ONLEESBAAR GEMAAKT
Per e-mail: ONLEESBAAR GEMAAKT

Behandelaar ONLEESBAAR GEMAAKT
Telefoon ONLEESBAAR GEMAAKT
Datum 10juni 2024
Bijlage(n) 3
Onderwerp Besluit op uw Woo-verzoek om informatie met betrekking tot datalekken
ONLEESBAAR GEMAAKT

Uw verzoek
Per e-mail van 30 maart 2024, door mij op die datum ontvangen, diende u een verzoek in als bedoeld in artikel 4.1 , eerste lid van de Wet open overheid (verder: de Woo). In uw verzoek vraagt u het Schadefonds Geweldsmisdrijven (verder: het Schadefonds) om informatie openbaar te maken die ziet op datalekken.
U vraagt het Schadefonds om de volgende informatie openbaar te maken:
1 . Alle in documenten vastgelegde communicatie over concrete gevallen van (vermeende) datalekken die zich in de periode van 1 januari 2020 tot en met 31 december 2021 bij het Schadefonds hebben voorgedaan. Als voorbeelden noemt u: een e-mail van een medewerker waarin melding wordt gemaakt van een (vermeend) datalek, notulen van overleggen waarin (vermeende) datalekken worden besproken, een melding aan de Autoriteit Persoonsgegevens, een terugkoppeling van de Autoriteit Persoonsgegevens, een melding naar de persoon waarop het datalek ziet, een extern advies over een concreet (vermeend) datalek, het datalekregister, et cetera;
2. Documenten met betrekking tot procedures en beleid ten aanzien van datalekken;
3. Audits ter voorkoming van datalekken.
U geeft daarbij aan dat de openbaar te maken documenten een ieder inzicht dienen te geven in de wijze waarop het Schadefonds omgaat met datalekken. Persoonsgegevens en technische o wetenwaardigheden, die kwaadwillenden in staat stellen schade aan te brengen aan systemen van het Schadefonds, mogen worden weggelakt.
U verzoekt het Schadefonds om de informatie digitaal openbaar te maken.

Contact met u
In uw verzoek gaf u aan enkel per e-mail contact te willen hebben met het Schadefonds.
Op 4 april 2024 verzocht de betrokken Woo-functionaris u per e-mail om informatie over de achtergrond van uw verzoek. Hierop ontving zij van u geen reactie.
Op 12 april 2024 ontving u van de Woo-functionaris bericht dat uw verzoek in goede orde is ontvangen. Daarbij is medegedeeld dat u in beginsel op uiterlijk 29 april 2024 een antwoord zou ontvangen op uw verzoek en dat u bericht zou krijgen als er meer tijd nodig zou zijn om uw verzoek af te handelen. De Woo-functionaris gaf ook aan dat zij uw verzoek graag telefonisch met u zou bespreken, om uw verzoek beter afte kunnen bakenen en om van u te horen wat uw wensen zijn. Op 12 april 2024 ontving de Woo-functionaris van u een bericht. U gaf aan enkel contact per e-mail te willen. Eventuele vragen wilde u per e-mail ontvangen en deze zou u dan beantwoorden. Op 16 april 2024 stuurde de Woo-functionaris u een e-mail waarin zij u nog eens vroeg naar de achtergrond van uw verzoek. Daarop ontving zij van u geen antwoord.

Op 26 april 2024 stuurde de Woo-functionaris u een e-mail, waarin zij u liet weten dat de beoordeling van uw verzoek meer tijd in beslag nam dan vier weken, omdat uw verzoek te complex bleek om daar binnen vier weken inhoudelijk op te reageren. Er waren twee weken extra nodig om uw verzoek te behandelen. De beslistermijn werd verlengd, onder verwijzing naar artikel 4.4, tweede lid van de Woo. De Woo-functionaris liet u weten dat het streven erop gericht was om u uiterlijk op 13 mei 2024 een antwoord op uw verzoek toe te sturen. Op 13 mei 2024 stuurde de Woo-functionaris u een e-mail, waarin zij u liet weten dat de beoordeling van uw verzoek helaas nog extra tijd zou vergen en dat het streven erop gericht was u in de week daarna het antwoord op uw verzoek toe te sturen. Op 3 juni 2024 stuurde de Woo-functionaris u een e-mail waarin zij u liet weten dat de afhandeling van uw Wooverzoek helaas nog iets langer duurde, maar dat het zich wel in de afrondende fase bevond. Zij liet u weten dat u het besluit en de beantwoording van uw vragen op korte termijn kon verwachten.

