Selecteer een pagina

164 oud-advocaten blijken onrechtmatig toegang te hebben tot database Kamer van Koophandel

164 oud-advocaten blijken tot voor kort onrechtmatig toegang gehad te hebben tot persoonsgegevens van bestuurders van bedrijven en organisaties die staan ingeschreven bij de Kamer van Koophandel (KvK).

92 van deze voormalige advocaten hebben ook daadwerkelijk gegevens opgevraagd nadat zij bij de Orde van Advocaten waren uitgeschreven als advocaat.

Volgens de KvK zijn er ongeveer 1.800 geautoriseerde juristen die over een geldige autorisatie voor het Handelsregister beschikken.

Het grote datalek werd door toeval ontdekt door toedoen van een oud-advocaat die persoonsgegevens van leden van de Tweede Kamer had opgevraagd.

De Kamer van Koophandel (KvK) heeft 1800 bestuurders, waaronder leden van de Tweede Kamer, per brief geïnformeerd dat hun adresgegevens door een voormalig advocaat illegaal over het onrechtmatig zijn verzameld uit de KvK-database.

Het gaat onder meer om de privéadressen van BIJ1-fractievoorzitter Sylvana Simons, van Ama Boahene, de voorzitter van de landelijke studentenvakbond LSVb, van Kamerleden van D66 en GroenLinks en van (oud-)bestuurders van DWARS, de politieke jongerenorganisatie van GroenLinks.

De ex-advocaat vroeg ook het privéadres van een oud-bestuurder van Forum van Democratie op uit de KvK-bestanden.

De advocaat, wiens identiteit de KvK niet bekend mag maken, beweert dat hij de privégegevens niet aan derden heeft doorgespeeld. Hij zou de opgevraagde adressen inmiddels gewist hebben.

De man heeft tegenover de KvK verklaard dat hij de persoonsgegevens nodig had ‘voor onderzoek naar en een beter begrip van maatschappelijke misstanden’.

De Tweede Kamerleden Sylvana Simons (BIJ1), Renske Leijten (SP), Lisa van Ginneken (D66) en Kauthar Bouchallikht (GroenLinks) hebben Kamervragen gesteld en willen een commissiedebat voeren over de gebrekkige beveiliging van het Handelsregister.

De betrapte man werd in januari uit het advocatenregister uitgeschreven, maar heeft nog tot juni afgeschermde persoonsgegevens in het Handelsregister opgevraagd. Dat hij dat deed, ontdekte de KvK na een ‘melding’, zegt een woordvoerder.

Inmiddels heeft de KvK hem de toegang tot die data ontzegd. De KvK heeft de politie op de hoogte gesteld van de inbreuk op de databank en heeft het lek ook gemeld bij de Autoriteit Persoonsgegevens.

Naar aanleiding van dit onbevoegde speurwerk in de databestanden heeft de KvK ook bekeken of alle andere advocaten die toegang hebben tot het Handelsregister nog wel op het advocatentableau staan. Dat bleek niet het geval.

Behalve advocaten hebben ook deurwaarders en notarissen toegang tot afgeschermde persoonsgegevens. Sommigen kunnen zelfs BSN-nummers opvragen.

Ook bij deze twee beroepsgroepen controleerde de KvK niet of hun autorisatie nog wel geldig is. Hun inlogcode bleef, eenmaal toegekend, in principe eeuwig geldig.

De privéadressen van oud-bestuurders van bedrijven, stichtingen en verenigingen blijft in principe voor altijd in het Handelsregister staan. Zo is daar nog steeds terug te vinden wie in de jaren negentig bestuurder was van DWARS, inclusief hun BSN-nummer en (toenmalig) woonadres.

De Kamer van Koophandel gaat nu ook de autorisaties van alle deurwaarders en notarissen natrekken. Vanaf nu zal er ook periodieke controle plaatsvinden om mensen die niet langer notaris, advocaat of deurwaarder zijn eruit te filteren.

Nederlandse Autoriteit Persoonsgegevens wil niet zeggen hoeveel onderzoeken er lopen. Pas in januari eerste evaluatie AVG

Een half jaar na de invoering van de Algemene Verordening Gegevensbescherming (AVG) heeft de Autoriteit Persoonsgegevens (AP) ruim 7.000 klachten en ongeveer 10.000 telefonische vragen behandeld. Er lopen onderzoeken naar mogelijke overtredingen, maar hoeveel dat zijn wil de toezichthouder nog niet zeggen.

