| Ingediend | 8 juni 2012 |
|---|---|
| Beantwoord | 3 juli 2012 (na 25 dagen) |
| Indiener | Kees Verhoeven (D66) |
| Beantwoord door | Maxime Verhagen (minister economische zaken, viceminister-president ) (CDA) |
| Onderwerpen | criminaliteit economie ict openbare orde en veiligheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2012Z11462.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20112012-2918.html |
Ja.
LinkedIn is primair zelf verantwoordelijk voor de beveiliging van haar dienstverlening. In de privacyverklaring op haar website geeft LinkedIn aan de ontvangen gegevens «in overeenstemming met industriële normen en technologie» te beveiligen, zonder verder te specificeren welke normen dit zijn.
Mede gezien de vraagstelling over de verantwoordelijkheid van het bedrijfsleven, verwacht ik dat mijn opvolger in het volgende kabinet nader op deze problematiek zal ingaan als onderdeel van de uitvoering van de motie Gesthuizen/Verhoeven. In deze motie is verzocht om een visie op de privacy, veiligheid en bescherming van burgers op internet2.
Wat de verantwoordelijkheid van de Nederlandse overheid betreft in verband met beveiligingslekken, verwijs ik naar de brief die ondergetekende en de staatssecretaris van Veiligheid en Justitie op 13 juni 2012 over deze affaire aan de voorzitter van de Tweede Kamer hebben gezonden. In deze brief wordt aangegeven dat, indien zich een beveiligingslek bij een bedrijf voordoet, deze zelf verantwoordelijk is voor de te verstrekken voorlichting en herstelactiviteiten. Dat geldt ook voor de daarmee gemoeide kosten. De overheid zal die verantwoordelijkheid niet overnemen.
In dit specifieke geval is, door de media-aandacht en het onderzoek dat de Amerikaanse overheid heeft gestart naar deze kwestie, LinkedIn afdoende gewezen op haar verantwoordelijkheden en heeft zij aangekondigd maatregelen te treffen. Een onderhoud met het bedrijf biedt in deze geen toegevoegde waarde meer.
Overigens draagt de overheid in algemene zin bij aan het vergroten van het bewustzijn bij zowel burgers als bedrijven van het veilige gebruik van internet via onder meer voorlichtingscampagnes. Via ECP, een publiek-privaat platform voor de informatiesamenleving, worden al enige jaren activiteiten ontplooid die ook ingaan op het veilig gebruik van wachtwoorden. Dit programma wordt door het Ministerie van Economische Zaken, Landbouw en Innovatie gefinancierd. Zo is in 2010 de campagne «Wissel je wachtwoord» gevoerd. Mede naar aanleiding van deze gebeurtenis zal een al in voorbereiding zijnde voorlichtingscampagne worden geactualiseerd. Gestart wordt met het ontwikkelen van een herhaling van de wachtwoordencampagne uit 2010. Verder zullen ECP en het Nationaal Cyber Security Centrum dit jaar de campagne «Secure November» uitvoeren, dat zich richt op het vergroten van de awareness in het veilig gebruik van internet.
GOVCERT.NL, nu onderdeel van het NCSC, heeft in 2011 factsheets uitgegeven met een overzicht van de risico’s verbonden aan deelname aan sociale netwerken, de maatregelen die gebruikers kunnen treffen, wat de gevolgen kunnen zijn en het handelingsperspectief is wanneer persoonlijke gegevens (zoals gebruikersnaam en wachtwoord) onderdeel zijn van een datalek en op internet gepubliceerd worden.
Er zijn in Nederland geen wettelijke regels die specifiek over het opslaan en beveiligen van wachtwoorden gaan. Maar er is wel wettelijk de verplichting om persoonsgegevens te beveiligen tegen verlies of vormen van misbruik. De Wet bescherming persoonsgegevens (Wbp) geeft aan:
«De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen». Omdat LinkedIn een in Amerika gevestigd bedrijf is, daar zijn feitelijke werkzaamheden verricht en daar ook gegevens van gebruikers verwerkt, is het aannemelijk dat deze bepaling in dit specifieke geval niet van toepassing is.
Een vergelijkbare verplichting geldt voor aanbieders van openbare telecommunicatiediensten en -netwerken als gevolg van artikel 11.2 in samenhang met 11.3 Telecommunicatiewet. Overigens is LinkedIn niet aan te merken als een in deze artikelen bedoelde aanbieder.
Om deze redenen is deze kwestie voldoende aanleiding om in de eerder genoemde uitvoering van de motie Gesthuizen/Verhoeven hier op terug te komen.
Tenslotte kan ik melden dat de staatssecretaris van Veiligheid en Justitie wetgeving in voorbereiding heeft voor een meldplicht voor datalekken. Dat wetsvoorstel zal nog voor het zomerreces aan de ministerraad worden aangeboden, en zal uw Kamer na dat reces bereiken.