| Ingediend | 17 november 2021 |
|---|---|
| Beantwoord | 6 januari 2022 (na 50 dagen) |
| Indiener | Renske Leijten |
| Beantwoord door | Kajsa Ollongren (viceminister-president , minister binnenlandse zaken en koninkrijksrelaties) (D66) |
| Onderwerpen | criminaliteit openbare orde en veiligheid staatsveiligheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2021Z20680.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20212022-1278.html |
Of een datalek moet worden gemeld, hangt af van het wettelijke kader. Volgens de berichtgeving speelde het datalek zich af in 2016 en zou daarmee onder de Wet bescherming persoonsgegevens (hierna: Wbp) vallen.
Per 1 januari 2016 is de meldplicht datalekken, zoals volgt uit artikel 34a Wbp, van kracht geworden. Op grond van lid 2 van dit artikel is een verantwoordelijke verplicht om de betrokkenen bij een inbreuk op de beveiliging op de hoogte te brengen, wanneer de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer. Artikel 43 Wbp biedt een overzicht van de uitzonderingen op deze verplichting. De Wbp is op 25 mei 2018 komen te vervallen. Op deze datum is de Algemene verordening gegevensbescherming (AVG) in werking getreden.
De Autoriteit Persoonsgegevens (AP) heeft laten weten over dit specifieke geval geen verdere informatie te kunnen geven. Het is niet aan mij om over het in de vraag genoemde mogelijke datalek een oordeel te geven, nu dit bij uitstek toekomt aan de toezichthouder.
Ik kan in het openbaar niet ingaan op concrete vragen over het handelen van de AIVD.
De AIVD en de MIVD stellen een onderzoek in indien aanwijzingen bestaan dat Nederlandse of in Nederland gevestigde bedrijven zijn gehackt door statelijke actoren. Over het actuele kennisniveau van de inlichtingen- en veiligheidsdiensten kunnen in het openbaar geen mededelingen worden gedaan.
De genoemde berichtgeving geeft onvoldoende duidelijkheid of in deze casus sprake is geweest van spionage. In het algemeen geldt dat de AIVD Nederland beschermt door (ongeziene) dreigingen tegen de nationale veiligheid te onderzoeken. Dat geldt onder meer voor digitale spionage. Als de AIVD dreigingen ontdekt binnen of buiten Nederland, waarschuwt de dienst (overheids-)partners die daartegen kunnen optreden.
Desgevraagd heeft de AP laten weten op dit moment nog niets te kunnen zeggen over eventuele vervolgstappen met betrekking tot de veronderstelde inbreuk op de beveiliging bij Booking.com
De vragen van het lid Leijten (SP) over het bericht dat een Amerikaanse spion Booking.com heeft gehackt en dit niet is gemeld, ingezonden op 17 november 2021 met kenmerk 2021Z20680, kunnen niet binnen de gestelde termijn van drie weken worden beantwoord. De reden van het uitstel is dat afstemming ten behoeve van de beantwoording van de vragen meer tijd kost. Ik zal u zo spoedig mogelijk de beantwoording doen toekomen.