.
Vraag 3
Kunt u uitleggen wat er gebeurt indien de gedupeerden, waarvan gegevens zijn gelekt, hier in de toekomst schade van ondervinden, bijvoorbeeld door identiteitsfraude? Wie is daar in dat geval voor aansprakelijk?
Antwoord 3
Als een gedupeerde schade lijdt als gevolg van een overtreding van de Algemene Verordening Gegevensbescherming (AVG), dan kan hij, op grond van de AVG, recht hebben op een vergoeding van zijn schade als het datalek verwijtbaar is. Op grond van de AVG is de verwerkingsverantwoordelijke in dat geval aansprakelijk. In dit geval is NAM de verwerkingsverantwoordelijke, en kan dus aansprakelijk gesteld worden door gedupeerden.
Vraag 4
Klopt het dat de NAM de software waarin het lek ontstond, gebruikte op verzoek van het Instituut Mijnbouwschade Groningen (IMG) om informatie te versturen over de afhandeling van claims over waardedaling?
Antwoord 4
IMG heeft aan NAM informatie gevraagd om schademeldingen voor waardedaling te kunnen afhandelen. NAM heeft deze informatie aangeleverd en gebruikte voor de verzending van die informatie de betreffende transfer-software van de firma Accellion. IMG heeft NAM niet gevraagd deze specifieke software te gebruiken.
Vraag 5
Betekent dit dat dezelfde software ook door het IMG wordt gebruikt? Zo ja, is het IMG ook getroffen door dit datalek en welke stappen zet deze organisatie om datalekken te voorkomen?
Antwoord 5
De software van Accellion wordt door IMG gebruikt om informatie van NAM te ontvangen. Aangezien het lek plaatsvond bij de leverancier van de software is IMG niet zelf getroffen door dit lek. Dit neemt niet weg dat IMG alert is op de veiligheid van zijn informatie. Voorts heeft IMG werknemers in dienst van wie de taken ingericht zijn op het waarborgen van de naleving van de AVG binnen de organisatie. Onlangs is bij IMG korte tijd sprake geweest van een datalek. IMG heeft hier melding van gemaakt bij de Autoriteit Persoonsgegevens en heeft via haar website bekend gemaakt dat het datalek is ontstaan bij de overstap naar een nieuw administratiesysteem. Hierbij waren documenten, die afkomstig waren van RVO-regelingen, zichtbaar in IMG-dossiers van aanvragers. Uit voorzorg heeft IMG direct alle documenten in het online «Mijn dossier» (specifiek het deel voor fysieke schade) geblokkeerd. Inmiddels zijn alle verkeerd geplaatste documenten verwijderd en zijn de dossiers weer volledig zichtbaar en toegankelijk voor de individuele aanvragers.
X Noot
1Telegraaf, 9 maart 2021, «Groot datalek bij NAM, 19.000 gedupeerden aardbevingsschade getroffen» (www.telegraaf.nl/nieuws/23605741/groot-datalek-bij-nam-19-000-gedupeerden-aardbevingsschade-getroffen).