Wettelijk kader
lk behandel uw verzoek als een verzoek op grond van de Wet open overheid (Woo). De relevante artikelen uit de Woo kunt u vinden in bijlage 1 bij deze brief.

Inventarisatie documenten
Op basis van uw verzoek is een zoekslag gemaakt in de digitale systemen van het Schadefonds. Daarbij is gebruik gemaakt van de zoektermen ‘datalek’ en ‘datalekken’.
Bij deze inventarisatie zijn verschillende documenten aangetroffen.
Deze documenten zijn genoemd in de inventarislijst in bijlage 2 bij deze brief. In deze brief wordt vanaf nu verwezen naar de nummers op de inventarislijst, zodat voor u duidelijk is wat ik per document heb besloten en waarom ik dit heb besloten.

Informatie die valt buiten de reikwijdte van uw verzoek
U heeft in uw verzoek aangegeven over welke aangelegenheid u informatie wilt ontvangen. Een aantal documenten gaat gedeeltelijk niet over de door u aangegeven aangelegenheid. Indien van toepassing dan is dit vermeld op de inventarislijst. Deze informatie valt daarom buiten de reikwijdte van uw verzoek en die heb ik dan ook uit de documenten verwijderd.

Besluit
lk besluit documenten 1 en 3 volledig openbaar te maken. Documenten 2 en 4 tot en met 31 maak ik gedeeltelijk openbaar.
lk licht mijn besluit hierna toe.

Overwegingen
Iedereen heeft het recht om overheidsinformatie op te vragen, zonder dat daarbij een reden opgegeven behoeft te worden. Dit staat in artikel 1 .1 van de Woo. Daarbij is het uitgangspunt dat overheidsinformatie openbaar is, tenzij er uitzonderingsgronden zijn die de openbaarheid beperken. De uitzonderingsgronden worden genoemd in hoofdstuk 5 van de Woo. In artikel 5.1 lid 1 zijn de absolute uitzonderingsgronden vermeld en in lid 2 de relatieve. In het geval van de relatieve uitzonderingsgronden moet het bestuursorgaan het door de uitzonderingsgrond beschermde belang afwegen tegen het algemene belang bij openbaarheid. Voor een belangenafweging is geen plaats in het geval van absolute uitzonderingsgronden. Verder geldt in het algemeen de regel dat de informatie die ik aan u verstrek, openbaar is voor iedereen.

Bijzondere persoonsgegevens (artikel 5.1. eerste lid, aanhef en onder d van de WOO)

Op grond van artikel 5.1, eerste lid, aanhef en onder d, van de Woo blijft verstrekking van informatie achterwege voor zover het bijzondere persoonsgegevens betreft. Bijzondere persoonsgegevens zijn gegevens over iemands ras of etnische afkomst, politieke opvattingen, religie of levensovertuiging, seksuele gerichtheid, gezondheid, genetische gegevens, biometrische gegevens en lidmaatschap van een vakbond.

Documenten 29 en 31 bevatten informatie over de gezondheidssituatie van een bij een datalek betrokken persoon. lk maak deze informatie niet openbaar op grond van artikel 5.1, eerste lid, aanhef en onder d, van de Woo.

