| Ingediend | 24 juli 2019 |
|---|---|
| Beantwoord | 26 augustus 2019 (na 33 dagen) |
| Indiener | Remco Dijkstra (VVD) |
| Beantwoord door | Cora van Nieuwenhuizen (minister infrastructuur en waterstaat) (VVD), Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA) |
| Onderwerpen | criminaliteit openbare orde en veiligheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2019Z15371.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20182019-3680.html |
Ja.
RTL Nieuws heeft op 15 juli 2019 contact opgenomen met de afdeling persvoorlichting van de RDW met het verzoek om een reactie op hun informatie die zou aantonen dat RDW-gegevens, waaronder NAW-gegevens, online worden verkocht. Het was bij de RDW eerder niet bekend dat er vermoedelijk misbruik wordt gemaakt van gegevens uit een RDW-register.
De RDW verstrekt gegevens uit het kentekenregister aan overheidsorganen voor de uitvoering van hun publieke taken. Het register is een basisregistratie en moet daarom door overheden voor wat betreft de authentieke gegevens verplicht geraadpleegd worden. De kaders voor de gegevensverstrekking en het gebruik liggen vast in de wegenverkeerswetgeving en in algemene wetgeving zoals de Algemene wet bestuursrecht, de Wet openbaarheid van bestuur en de Algemene verordening gegevensbescherming. Voor de verstrekking moet onderscheid worden gemaakt tussen overheidsorganen en aangewezen personen of organisaties met een publieke taak enerzijds en beroepsbeoefenaren anderzijds.
Voor wat betreft overheidsorganen als bedoeld in artikel 41a, eerste lid, onderdeel a, van de Wegenverkeerswet 1994, zoals de politie, het Centraal Justitieel Incasso Bureau, de Belastingdienst en gemeenten respectievelijk aangewezen personen of instanties die publieke taken uitvoeren als bedoeld in artikel 41a, tweede lid, van de Wegenverkeerswet 1994, zoals curatoren en bewindvoerders gaat de RDW voorafgaande aan de verstrekking na of er inderdaad sprake is van een overheidsorgaan of een aangewezen persoon of instantie. Na de gegevensverstrekking houdt de RDW geen toezicht op het gebruik van de gegevens. Het overheidsorgaan of de aangewezen persoon of instantie met een publieke taak is zelf verantwoordelijk voor het juiste gebruik.
Ten aanzien van verstrekkingen aan beroepsbeoefenaren is in de Wegenverkeerswet 1994 vastgelegd aan welke beroepsbeoefenaren en voor welk doel de RDW persoonsgegevens mag verstrekken. Het gaat dan om door de Minister van IenW aangewezen beroepsbeoefenaren, zoals verzekeraars voor schadeafwikkeling, advocaten voor het voeren van gerechtelijke procedures en auto-importeurs alleen voor de uitvoering van terugroepacties. De RDW houdt toezicht op deze doelbinding. Deze organisaties moeten zelf in het kader van de Algemene verordening gegevensbescherming passende technische en organisatorische maatregelen treffen om de verkregen persoonsgegevens te beschermen. In het jaarverslag van de RDW is de lijst opgenomen van het aantal informatieverstrekkingen onderverdeeld naar categorie.2 Verstrekking kan daarnaast ook onder bepaalde voorwaarden plaatsvinden aan buitenlandse autoriteiten en internationale organisaties. Dan gaat het onder meer om met de registratie van voertuigen belaste autoriteiten en autoriteiten die zijn belast met de handhaving van verkeersregels en de opsporing van verkeersovertredingen.
