Kamervraag 2021Z20680

Dat een Amerikaanse spion Booking.com heeft gehackt en dit niet is gemeld

Ingediend 17 november 2021
Beantwoord 6 januari 2022 (na 50 dagen)
Indiener Renske Leijten
Beantwoord door Kajsa Ollongren (viceminister-president , minister binnenlandse zaken en koninkrijksrelaties) (D66)
Onderwerpen criminaliteit openbare orde en veiligheid staatsveiligheid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2021Z20680.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20212022-1278.html
  • Vraag 1
    Klopt het dat gedupeerde klanten van Booking.com, wiens gegevens zijn gestolen, op de hoogte gebracht hadden moeten worden van dit datalek?1

    Of een datalek moet worden gemeld, hangt af van het wettelijke kader. Volgens de berichtgeving speelde het datalek zich af in 2016 en zou daarmee onder de Wet bescherming persoonsgegevens (hierna: Wbp) vallen.
    Per 1 januari 2016 is de meldplicht datalekken, zoals volgt uit artikel 34a Wbp, van kracht geworden. Op grond van lid 2 van dit artikel is een verantwoordelijke verplicht om de betrokkenen bij een inbreuk op de beveiliging op de hoogte te brengen, wanneer de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer. Artikel 43 Wbp biedt een overzicht van de uitzonderingen op deze verplichting. De Wbp is op 25 mei 2018 komen te vervallen. Op deze datum is de Algemene verordening gegevensbescherming (AVG) in werking getreden.
    De Autoriteit Persoonsgegevens (AP) heeft laten weten over dit specifieke geval geen verdere informatie te kunnen geven. Het is niet aan mij om over het in de vraag genoemde mogelijke datalek een oordeel te geven, nu dit bij uitstek toekomt aan de toezichthouder.

  • Vraag 2
    Waarom heeft de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) de Autoriteit Persoonsgegevens niet op de hoogte gesteld, als zij hebben geholpen de hacker te vinden?

    Ik kan in het openbaar niet ingaan op concrete vragen over het handelen van de AIVD.

  • Vraag 3
    Hoe vaak hebben Amerikaanse autoriteiten geprobeerd om bedrijven te hacken die gevestigd zijn in Nederland?

    De AIVD en de MIVD stellen een onderzoek in indien aanwijzingen bestaan dat Nederlandse of in Nederland gevestigde bedrijven zijn gehackt door statelijke actoren. Over het actuele kennisniveau van de inlichtingen- en veiligheidsdiensten kunnen in het openbaar geen mededelingen worden gedaan.

  • Vraag 4
    Is de AIVD volgens u voldoende toegerust om dit soort spionage tegen te gaan?

    De genoemde berichtgeving geeft onvoldoende duidelijkheid of in deze casus sprake is geweest van spionage. In het algemeen geldt dat de AIVD Nederland beschermt door (ongeziene) dreigingen tegen de nationale veiligheid te onderzoeken. Dat geldt onder meer voor digitale spionage. Als de AIVD dreigingen ontdekt binnen of buiten Nederland, waarschuwt de dienst (overheids-)partners die daartegen kunnen optreden.

  • Vraag 5
    In hoeverre staat Booking.com onder verscherpt toezicht nu zij vaker datalekken niet hebben gemeld?

    Desgevraagd heeft de AP laten weten op dit moment nog niets te kunnen zeggen over eventuele vervolgstappen met betrekking tot de veronderstelde inbreuk op de beveiliging bij Booking.com

  • Mededeling - 9 december 2021

    De vragen van het lid Leijten (SP) over het bericht dat een Amerikaanse spion Booking.com heeft gehackt en dit niet is gemeld, ingezonden op 17 november 2021 met kenmerk 2021Z20680, kunnen niet binnen de gestelde termijn van drie weken worden beantwoord. De reden van het uitstel is dat afstemming ten behoeve van de beantwoording van de vragen meer tijd kost. Ik zal u zo spoedig mogelijk de beantwoording doen toekomen.


Kamervraag document nummer: kv-tk-2021Z20680
Volledige titel: Dat een Amerikaanse spion Booking.com heeft gehackt en dit niet is gemeld
Kamerantwoord document nummer: ah-tk-20212022-1278
Volledige titel: Antwoord op vragen van het lid Leijten over dat een Amerikaanse spion Booking.com heeft gehackt en dit niet is gemeld