Het Nationaal Cyber Security Centrum (NCSC) heeft zonder wettelijke grondslag informatie met de Verenigde Staten, het Verenigd Koninkrijk, Canada en Japan gedeeld, wat tot een datalek heeft geleid dat bij de Autoriteit Persoonsgegevens is gemeld. Minister Van Weel van Justitie en Veiligheid zegt in een brief aan de Tweede Kamer maatregelen te hebben genomen om dit in de toekomst te voorkomen. De informatie ging over besmette FortiGate-systemen waar volgens de minister een Chinese statelijke actor toegang tot had gekregen voor spionagedoeleinden.
De informatie werd ook met de vier genoemde landen gedeeld, terwijl het NCSC hier geen wettelijke grondslag voor heeft. "De ernst van de Chinese cyberspionagecampagne is de reden geweest dat het NCSC over is gegaan tot het delen van informatie met de relevante organisaties. Deze keuze om informatie te delen bleek naderhand zonder grondslag te zijn", legt de minister uit. Het NCSC mag wettelijk gezien informatie delen met vitale organisaties en de overheid in Nederland. Daarnaast mag er informatiedeling plaatsvinden met CSIRTs van EU-lidstaten en inlichtingen- en veiligheidsdiensten.
"In deze casus betroffen de ip-adressen, die met de computercrisisteams in niet EU-landen zijn gedeeld, vertrouwelijke tot aanbieders herleidbare gegevens. Een ip-adres is een herleidbaar gegeven omdat het mogelijk is, via openbare informatie, te herleiden welke organisatie hieraan verbonden is. In dit geval is de informatie tevens vertrouwelijk omdat het informatie betreft over een incident. Daarnaast kan niet worden uitgesloten dat ook ip-adressen tot personen te herleiden zijn", legt de minister uit.
Omdat er niet kan worden uitgesloten dat er door deze situatie persoonsgegevens zijn gelekt, is erbij de Autoriteit Persoonsgegevens melding van een datalek gedaan. Naar aanleiding van het geval zijn er volgens de minister binnen het NCSC extra maatregelen genomen om ervoor te zorgen dat voortaan de juiste procedures worden gevolgd. Ook gaat het NCSC een opleidingstraject starten om de kennis van het handelings- en begrippenkader rondom informatiedeling op peil te houden (pdf).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.