Open Kamerbeta

Kamervraag 2011Z03680

Het lek van de website van de Postcodeloterij

Ingediend 22 februari 2011
Beantwoord 14 april 2011 (na 51 dagen)
Indieners Martijn van Dam (PvdA), Lea Bouwmeester (PvdA)
Beantwoord door
Onderwerpen financiën organisatie en beleid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2011Z03680.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20102011-2216.html
1. de Volkskrant, 21 februari 2011 «Site van Postcodeloterij al dagenlang ernstig lek».
  • Vraag 1
    Hebt u kennisgenomen van het bericht dat de website van de Postcodeloterij al dagenlang lek is, waardoor iedereen persoonsgegevens van deelnemers van de Postcodeloterij heeft kunnen inzien?1

    Ja.

  • Vraag 2
    Is het u ook opgevallen dat de woordvoerder van de Postcodeloterij in het artikel vertelt dat de organisatie willens en wetens de site heeft aangepast op een manier waarvan men wist dat derden gegevens van deelnemers zouden kunnen inzien?

    Over de bedoelde reclameactie heb ik informatie ingewonnen bij de Nationale Postcode Loterij (NPL). Volgens NPL was de actie als volgt opgezet: consumenten kregen een achtcijferige «gelukscode» thuisgestuurd, waarmee via internet aan de actie kon worden deelgenomen en waarbij vervolgens prijzen onder de deelnemers werden verloot. Na het invullen van de unieke code verschenen naam en adresgegevens van de consument in beeld, die desgewenst door de desbetreffende consument konden worden gecorrigeerd. Bij vaste deelnemers van de NPL waren deze gegevens na het invullen van de gelukscode overigens niet zichtbaar, omdat deze al in het bezit zijn van NPL.
    Blijkens het artikel in de Volkskrant heeft een van de deelnemers aan de actie op een gegeven moment drie «gelukscodes» met de daarbij bijbehorende adresgegevens (in geanonimiseerde vorm) op een weblog op het internet gepubliceerd en daarbij vermeld dat de website van NPL, nu deze adresgegevens na het intoetsen van de code zichtbaar werden, onvoldoende is beveiligd. NPL heeft niet kunnen achterhalen hoe deze consument in het bezit van deze codes is gekomen. Na deze publicatie heeft NPL meteen maatregelen getroffen om te voorkomen dat deze adresgegevens zichtbaar worden of blijven voor derden. Overigens heeft NPL kunnen vaststellen dat pogingen zijn gedaan via willekeurige codes adresgegevens te genereren. Eén van die pogingen, waarbij gebruik is gemaakt van 80 000 automatisch gegenereerde codes, heeft slechts 8 werkende codes opgeleverd. In deze gevallen waren de adresgegevens vervolgens niet zichtbaar via de site, omdat het codes behorende bij reeds bestaande deelnemers van NPL betrof.
    NPL heeft mij meegedeeld door het incident te hebben moeten vaststellen dat deze achtcijferige code onvoldoende beveiliging bood. NPL heeft mij verzekerd in de toekomst bij dergelijke acties te zorgen voor een betere beveiliging. Op grond van het voorgaande meen ik dat van het willens en wetens zichtbaar maken of onbeschermd plaatsen van persoonsgegevens op de site geen sprake is.

  • Vraag 3
    Vindt u het ook onbegrijpelijk en onvoorstelbaar onverantwoordelijk van de Postcodeloterij om bewust persoonsgegevens onbeschermd op de website te plaatsen?

    Zie antwoord vraag 2.

  • Vraag 4
    Bent u het de PvdA-fractie eens dat de vergelijking van de woordvoerder van de Postcodeloterij met de Telefoongids onzin is, aangezien mensen voor opname in de bestanden van de Telefoongids zelf toestemming kunnen verlenen of onthouden, wat bij deze onbezonnen actie van de Postcodeloterij niet het geval was? Wat vindt u ervan dat de Postcodeloterij op deze manier deze grove fout probeert goed te praten?

