Ingediend | 10 maart 2016 |
---|---|
Beantwoord | 30 maart 2016 (na 20 dagen) |
Indieners | Astrid Oosenbrug (PvdA), Hayke Veldman (VVD), Ingrid de Caluwé (VVD) |
Beantwoord door | Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
Onderwerpen | bestuur gemeenten openbare orde en veiligheid organisatie en beleid |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2016Z05065.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20152016-2076.html |
Ja
Ja
Op 1 maart heeft een groep onderzoekers de DROWN-aanvalstechnieken gepresenteerd. Met DROWN maakt een aanvaller misbruik van (web)servers die SSL 2.0 ondersteunen of die een verouderde versie van OpenSSL, een veel gebruikte oplossing om webservers te beveiligen, gebruiken. De onderzoekers hebben bekendgemaakt dat ongeveer een derde van alle webservers wereldwijd kwetsbaar is voor DROWN. De manier waarop gemeenten in samenwerking met hun toeleveranciers de kwetsbaarheid hebben opgelost kan niet tot de conclusie leiden dat gemeenten de beveiliging van persoonsgegevens niet op orde zouden hebben. Gemeenten nemen hun verantwoordelijkheid als het gaat om informatiebeveiliging en de bescherming van vertrouwelijke gegevens en hebben hiervoor een gemeenschappelijk normenkader in de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Alle gemeenten implementeren momenteel de maatregelen en normen uit de BIG. Mij zijn dus geen gemeenten bekend die informatiebeveiliging in het algemeen of de beveiliging van persoonsgegevens in het bijzonder niet op orde zouden hebben.
De kwetsbaarheid die op 1 maart bekend werd doet zich voor zelfs als nieuwere versies van het protocol gebruikt worden, maar de oudere versies nog niet zijn uitgeschakeld. Op 2 maart publiceerde het NCSC hierover een factsheet, waarin het zijn advies herhaalde om de oudere versie uit te schakelen en servers uitsluitend op basis van het nieuwe protocol te configureren, alsmede om, indien gebruik gemaakt wordt van OpenSSL, deze bij te werken tot de meest recente versie.
De overheid is, net als alle andere verwerkers van persoonsgegevens, gehouden passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Overigens bestaat 100% veiligheid niet en zullen steeds nieuwe kwetsbaarheden worden ontdekt.
Informatiebeveiliging van gemeenten is een lokale verantwoordelijkheid. De BIG biedt voldoende technische, organisatorische en fysieke handvatten om de beveiliging van persoonsgegevens te kunnen waarborgen.
Naast «verscherpte aandacht» adviseert de Autoriteit Persoonsgegevens in haar nieuwsbericht van 4 maart 2016 verwerkers van persoonsgegevens om, indien gebruik wordt gemaakt van de programmeerbibliotheek OpenSSL, deze bij te werken naar de laatste versie en zij waarschuwt dat indien de configuratie niet wordt aangepast mogelijk artikel 13 van de Wet bescherming persoonsgegevens (Wbp) wordt overtreden.
De AP heeft het onderwerp beveiliging van persoonsgegevens en het onderwerp lokale overheden als twee van haar vijf prioritaire thema’s vastgesteld in haar «Agenda 2016» en beschouwt dit dus als prioriteit, net als vorige jaren. Zij heeft ook meermaals onderzoek gedaan naar de beveiliging van persoonsgegevens bij gemeenten. Daarnaast heeft zij gesprekken gevoerd met de VNG en heeft zij onder meer richtsnoeren en beleidsregels over beveiliging van persoonsgegevens gepubliceerd op haar website.
Het NCSC adviseert beheerders van websites hoe deze de geconstateerde kwetsbaarheid kunnen verminderen.
Ook steunt de Informatiebeveiligingsdienst voor gemeenten (IBD) gemeenten bij het opheffen van de kwetsbaarheid.
