Juist bij de Autoriteit Persoonsgegevens (AP), de toezichthouder die in Nederland waakt over de bescherming van persoonsgegevens, is een datalek aan het licht gekomen. Door het incident zijn werkgerelateerde gegevens van medewerkers van zowel de AP als de Raad voor de rechtspraak ingezien door onbevoegden. Dat melden de demissionaire staatssecretarissen Arno Rutte van Justitie en Veiligheid en Eddie van Marum van Binnenlandse Zaken in een Kamerbrief.

Volgens de bewindslieden gaat het, voor zover nu bekend, om zakelijke gegevens zoals namen, zakelijke e-mailadressen en telefoonnummers. Hoeveel medewerkers precies zijn getroffen, is niet gespecificeerd. Wel is duidelijk dat het om een omvangrijk incident gaat. Bij de rechtbanken zouden de gegevens van ruim 12.000 medewerkers openbaar zijn geworden. Het betreft onder meer rechters en griffiers. Functietitels of privé-adresgegevens zijn daarbij niet gelekt, benadrukt de Raad voor de rechtspraak.
Het incident is extra gevoelig omdat de AP juist toezicht houdt op de naleving van privacywetgeving en organisaties aanspreekt op datalekken. Een woordvoerder van de AP spreekt van een “heel aparte situatie” en bevestigt dat de toezichthouder een datalekmelding bij zichzelf heeft moeten doen. De Raad voor de rechtspraak meldde het lek bij de AP, waarna de AP het eigen incident formeel heeft gemeld bij de functionaris gegevensbescherming binnen de organisatie.

Direct merkbaar

De gevolgen van het datalek zijn direct merkbaar voor medewerkers. Uit voorzorg is de toegang tot zakelijke e-mail via mobiele apps tijdelijk geblokkeerd. Medewerkers kunnen daardoor voorlopig niet via hun smartphone bij hun mail. Er wordt gewerkt met een alternatieve oplossing, maar het kan volgens de Raad voor de rechtspraak zeker twee weken duren voordat iedereen weer op de gebruikelijke manier mobiel kan werken. De maatregel is genomen om verdere risico’s te beperken en de veiligheid van systemen te waarborgen.
Uit de Kamerbrief blijkt dat het lek is ontstaan door misbruik van een kwetsbaarheid in Ivanti Endpoint Manager Mobile. Deze software wordt gebruikt voor het beheer en de beveiliging van mobiele apparaten, applicaties en gegevens. Het Nationaal Cyber Security Centrum is vorige week geïnformeerd over de kwetsbaarheid. Ivanti-software is bij meerdere overheidsorganisaties en bedrijven in gebruik, wat de impact van het probleem potentieel groot maakt.

Mogelijk meer organisaties getroffen

De staatssecretarissen sluiten dan ook niet uit dat meer organisaties slachtoffer zijn geworden van hetzelfde beveiligingslek. In de brief staat dat in ieder geval de AP en de Raad voor de rechtspraak zijn getroffen, wat erop wijst dat het onderzoek nog loopt en de volledige omvang mogelijk groter is.
Het incident onderstreept opnieuw hoe kwetsbaar digitale infrastructuren zijn, ook bij organisaties die dagelijks met gevoelige informatie werken en geacht worden hoge beveiligingsstandaarden te hanteren. Voor de Autoriteit Persoonsgegevens is het datalek extra pijnlijk, omdat het de discussie over digitale weerbaarheid, toezicht en voorbeeldgedrag binnen de overheid verder zal aanwakkeren.