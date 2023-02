Politieke partijen mogen persoonsgegevens van oud-leden bewaren zolang dit niet langer gebeurt dan waarvoor de gegevens zijn verzameld en de bewaartermijn onderbouwd is. Dat stelt minister Bruins Slot van Binnenlandse Zaken in een reactie op Kamervragen over het datalek bij Forum voor Democratie (FVD). De minister zegt niet te kunnen oordelen of FVD in het geval van het datalek zich aan de regelgeving heeft gehouden, aangezien dit aan de Autoriteit Persoonsgegevens is.

Eind vorig jaar werd bekend dat het mogelijk was om via de ForumApp toegang een FVD-database te krijgen met daarin de gegevens van 92.000 huidige en voormalige leden. De API (application programming interface) waarmee de ForumApp met de backend communiceerde bleek niet te controleren wie welke gegevens opvroeg en of diegene daar wel voor was geautoriseerd, zo bleek uit berichtgeving van RTL Nieuws. Een 42-jarige man die op de ledendatabase zou hebben ingebroken meldde zich begin december bij de politie.

Het datalek was aanleiding voor D66-Kamerlid Dekker-Abdulaziz om Kamervragen te stellen. Ze wilde onder andere van de minister weten of die het "extra kwalijk" vond wanneer politieke partijen gegevens van oud-leden bewaren en hoe het bewaren van persoonsgegevens van oud-leden zich verhoudt tot de AVG. Volgens Bruins Slot mogen politieke partijen persoonsgegevens van leden en oud-leden verwerken.

"Dit is soms ook noodzakelijk. Zo vereist artikel 20 van de Wet financiering politieke partijen (Wfpp) van een politieke partij dat zij 10 jaar lang een administratie bewaart die een betrouwbaar beeld geeft van de financiële positie. Hieronder vallen ook ontvangen bijdragen - bijvoorbeeld giften of contributies - boven het wettelijke drempelbedrag, ook als deze van oud-leden zijn", legt de minister uit.

Ze voegt toe dat politieke partijen wel "passende waarborgen" moeten nemen om de persoonsgegevens te beschermen. Zo mogen de gegevens niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor ze zijn verzameld en moeten de bewaartermijnen zijn onderbouwd en vastgelegd in het verwerkingsregister. "Het is uiteindelijk aan de Autoriteit Persoonsgegevens om te bepalen of een organisatie wel of niet volgens de geldende privacy wetgeving handelt", gaat de minister verder.

Dekker-Abdulaziz vroeg tevens of de Autoriteit Persoonsgegevens een onderzoek naar het datalek heeft ingesteld en wanneer de resultaten daarvan zijn te verwachten. De minister heeft dit aan de toezichthouder gevraagd, maar die liet weten dat het in het kader van een eventueel onderzoek geen uitspraken over individuele meldingen en zaken wil doen.