Het Kadaster beheert miljoenen gegevens van met name Nederlanders zoals over onroerendgoed en de financiering daarvan. Op de header van de website staat: “Het Kadaster. Met recht van jou.” Ze hebben wettelijke grondslag voor het verwerken van die gegevens. Maar daarbij behoort volgens artikel 32 van de AVG ook een adequate beveiliging zowel technisch als organisatorisch.
De Autoriteit Persoonsgegevens, de waakhond zoals bedoeld in de europese verordening, is nu “in huis”.
De beveiliging van het zoeken op naam blijkt tekort geschoten. Nu de eerste maatregelen zijn genomen wordt het datalek publiekelijk gemaakt. Het gaat om een ernstig en omvangrijk datalek.
Toegang die bedoeld was voor professionele gebruikers van de data kon worden verkregen met een willekeurig opgegeven bestaand KVK-nummer en naam.
Wat opvalt in de berichtgeving is de ruime omschrijving van de zogenaamde professionele gebruikers. Genoemd worden makelaars, advocaten, notarissen, journalisten en deurwaarders. En uit eigen kennis weet ik dat het ook geldt voor financiers van onroerend goed, misschien wel voor alle banken. Op hoeveel kantoren in Nederland hebben hoeveel personen van die kantoren toegang tot deze gegevens?
Wat tevens opvalt is dat het Kadaster kennelijk niet weet hoeveel gebruik is gemaakt van die mogelijkheden. Zouden ze wel zicht hebben op het gebruik van de toegang van wél professionele kantoren?
Zouden de gegevens van jou en mij veilig zijn na herstellen van het datalek?
Misschien moet de AP ook richtlijnen uitwerken hoe dat moet worden gelogd én hoe en door wie daarop wordt geaudit.