Door een hack bij een IT-toeleverancier zijn persoonsgegevens van Tweede en Eerste Kamerleden en andere houders van Rijkspassen, de chipkaarten die toegang geven tot het parlementsgebouw, in handen gevallen van criminelen. Het gaat voor zover bekend om gegevens van bijna 3500 mensen die gebruikmaken van de Rijkspas, schrijft staatssecretaris Alexandra van Huffelen (Digitalisering) in een brief aan de Tweede Kamer. Ze stuurde die na een bericht van de Volkskrant over de hack.
De gelekte data betreffen de gegevens die nodig zijn om een Rijkspas aan te maken zoals naam, geboortedatum, geslacht, pasfoto en Rijkspasnummer. Van Huffelen zegt dat het niet mogelijk is met alleen deze gegevens een pas te maken die daadwerkelijk toegang verschaft tot het gebouw. Er zijn geen adresgegevens of bankrekeningnummers buitgemaakt.
Van Huffelen meldt dat ID-ware, dat applicatiebeheer uitvoert voor de Rijksoverheid, heeft gemeld dat er op 21 september een aanval plaatsvond op zijn systemen. Het was een aanval met ransomware, waarbij bestanden worden versleuteld die pas weer beschikbaar komen als er bijvoorbeeld losgeld is betaald. Het bedrijf gaf volgens de staatssecretaris aan dat er "een grote hoeveelheid bestanden naar buiten is gebracht" maar dat de schade snel hersteld kon worden. Zelf is ze afgelopen maandag op de hoogte gesteld van de kwestie.
Uit onderzoek bleek dat de databaseservers die gebruikt worden bij de uitgifte van passen, niet geraakt zijn door de aanval, schrijft Van Huffelen. Het is nog niet duidelijk of er gegevens van Rijkspasgebruikers op de servers staan, die wel zijn geraakt bij de aanval. Er lopen nog onderzoeken. Het kan ook nog zo zijn dat er andere gegevens zijn gelekt van de pasgebruikers, aldus Van Huffelen. Volgens haar is het lek nu wel gedicht.
Ze denkt dat de gelekte gegevens een beperkte impact zullen hebben op de betrokkenen. Het kan gaan om phishing, waarbij criminelen hengelen naar informatie. "Niettemin betreur ik dit incident zeer, evenals de mogelijke gevolgen voor betrokken personen", schrijft de staatssecretaris. De personen van wie vaststaat dat de gegevens zijn gelekt, zijn of worden ingelicht over de kwestie.
Het is niet duidelijk van welke pasgebruikers de gegevens zijn gestolen. Het gaat volgens Van Huffelen om gebruikers over de hele linie, zei ze na afloop van de ministerraad. Het gaat onder meer om medewerkers van de Belastingdienst, maar het kunnen ook journalisten zijn. Ze weet ook niet hoeveel Rijkspassen er in gebruik zijn.
Het bedrijf, de Eerste en Tweede Kamer hebben een melding gedaan bij de Autoriteit Persoonsgegevens (AP) en er is aangifte gedaan bij de politie.