Het ernstige datalek bij het Kadaster heeft opnieuw de discussies over cybersecurity en gegevensbescherming doen oplaaien. Het incident, waarbij tijdelijk miljoenen namen en woonadressen oneigenlijk zichtbaar waren, is een wake-upcall voor alle organisaties die grote hoeveelheden gevoelige informatie beheren.
Overzicht van het lek
Van 18 september tot en met 11 oktober 2022 waren geheime woonadressen zichtbaar via het Kadaster, een openbaar register van onroerende zaken. Maar hoe vond deze datalek plaats? Wooneigenaren kunnen ervoor kiezen hun adres af te schermen voor onbevoegden via het Basisregistratie Personen (BRP). Na een update van het Kadastersysteem werd de koppeling met de Basisregistratie Personen niet juist gelegd, waardoor zakelijke klanten met een KvK-nummer de persoonlijke gegevens van miljoenen burgers konden opvragen – inclusief de geheime adressen. Het feit dat dit incident een cruciale instelling met grote hoeveelheden persoonlijke gegevens trof, zorgde voor veel publieke ophef en kamervragen over hoe dit kon gebeuren. Het Kadaster heeft ondertussen al tientallen schadeclaims ontvangen wegens de lek.
De dreiging van publieke datalekken
De datalek bij het Kadaster heeft voor veel ophef gezorgd onder het publiek. Als Nederlandse burger kun je namelijk weinig doen om je persoonlijke gegevens tegen zulke onkunde te beschermen. Met een eenvoudige VPN download is je online activiteit en persoonlijke data beschermd tegen hackers en online fraude, maar over publieke registers met gevoelige informatie heb je als individu geen controle. Omdat data werd gelekt van geheime adressen, vormde dit een serieuze bedreiging voor de veiligheid van bepaalde personen. Bedreigde politici, journalisten en personen die worden gestalkt, liepen door dit datalek het risico dat onbevoegde personen ineens voor hun deur stonden.
Zo wil het Kadaster toekomstige datalekken voorkomen
Na de kamervragen en grondig onderzoek kondigde het Kadaster aan vier maatregelen te nemen om toekomstige datalekken te voorkomen.
- Beperking van ‘zoeken op naam’.
De ‘zoeken op naam’-functie is straks alleen nog beschikbaar voor specifieke beroepsgroepen, zoals notarissen en makelaars. Andere gebruikers kunnen wel nog toegang aanvragen, maar dit wordt strenger beoordeeld. - Uitbreiding privacybescherming
De mogelijkheid om persoonsgegevens af te schermen wordt uitgebreid, vooral voor mensen die worden bedreigd en voor beroepsgroepen als journalisten en advocaten. - Verplicht gebruik eHerkenning
Vanaf 2024 wordt het eHerkenning systeem verplicht bij het inloggen op Kadaster, wat de veiligheid en betrouwbaarheid van het platform aanzienlijk moet verhogen. - Verbeterde registratie
Het Kadaster is van plan het huidige inlogsysteem te verbeteren om meer inzicht te krijgen in wie de registers raadplegen.
De door het Kadaster voorgestelde maatregelen worden genomen om de openbaarheid van de gegevens te handhaven en tegelijkertijd het risico op datalekken te voorkomen.
Conclusie: betere informatiebeveiliging
Het datalek van het Kadaster is een typisch voorbeeld van onvoldoende preventieve maatregelen en technische onbekwaamheid. De instantie heeft een uitgebreid proces van vier maatregelen voorgesteld om de privacy te versterken, zoekfunctie te verbeteren, registratie te verbeteren en de toegang tot gevoelige informatie strenger te controleren. Dergelijke maatregelen kunnen helpen om het risico op toekomstige datalekken aanzienlijk te verminderen. Het datalek bij het Kadaster is een waarschuwing voor andere publieke instanties. Het is een pijnlijke herinnering dat de persoonsgegevens van Nederlandse burgers kwetsbaar zijn zolang de registers waarin deze zijn verwerkt niet goed beveiligd zijn. En hoewel externe cyberaanvallen een reële dreiging zijn, is het minstens even belangrijk om de IT-systemen waarin dergelijke registers worden opgeslagen te beschermen tegen misbruik vanwege designfouten.