De RDW heeft naar aanleiding van de berichtgeving aangifte gedaan bij de politie en deze is samen met de RDW (en het LIV) direct een onderzoek gestart. Het onderzoek moet uitwijzen waar de gegevens vandaan komen en of er sprake is van misbruik. De politie leidt dit onderzoek dat in volle gang is. Totdat de uitkomsten daarvan bekend zijn, kan ik hier geen uitspraken over doen. Ook heeft de RDW naar aanleiding van het vermoeden van RTL nieuws de Autoriteit Persoonsgegevens op de hoogte gesteld. Daarnaast hebben de directie en de raad van toezicht van de RDW besloten om een externe partij de opdracht te geven tot een onderzoek naar mogelijke extra maatregelen van de RDW om het kentekenregister nog veiliger te laten raadplegen door eigen medewerkers, andere overheidsdiensten en overige beroepsbeoefenaren. Ik heb de RDW gevraagd mij over de uitkomsten hiervan te informeren. De RDW monitort maatregelen om privacygevoelige data te beschermen tegen misbruik door onbevoegden en de processen worden ieder jaar onafhankelijk getoetst. Uiteraard worden de bevindingen uit de lopende onderzoeken benut om te bezien of, en zo ja, door wie en welke aanvullende maatregelen getroffen moeten worden.
De RDW houdt bij wanneer, aan welke organisatie en welke persoonsgegevens worden verstrekt. Voor beroepsbeoefenaren registreert de RDW in de aanvraag ook het doel (bijvoorbeeld een dossiernummer van de beroepsbeoefenaar). Conform de Algemene verordening gegevensbescherming dient elke organisatie, die persoonsgegevens raadpleegt bij de RDW, een passend beschermingsniveau te hebben, dat wil zeggen dat deze passende technische en organisatorische beveiligingsmaatregelen heeft genomen gelet op de omstandigheden die op de doorgifte van toepassing zijn. Bij het gebruik van persoonsgegevens uit het kentekenregister voor de uitoefening van de eigen publieke taken via een applicatie door medewerkers van de RDW zelf wordt op persoonsniveau gelogd wie, wanneer, voor welke taak en welk kenteken heeft bevraagd. Voor een beperkt aantal RDW-beheerders van het kentekenregister, die rechtstreeks de database kunnen bevragen, wordt gelogd door wie en wanneer de database is bevraagd. Voor deze medewerkers geldt dat zij deze bevoegdheid alleen mogen gebruiken om storingen op te lossen of moeten bijhouden in een logboek waarom zij van deze bevoegdheid gebruik hebben gemaakt. Voor het toezicht op de bevoegdheden van deze beheerders heeft de RDW organisatorische maatregelen genomen die periodiek worden gecontroleerd, bijvoorbeeld de toepassing van het breaking glass principe (bij calamiteiten of incidenten kan de beheerder alleen op aanvraag tijdelijk extra rechten ontvangen, die ook worden gelogd) of het controleren van het logboek van de beheerder waarin hij alle wijzigingen bijhoudt.
Deze zaak wordt onderzocht door de politie in samenwerking met de RDW (en het LIV). De politie leidt dit onderzoek. Afhankelijk van de bevindingen uit het lopende onderzoek, zal ik met alle betrokkenen, bezien of, en zo ja, welke stappen genomen moeten worden en of verder onderzoek noodzakelijk is.
De RDW heeft een stelsel van securitymaatregelen in werking om de systemen en het register te beveiligen. Het betreft hier maatregelen op organisatorisch, procesmatig en technisch vlak. RDW laat dit jaarlijks extern toetsen door gecertificeerde auditors en beschikt over het erkende keurmerk «Privacy-Audit-Proof» (NOREA) en ISO 27001 certificering voor zijn systemen. Als uit een dergelijke toets blijkt dat aanvullende beveiliging nodig of gewenst is, dan neemt de RDW passende maatregelen. Niet alle risico’s zijn echter uit te sluiten. Afhankelijk van de bevindingen uit het lopende onderzoek zal met alle betrokkenen worden bezien of, en zo ja, welke maatregelen getroffen moeten worden en of verder onderzoek noodzakelijk is.
De RDW monitort maatregelen om privacygevoelige data te beschermen tegen misbruik door onbevoegden en de processen worden ieder jaar onafhankelijk getoetst. Uiteraard worden de bevindingen uit de lopende onderzoeken benut om te bezien of, en zo ja, door wie en welke aanvullende maatregelen getroffen moeten worden.
Ja.