Online burgerrechtenorganisatie Bits of Freedom zegt in dagblad Trouw dat bedrijven nog niet altijd goed omgaan met verzoeken van mensen om inzage in de gegevens die er over hen worden bewaard.

“Een bedrijf als KPN wil bijvoorbeeld dat zo’n verzoek per post wordt gedaan, terwijl ze wel online diensten aanbieden en ook online data verzamelen. Volgens de AVG mogen er geen onnodige drempels worden opgeworpen”, zegt David Korteweg van Bits of Freedom.

Interpretatie AVG

Toch vindt Korteweg het te vroeg om dus maar te concluderen dat de privacy niet is verbeterd het afgelopen half jaar. “Veel gaat afhangen van hoe de toezichthouders handhaven en hoe de wet geïnterpreteerd gaat worden.”

In Portugal, Duitsland en Groot-Brittannie zijn ondertussen de eerste boetes opgelegd. De toezichthouders van deze landen geven aan tempo te willen maken. Ze hebben aangekondigd voor het einde van dit jaar meerdere boetes te zullen opleggen.

In verschillende landen zijn inmiddels klachten ingediend tegen grote bedrijven. Eentje die volgens Korteweg gevolgen kan hebben voor een hele branche, is die van de organisatie Privacy International tegen een aantal grote online datahandelaren.

De Nederlandse AP zegt momenteel druk bezig te zijn met het analyseren van alle klachten en tips die in Nederland binnenkwamen. Ze kijkt of bepaalde knelpunten naar voren komen, die als eerste aandacht verdienen.

De Tweede Kamer heeft ondertussen in een motie om een eerste officiële evaluatie van de privacywet gevraagd. Volgens het ministerie van justitie en veiligheid komt die Nederlandse evaluatie pas in januari 2019.

De Nederlandse AP laat in Trouw wel al doorschemeren dat de torenhoge boetes die op basis van de AVG kunnen worden opgelegd voorlopig nog niet aan de orde zijn. “
Volgens de nieuwe wet kunnen er boetes worden uitgedeeld, maar zover hoeft het niet altijd te komen, stelt een woordvoerder van de AP in de krant.

Impact e-privacywet (EPR) groter dan AVG? Kabinet moet gevolgen opnieuw onderzoeken

Het kabinet moet nog eens kritisch kijken naar de samenloop van de e-privacywet (EPR) waar op dit moment in Brussel aan gewerkt wordt en de Algemene Verordening Gegevensbescherming (AVG). De Tweede Kamer heeft ingestemd met een motie van die strekking van de VVD.

VNO-NCW en MKB-Nederland zijn blij dat de VVD-motie over e-privacy is aangenomen door de Tweede Kamer.

“Conflicterende wetgevingssystematiek, niet technologie-neutrale onderdelen en nét verschillende definities gaan het ondernemen met persoonsgegevens nog complexer maken dan nu met de AVG”, zeggen de ondernemingsorganisaties.

Bereik van de EPR

Een van de probleempunten is volgens VNO-NCW en MKB-Nederland dat opnieuw zwaar geleund wordt op toestemming van de gebruiker om bepaalde gegevens te kunnen verwerken.

“Nog veel meer ‘ja klikken’ zoals we nu al kennen van de cookies.”

Maar waar bij de AVG de noodzaak van toestemming afhangt van de grootte van privacyrisico’s, de reden van verwerking en de verwachtingen van de klant, wordt dit bij de EPR weer losgelaten.

VNO-NCW en MKB-Nederland verwachten dat het bereik van de EPR over een paar jaar wel eens groter zou kunnen zijn dan de AVG. De wet zou volgens de ondernemersorganisaties negatieve gevolgen hebben voor de toekomst van e-health, mobiliteit, slimme steden en smart energy.

Alle persoonsgegevens van leerlingen komen onder één nieuwe wettelijke regeling.

De gegevens van leerlingen kunnen gemakkelijker en flexibeler gebruikt worden door het ministerie, onderwijsinstellingen, gemeente en mogelijke andere belanghebbenden. De Tweede Kamer is hier mee akkoord gegaan.

Alle gegevens in de bestaande leerlingregistratiesystemen komen met dit wetsvoorstel (toelichting) van minister Van Engelshoven (D66) onder één wettelijke regeling te vallen.

Het gaat om de gegevens van het basisregister onderwijs (BRON), het meldingsregister relatief verzuim, het diplomaregister en het register vrijstellingen en vervangende leerplicht.