Eerbiediging van de persoonlijke levenssfeer (artikel 5. 1, tweede lid, aanhef en onder e. van de Woo)
In bijna alle documenten staan persoonsgegevens van medewerkers en derden. Dit betreft gegevens die herleidbaar zijn tot een persoon, zoals namen, functienamen, adressen, e-mailadressen, telefoonnummers en andere gegevens en onder e, van de Woo niet openbaar. Het gaat hierbij om persoonsgegevens van medewerkers die doorgaans niet wegens hun functie in de openbaarheid treden. Ook gaat het om persoonsgegevens van onze aanvragers en andere betrokken derden. Openbaarmaking van deze persoonsgegevens vormt een inbreuk op de persoonlijke levenssfeer van de medewerkers en van die derden. Het belang van eerbiediging van de persoonlijke levenssfeer van betrokkenen weegt daarom zwaarder dan het belang van openbaarheid.
lk merk op dat het Schadefonds aanvragen behandelt van mensen die slachtoffer werden van (heel) ernstig geweld. Daarom is grote zorgvuldigheid geboden bij het openbaar maken van informatie die ziet op onze aanvragers. Een deel van onze aanvragers is, gezien eerder opgedane nare ervaringen, extra kwetsbaar. Als één van onze aanvragers, ondanks onze zorgvuldigheid, onverhoopt betrokken raakt bij een datalek, dan kan dit door de betreffende aanvrager als zeer bezwaarlijk en belastend worden ervaren, zeker gezien de eerdere negatieve ervaringen. Om die reden heb ik bij de beoordeling van de openbaar te maken stukken gemeend extra zorgvuldig te moeten zijn, om de persoonlijke levenssfeer van de bij de datalekken betrokken aanvragers zo goed mogelijk te beschermen. lk heb er dan ook voor gekozen om niet alleen de namen en e-mailadressen van de betrokken aanvragers niet openbaar te maken, maar om ook bepaalde andere informatie die herleidbaar kan zijn tot een individuele aanvrager weg te lakken. Verder maak ik in verschillende documenten wel de jaren waarin de datalekken zich voordeden openbaar, maar niet de exacte data waarop dit gebeurde. E-mailcorrespondentie met onze aanvragers maak ik in het belang van de privacy van de betrokken aanvragers in het geheel niet openbaar.

De bescherming van andere dan in het eerste lid, onderdeel c, genoemde concurrentiegevoelige bedrijfs- en fabricagegegevens (artikel 5.1. tweede lid, aanhef_en onder f van de Woo)
In de documenten 29 en 31 staan bedrijfsgegevens van externe bedrijven. lk heb besloten deze gegevens op grond van artikel 5.1, tweede lid, aanhef en onder f, niet openbaar te maken nu dit gevoelig kan liggen bij personen betrokken bij de betreffende bedrijven. Het belang van (personen betrokken bij) die bedrijven weegt zwaarder dan het belang van openbaarheid.

De beveiliging van personen en bedrijven en het voorkomen van sabotage (artikel 5.1, tweede lid, aanhef en onder h van de Woo)
In meerdere documenten worden interne websites van het Schadefonds genoemd. lk maak deze interne websites op grond van artikel 5, tweede lid, aanhef en onder h niet openbaar, nu het belang van de beveiliging van het Schadefonds en het voorkomen van sabotage zwaarder weegt dan het belang van openbaarheid.

Het goed functioneren van de Staat, andere publiekrechtelijke lichamen of bestuursorganen (artikel 5.1, tweede lid, aanhef_en onder i van de Woo)
In meerdere documenten worden e-mailadressen van medewerkers van het Schadefonds genoemd. lk maak deze e-mailadressen op grond van artikel 5, tweede lid, aanhef en onder i niet openbaar, nu het onwenselijk is dat deze e-mailadressen algemeen bekend en voor een ieder bruikbaar worden. Dit belang weegt zwaarder dan het belang van openbaarheid.

Enkele nadere opmerkingen
De e-mails die ik openbaar maak en die vallen onder document 31, zijn allen afkomstig uit de mailbox van onze Functionaris Gegevensbescherming. In de periode 2020 tot en met 2021 kwamen in principe alle meldingen van datalekken bij de Functionaris Gegevensbescherming binnen. Vanuit die mailbox werd hierover ook intern gecommuniceerd met de betrokken medewerkers.

In de jaren 2020 en 2021 deed het Schadefonds drie keer een melding van een datalek bij de Autoriteit Persoonsgegevens. Daarop ontving het Schadefonds geen terugkoppelingen. Het Schadefonds ontving ook geen externe adviezen over concrete (vermeende) datalekken.
Het Schadefonds verricht geen specifieke audits die gericht zijn op het voorkomen van datalekken.

Wijze van openbaarmaking en publicatie
De documenten die (gedeeltelijk) openbaar worden, worden samen met deze brief digitaal aan u toegezonden.
Dit besluit en de informatie en documenten die voor iedereen openbaar worden, worden geanonimiseerd op www.schadefonds.nl gepubliceerd.

Vragen
Als u vragen heeft over de afhandeling van uw verzoek, dan kunt u contact opnemen met x behandel en bezwaar, 070 4142102, x Voor meer informatie over de Woo-procedure, kunt u kijken op www.rijksoverheid.nl
Hoogachtend,

ONLEESBAAR GEMAAKT
Directeur-secretaris Schadefonds Geweldsmisdrijven