Er heeft zich een ernstig datalek bij het Kadaster voorgedaan. Dit datalek deed zich voor tussen de periode van 18 september 2022 en 11 oktober 2022. Hierdoor werd het voor vrijwel iedereen mogelijk om op kinderlijk eenvoudige wijze adresgegevens in te zien welke gekoppeld waren aan personen. Dit gedeelte behoort op ieder moment afgesloten te zijn, waarbij je specifieke toestemming moet krijgen voor de toegang. Het Kadaster noemt het zelf een “kwetsbaarheid in de aanmeldprocedure voor professionele gebruikers waarmee op die wijze alsnog oneigenlijk kon worden gezocht op naam”.  Hierover is zelfs een kamerbrief vanuit het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties.

Maar wat houdt deze kwetsbaarheid nu precies in? Wat is überhaupt een datalek? En wat zijn de gevolgen voor de betrokkenen hierin? In deze blog leggen we het volledig voor je uit!

Wat is een datalek precies?

Om te kunnen begrijpen wat er is gebeurd, is het nodig om te snappen wat een datalek nu precies is. De Autoriteit Persoonsgegevens definieert, op grond van de Algemene verordening gegevensbescherming, een datalek als volgt;

“Toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Waarbij de oorzaak een inbreuk op de beveiliging van deze gegevens is. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens door zo’n inbreuk valt onder een datalek.”

Er zijn dus een aantal componenten die nodig zijn voordat een datalek zich voordoet. De allerbelangrijkste is dat er altijd persoonsgegevens betrokken dienen te zijn, voordat een bepaald lek een gekwalificeerd kan worden als datalek. Persoonsgegevens zijn hierbij alle gegevens die op zichzelf of gezamenlijk herleidbaar zijn naar een natuurlijk persoon. Bedrijfsgegevens vallen hier niet onder.

Daarnaast hoeft een datalek niet altijd van buitenaf te komen. In de meeste gevallen wordt er namelijk gedacht aan hackers die gegevens van personen inzien, zonder dat dit de bedoeling was. Maar simpelweg een e-mail naar de verkeerde persoon sturen kan al een datalek zijn. Wel is het belangrijk om te onthouden dat het de bedrijfsmatige verwerking van persoonsgegevens betreft. Wanneer jij vanaf je privé-email een bericht stuurt naar een ander privéadres, wat niet de bedoeling was, is dit geen datalek.

Het ernstige datalek bij het Kadaster

Er heeft zich dus een ernstig datalek voorgedaan bij het Kadaster. Maar waarom werd dit datalek nu gekwalificeerd als ernstig? De reden hiervoor is dat er gegevens van miljoenen mensen openbaar werden gemaakt.  Tenminste deze gegevens waren zeer eenvoudig inzichtelijk geworden voor de meeste personen. Dit komt doordat door een fout in de beveiliging iemand gemakkelijk een bedrijfsaccount kon aanmaken bij het Kadaster. Via dergelijke accounts krijg je veel sneller veel meer toegang tot gegevens. Het blijkt zelfs dat er via een bedrijfsaccount binnen een dag miljoenen adresgegevens inzichtelijk werden.

Nu zou je kunnen denken, ‘oke en wat is dan precies het probleem?’. Dat is logisch, omdat er op het eerste gezicht niet heel veel lijkt wat er gedaan kan worden met enkel het huisadres. Het probleem wordt echter duidelijk wanneer er bijvoorbeeld ook adresgegevens van rechters, advocaten en zelfs politici bij betrokken zijn. Het wordt dan erg gemakkelijk voor kwaadwillende personen om deze op te zoeken en ze bijvoorbeeld te intimideren. Iets wat we dikwijls in het Marengo-proces hebben gezien.

Ook voor de wat meer ‘gewone burger’ kan een dergelijk datalek erg vervelend zijn. Oplichting licht hiermee namelijk op de loer. Ineens kun je valse brieven van de belastingdienst ontvangen of andere instanties. Bij miljoenen bekende adressen, zal er altijd wel iemand intrappen. Dit soort oplichting is ook erg hardnekkig om tegen te gaan, aangezien de criminelen zich vaak verschuilen achter andere namen of tussenpersonen.

Nu heeft het Kadaster zich ingezet om de situatie te verbeteren. Zo is de beveiliging aangescherpt, waardoor dergelijk lekken niet meer zouden moeten kunnen komen. Daarnaast heeft de Autoriteit persoonsgegevens aangegeven dat er meer gedaan moet worden. De overheid heeft immers vele registers, waar dergelijke problemen zich eveneens zouden kunnen voordoen. Hoe en wanneer dergelijke problemen worden aangepakt moeten we nog bezien.

Meer weten over het laatste juridische nieuws?

Bij Juristenblog schrijven wij over veel uiteenlopende nieuwsonderwerpen met een juridisch tintje. Hiermee brengen wij op een gemakkelijke, en vooral begrijpelijke, manier juridische kennis over. Lees bijvoorbeeld meer over juridisch nieuws!