Zoals ik in het antwoord op vraag 4 aangaf, doet de kwetsbaarheid zich ook voor als er wel degelijk van nieuwe technologieën gebruik wordt gemaakt, maar de configuratie het gebruik van het oude protocol nog toestaat. Daarom luidt het advies om niet alleen de servers op basis van het nieuwe protocol te configureren, maar ook om gelijktijdig de oudere versie uit te schakelen. Gemeenten moeten passende maatregelen nemen om vertrouwelijke gegevens te beveiligen en beveiligd te houden. Het gaat hierbij om technische maar ook organisatorische en fysieke maatregelen. Bij bekendwording van de DROWN-kwetsbaarheid hebben gemeenten maatregelen genomen.
Een datalek vormt op zichzelf niet direct aanleiding tot het opleggen van een sanctie. Indien een datalek ten onrechte niet bij de Autoriteit Persoonsgegevens gemeld wordt, kan de Autoriteit Persoonsgegevens eerst een bindende aanwijzing opleggen. Daarna kan de Autoriteit Persoonsgegevens eventueel een bestuurlijke boete opleggen. Deze bestuurlijke boete bedraagt ten hoogste het bedrag van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Dat is per 1 januari 2016 maximaal 820.000 euro. De boetebeleidsregels van de Autoriteit Persoonsgegevens die op haar website staan, geven hier een nadere invulling aan. Los van de boete kan de AP ook een last onder dwangsom opleggen. Tot slot heeft de AP de bevoegdheid om bij constateringen van overtreding van artikel 13 (over het vereiste om passende technische en organisatorische maatregelen te nemen ter beveiliging van persoonsgegevens) van de Wet bescherming persoonsgegevens een bindende aanwijzing, boete of last onder dwangsom op te leggen.
Of de DROWN-kwetsbaarheid bij gemeenten heeft geleid tot een datalek zullen deze gemeenten zelf vast moeten stellen. Een belangrijke vraag die de gemeente daarbij moet beantwoorden is of zij onrechtmatige verwerking redelijkerwijs kan uitsluiten. Of een eventueel datalek moet worden gemeld aan de toezichthouder, en eventueel aan de betrokkenen, hangt onder meer af van aard van de persoonsgegevens die het betreft. De Autoriteit Persoonsgegevens heeft beleidsregels meldplicht datalekken gepubliceerd op haar site. Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en bij de betrokkenen.
Zoals ik in december 2015 aan uw Kamer meldde, bereid ik op dit moment, samen met de Minister van Economische Zaken wetgeving voor ter ondersteuning van het voornemen uit het Regeerakkoord, dat burgers en bedrijven uiterlijk in 2017 zaken die ze met de overheid doen, digitaal kunnen afhandelen. Gestreefd wordt het wetsvoorstel voor de eerste tranche, met daarin de onderwerpen informatieveiligheid, de naleving daarvan en de inrichting van het toezicht daarop, eind 2016 bij de voorzitter van de Tweede Kamer aan te bieden.
Voor het zaken doen met de overheid is veiligheid en privacybescherming essentieel en randvoorwaardelijk. Zie ook het antwoord op vraag 10.
De geschetste problemen met de beveiliging van websites van gemeenten zijn niet van invloed op Operatie BRP. De BRP is, anders dan de gemeentelijke websites, immers niet publiekelijk benaderbaar.
Het Ministerie van BZK is met de VNG en de directeuren sociaal domein aan het werk om te zorgen dat de aanpak van privacy zoals die afgelopen jaren is uitgewerkt ook structureel geborgd wordt bij gemeenten. Hiervoor worden onder andere best practices verzameld en werkbijeenkomsten belegd met directeuren sociaal domein. In samenwerking met VNG en GGZ Nederland wordt daarnaast gewerkt aan een programma om te zorgen dat ook de aansluiting bij instellingen gerealiseerd wordt. Dit zal worden afgesloten met een werkconferentie in juni.