| Ingediend | 14 mei 2014 |
|---|---|
| Beantwoord | 3 juli 2014 (na 50 dagen) |
| Indieners | Foort van Oosten (VVD), Klaas Dijkhoff (VVD) |
| Beantwoord door | Fred Teeven (staatssecretaris justitie en veiligheid) (VVD) |
| Onderwerpen | bestuur organisatie en beleid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2014Z08639.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20132014-2429.html |
Ja.
Ja, het is mogelijk dat gegevens die op een slecht of onbeveiligde ftp-server worden geplaatst door kwaadwillenden worden misbruikt. Hierbij dient te worden bedacht dat informatiebeveiliging primair een eigen verantwoordelijkheid van burgers, bedrijven en overheden is. Daar waar gewerkt wordt met persoonsgegevens geldt in generieke zin het kader van de Wet bescherming persoonsgegevens (Wbp). In aanvulling hierop kan afhankelijk van de sector sprake zijn van aanvullende sectorale wet- en regelgeving. Overigens geldt voor gegevensopslag en -verwerking met behulp van deze servers in de privésfeer dat de Wbp niet van toepassing is (uitzondering voor activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden, art. 2, tweede lid, onder a, Wbp).
Alle bedrijven en overheden die persoonsgegevens verwerken moeten aan de eisen van de Wbp voldoen. Zo ook aan artikel 13 dat gaat over het adequaat beveiligen van persoonsgegevens. Dit betekent het nemen van passende technische en organisatorische maatregelen, rekening houdend met de stand van de techniek en afgezet tegen de risico’s die met de specifieke gegevensverwerking(en) zijn gemoeid.
Het CBP heeft richtsnoeren uitgebracht over beveiliging van persoonsgegevens. Deze richtsnoeren leggen uit hoe het CBP bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen de beveiligingsnormen uit de Wbp toepast. De richtsnoeren vormen de verbindende schakel tussen enerzijds het juridisch domein, met daarbinnen de eisen uit de Wbp, en anderzijds het domein van de informatiebeveiliging, waarin de noodzakelijke kennis en kunde aanwezig is om daadwerkelijk aan die eisen te voldoen. Het CBP is met toezicht en handhaving van de Wbp belast.
Aanscherpingen van het juridisch kader inzake bescherming van persoonsgegevens zijn in voorbereiding, zowel op Europees niveau (algemene verordening gegevensbescherming) als op nationaal niveau (wijziging van de Wet bescherming persoonsgegevens in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens en de uitbreiding van de bestuurlijke boetebevoegdheid van het College bescherming persoonsgegevens).
Bij het Nationaal Cyber Security Centrum zijn door partijen binnen de doelgroep van Rijksoverheid en vitale sectoren geen meldingen gedaan van partijen die getroffen zijn door misbruik van gegevens naar aanleiding van het gebruik van slecht beveiligde of onbeveiligde FTP-servers.
De omvang van het aantal onbeveiligde servers valt niet exact aan te geven. Middels op het internet beschikbare zoeksystemen kunnen, zoals in de uitzending benadrukt wordt, inderdaad lijsten met FTP-servers geïndexeerd worden. Het is echter onmogelijk om van deze servers, zonder deze te betreden, aan te geven of deze persoonsgegevens bevatten of dat het voor de aard van de informatie die op deze servers staat noodzakelijk is om hier beveiliging op toe te passen.
Zie antwoord vraag 2.
Vanuit het Ministerie van Veiligheid en Justitie en het daaronder ressorterende Nationaal Cyber Security Centrum (NCSC) wordt uitvoerig aandacht besteed aan het verhogen van de digitale weerbaarheid. Hiertoe is in oktober 2013 de tweede Nationale Cyber Security Strategie (NCSS-2) gepubliceerd.
De NCSS-2 bevat een uitgebreid actieprogramma. Zo wordt onder meer ingezet op het verhogen van de bewustwording van burgers en bedrijven middels de jaarlijkse campagne Alert Online. De campagne Alert Online zal dit jaar van 27 oktober tot 6 november gehouden worden.
Dit jaar ligt de focus op kennis over cybersecurity, juist om partijen zelf in staat te stellen om de juiste acties te ondernemen.
Ten aanzien van onbeveiligde apparatuur, w.o. FTP-servers, dient opgemerkt te worden dat het NCSC hier met regelmaat in haar publicaties voor heeft gewaarschuwd. Een voorbeeld hiervan is de reeds in december 2012 gepubliceerde factsheet «beveilig apparaten gekoppeld aan internet».
Bedrijven en instellingen zijn zoals gezegd, zelf primair verantwoordelijk voor informatiebeveiliging en zoals in de NCSS-2 reeds aangegeven mag daarbij een zekere mate van basis-cyberhygiëne verwacht worden, bijvoorbeeld bij het omgaan met persoonlijke gegevens op het internet.
Tot slot kan ik aangeven dat ik de analyse van hoogleraar Bart Jacobs, tevens lid van de Cyber Security Raad, deel en dat deze aansluit op de in de NCSS-2 geschetste rol voor het bedrijfsleven als leverancier. De Cyber Security Raad heeft in haar advies bij het opstellen van de NCSS-2 vastgesteld dat er een nadrukkelijke interactie moet zijn tussen de aanbieders van producten en diensten en de gebruikers ervan, zeker als het gaat om de veiligheidsaspecten zoals het gebruik van sterke wachtwoorden of het hanteren van specifieke veiligheidsinstellingen op apparatuur. In de NCSS-2 is daarbij dan ook aangegeven dat leveranciers een specifieke verantwoordelijkheid (zorgplicht) richting hun klanten hebben en dat security en privacy by design meer dan nu standaard ontwerpbeginselen dienen te zijn.
Zie antwoord vraag 4.
Hierbij deel ik u mede dat de schriftelijke vragen van het lid Van Oosten en Dijkhof (beiden VVD) van uw Kamer aan de Staatssecretaris van Veiligheid en Justitie over over ftp-servers die onvoldoende beveiligd zijn waardoor privégegevens van burgers te zien zijn (ingezonden 14 mei 2014) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.