    NPL heeft mij desgevraagd laten weten niet gelukkig te zijn met de wijze waarop haar reactie in de krant is weergegeven. Zij heeft mij meegedeeld de gang van zaken zeer te betreuren en zo snel mogelijk actie te hebben ondernomen om de onverhoopte openbaarmaking van persoonsgegevens te beëindigen. Voorts hecht NPL eraan op te merken dat persoonlijke gegevens zoals geboortedata en bankgegevens nooit zichtbaar zijn geweest.

  • Vraag 5
    Is het waar dat de Postcodeloterij hiermee de voorschriften uit de wet Bescherming Persoonsgegevens heeft overtreden, denk daarbij bijvoorbeeld aan artikel 13 dat verwerkers van persoonsgegevens verplicht zijn deze te beschermen tegen verlies en enige vorm van onrechtmatige verwerking?

    Het ligt niet op mijn weg om een oordeel te geven over de vraag of NPL in dit concrete geval de Wet bescherming persoonsgegevens (Wbp) heeft overtreden, dan wel over de eventuele civielrechtelijke aansprakelijkheid van NPL. Het College bescherming persoonsgegevens (Cbp) is belast met het toezicht op de naleving van de Wbp en kan zonodig handhavend optreden. Het is aan de rechter om te beoordelen of klanten van NPL een eventueel recht op schadevergoeding toekomt.

  • Vraag 6
    Klopt het dat de Wet Bescherming Persoonsgegevens voor deze overtreding geen andere sanctie kent dan de last onder dwangsom, die het College Bescherming Persoonsgegevens slechts op kan leggen om de overtreding te laten beëindigen en er dus geen straf mogelijk is voor deze begane overtreding?

    Het Cbp is belast met het toezicht op de naleving en de bestuursrechtelijke handhaving van de Wbp. Het Cbp is ingevolge de artikelen 65 en 66 van de Wbp uitgerust met de bevoegdheid tot het toepassen van bestuursdwang, en daaraan gekoppeld het opleggen van een last onder dwangsom, alsmede, bij het niet naleven van een aantal formele verplichtingen uit de Wbp, zoals de meldplicht, de bevoegdheid tot het opleggen van een bestuurlijke boete.
    Op dit moment wordt de effectiviteit van het sanctie-instrumentarium van de Wbp en de wenselijkheid tot uitbreiding daarvan binnen mijn ministerie nader bestudeerd. Ik bericht u graag nader over de uitkomsten hiervan in een – reeds door mij toegezegde – brief over het privacybeleid. Ik ben voornemens om deze brief op korte termijn aan uw Kamer te doen toekomen.

  • Vraag 7
    Deelt u de opvatting dat het ontbreken van een sanctie als straf voor het bewust openbaar maken van persoonsgegevens in deze tijd niet meer te verdedigen valt?

    Zie antwoord vraag 6.

  • Vraag 8
    Vindt u ook niet dat het op straat gooien van persoonlijke gegevens mensen kwetsbaar maakt voor identiteitsdiefstal en een inbreuk is op de privacy en alleen om die redenen al straf verdient? Zo ja, bent u bereid een wijziging van de Wet Bescherming Persoonsgegevens voor te bereiden om overtreding van de voorschriften uit de Wet die nu niet te bestraffen zijn, te kunnen laten bestraffen met een bestuurlijke boete of in zeer uitzonderlijke gevallen via het strafrecht? Zo nee, waarom niet?

    Zie antwoord vraag 6.

  • Vraag 9
    Is er een juridische grond voor klanten van de Postcodeloterij om de organisatie civielrechtelijk aan te spreken en een schadevergoeding te eisen voor het openbaar maken van persoonsgegevens?

    Zie antwoord vraag 5.

Kamervraag document nummer: kv-tk-2011Z03680
Volledige titel: Vragen van de leden Van Dam en Bouwmeester (beiden PvdA) aan de ministers van Economische Zaken, Landbouw en Innovatie en van Veiligheid en Justitie naar aanleiding van het lek van de website van de Postcodeloterij (ingezonden 22 februari 2011).
Kamerantwoord document nummer: ah-tk-20102011-2216
Volledige titel: Vragen van de leden Van Dam en Bouwmeester (beiden PvdA) aan de ministers van Economische Zaken, Landbouw en Innovatie en van Veiligheid en Justitie naar aanleiding van het lek van de website van de Postcodeloterij (ingezonden 22 februari 2011).