Er heeft zich een ernstig datalek bij het Kadaster voorgedaan. Dit datalek deed zich voor tussen de periode van 18 september 2022 en 11 oktober 2022. Hierdoor werd het voor vrijwel iedereen mogelijk om op kinderlijk eenvoudige wijze adresgegevens in te zien welke gekoppeld waren aan personen. Dit gedeelte behoort op ieder moment afgesloten te zijn, waarbij je specifieke toestemming moet krijgen voor de toegang. Het Kadaster noemt het zelf een “kwetsbaarheid in de aanmeldprocedure voor professionele gebruikers waarmee op die wijze alsnog oneigenlijk kon worden gezocht op naam”.  Hierover is zelfs een kamerbrief vanuit het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties.

Maar wat houdt deze kwetsbaarheid nu precies in? Wat is überhaupt een datalek? En wat zijn de gevolgen voor de betrokkenen hierin? In deze blog leggen we het volledig voor je uit!

Wat is een datalek precies?

Om te kunnen begrijpen wat er is gebeurd, is het nodig om te snappen wat een datalek nu precies is. De Autoriteit Persoonsgegevens definieert, op grond van de Algemene verordening gegevensbescherming, een datalek als volgt;

“Toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Waarbij de oorzaak een inbreuk op de beveiliging van deze gegevens is. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens door zo’n inbreuk valt onder een datalek.”

Er zijn dus een aantal componenten die nodig zijn voordat een datalek zich voordoet. De allerbelangrijkste is dat er altijd persoonsgegevens betrokken dienen te zijn, voordat een bepaald lek een gekwalificeerd kan worden als datalek. Persoonsgegevens zijn hierbij alle gegevens die op zichzelf of gezamenlijk herleidbaar zijn naar een natuurlijk persoon. Bedrijfsgegevens vallen hier niet onder.

Daarnaast hoeft een datalek niet altijd van buitenaf te komen. In de meeste gevallen wordt er namelijk gedacht aan hackers die gegevens van personen inzien, zonder dat dit de bedoeling was. Maar simpelweg een e-mail naar de verkeerde persoon sturen kan al een datalek zijn. Wel is het belangrijk om te onthouden dat het de bedrijfsmatige verwerking van persoonsgegevens betreft. Wanneer jij vanaf je privé-email een bericht stuurt naar een ander privéadres, wat niet de bedoeling was, is dit geen datalek.

Het ernstige datalek bij het Kadaster

Er heeft zich dus een ernstig datalek voorgedaan bij het Kadaster. Maar waarom werd dit datalek nu gekwalificeerd als ernstig? De reden hiervoor is dat er gegevens van miljoenen mensen openbaar werden gemaakt.  Tenminste deze gegevens waren zeer eenvoudig inzichtelijk geworden voor de meeste personen. Dit komt doordat door een fout in de beveiliging iemand gemakkelijk een bedrijfsaccount kon aanmaken bij het Kadaster. Via dergelijke accounts krijg je veel sneller veel meer toegang tot gegevens. Het blijkt zelfs dat er via een bedrijfsaccount binnen een dag miljoenen adresgegevens inzichtelijk werden.

Nu zou je kunnen denken, ‘oke en wat is dan precies het probleem?’. Dat is logisch, omdat er op het eerste gezicht niet heel veel lijkt wat er gedaan kan worden met enkel het huisadres. Het probleem wordt echter duidelijk wanneer er bijvoorbeeld ook adresgegevens van rechters, advocaten en zelfs politici bij betrokken zijn. Het wordt dan erg gemakkelijk voor kwaadwillende personen om deze op te zoeken en ze bijvoorbeeld te intimideren. Iets wat we dikwijls in het Marengo-proces hebben gezien.

Ook voor de wat meer ‘gewone burger’ kan een dergelijk datalek erg vervelend zijn. Oplichting licht hiermee namelijk op de loer. Ineens kun je valse brieven van de belastingdienst ontvangen of andere instanties. Bij miljoenen bekende adressen, zal er altijd wel iemand intrappen. Dit soort oplichting is ook erg hardnekkig om tegen te gaan, aangezien de criminelen zich vaak verschuilen achter andere namen of tussenpersonen.

Nu heeft het Kadaster zich ingezet om de situatie te verbeteren. Zo is de beveiliging aangescherpt, waardoor dergelijk lekken niet meer zouden moeten kunnen komen. Daarnaast heeft de Autoriteit persoonsgegevens aangegeven dat er meer gedaan moet worden. De overheid heeft immers vele registers, waar dergelijke problemen zich eveneens zouden kunnen voordoen. Hoe en wanneer dergelijke problemen worden aangepakt moeten we nog bezien.

Meer weten over het laatste juridische nieuws?

Bij Juristenblog schrijven wij over veel uiteenlopende nieuwsonderwerpen met een juridisch tintje. Hiermee brengen wij op een gemakkelijke, en vooral begrijpelijke, manier juridische kennis over. Lees bijvoorbeeld meer over juridisch nieuws!

Over Juristenblog.nl

Het team van Juristenblog.nl bestaat uit ervaren juristen. Wekelijks wordt onderzoek gedaan naar interessante onderwerpen waarover geschreven kan worden. Vervolgens schrijft de jurist met de meeste kennis van het onderwerp de betreffende blog. Op deze manier blijft ons concept up-to-date en relevant.

Schrijf je in & Blijf op de hoogte

Laat hieronder je e-mailadres achter en ontvang elke maandagochtend een overzicht van de meest recente berichten die op juristenblog.nl zijn verschenen.

We spammen niet. Je kunt je op ieder moment uitschrijven.