Al deze gegevens worden door Dienst Uitvoering Onderwijs (DUO) beheerd.

De gegevens worden in principe alleen juridisch samengevoegd.

Technische worden de registratiessystemen met dit wetsvoorstel niet veranderd.

Door het samenbrengen van de gegevens van leerlingen in één wet ontstaat volgens de minister meer overzicht over welke gegevens beschikbaar zijn en kunnen gegevens eenvoudiger worden hergebruikt.

De gegevens worden onder andere gebruikt door het ministerie en de onderwijsinstellingen maar ook door gemeente voor het handhaven van de leerplicht en bijvoorbeeld als onderdeel van het bieden van (jeugd)zorg aan haar inwoners.

Glijdende schaal

Volgens de minister verandert er voor de privacy van leerlingen en studenten nauwelijks iets, omdat de systemen alleen juridisch worden samengevoegd.

Aan de andere kant dient de minister dit wetsvoorstel juist in om de gegevens beter toegankelijk te maken zodat ze eenvoudiger kunnen worden gebruikt.

De Autoriteit Persoonsgegevens oordeelt (pdf) dat er wel degelijk impact op de privacy kan zijn.

De toezichthouder constateert dat het bij elkaar brengen van gegevens in één wettelijke regeling tot “een completer beeld van de onderwijsdeelnemers” leidt dat daardoor “juist een grotere inbreuk op de persoonlijke levenssfeer kan opleveren”.

Ook zijn de de wetsartikelen over het gebruik van gegevens volgens de autoriteit onnodig ruim geformuleerd.

De toezichthouder vreest een glijdende schaal doordat “de kans toeneemt dat de persoonsgegevens voor andere doelen zullen worden gebruikt dan oorspronkelijk was bedoeld”.

De bundeling van de registerwetgeving heeft volgens de Autoriteit Gegevensbescherming naar verwachting de volgende effecten:

 

Ten eerste wordt meegenomen de beschikbaarstelling van diplomagegevens van het erkende niet bekostigde voortgezet onderwijs (VO), middelbaar beroepsonderwijs (MBO), voortgezet algemeen volwassenonderwijs (VAVO) en hoger onderwijs (HO).

In het diplomaregister zijn de diplomagegevens van het bekostigde onderwijs al opgenomen.

Voor het bekostigde en niet bekostigde onderwijs gelden dezelfde overwegingen voor het beschikbaar stellen van diplomagegevens vanuit het register:

  • bijdrage aan fraudebestrijding; helderheid over wat erkende diploma’s zijn
  • lastenverlichting voor (toekomstige) diplomabezitters, onderwijsinstellingen, alsmede indirect voor potentiële werkgevers en overheidsinstanties
  • voorziening voor de diplomabezitter (bewijs behaalde diploma) in geval van verlies of diefstel van een diploma.

Het tweede andere onderwerp dat wordt meegenomen in het wetsvoorstel is de uitbreiding van de gegevenslevering uit het basisregistratie personen (BRP) aan onderwijsinstellingen in het VO, MBO en VAVO met de geboorteplaats van de onderwijsdeelnemer, ten behoeve van de vermelding op het diploma.

De gegevens ‘naam’ en ‘geboortedatum’ worden momenteel al door de Dienst Uitvoering Onderwijs (DUO) aan de onderwijsinstelling geleverd.

Minister bepaalt

In het wetsvoorstel is de mogelijkheid opgenomen dat de minister zelfstandig bepaalt welke gegevens verzameld mogen worden en met wie die gedeeld mogen worden.

Tot op heden zijn de gegevens die verzameld worden wettelijk vastgelegd en kan dat niet zomaar worden aangepast.

Ook wie toegang tot de gegevens heeft is wettelijk verankerd.

Met deze nieuwe wet kan de minister dat op elk moment zelfstandig aanpassen als zij dat nodig acht.

Wel heeft de Tweede Kamer vandaag ook twee wijzigingen van SP en GroenLinks aangenomen waarmee wordt voorgeschreven dat de minister de Tweede Kamer vier weken van te voren over aanpassingen op de hoogte moet brengen.

Het gaat dan om aanpassingen met betrekking tot welke gegevens worden gedeeld en met welke derde partijen dat gebeurt.

De Kamer kan dan in die vier weken eventueel nog in actie komen.

Over eventuele wijzigingen in welke gegevens worden verzameld, hoeft de Kamer niet van te voren te worden geïnformeerd.

Het wetsvoorstel gaat nu naar de Eerste Kamer.