Nog geen oplossing voor datalek medische gegevens bij het CBR 

Er is nog geen oplossing voor het lekken van medische gegevens bij het CBR. Tot nu toe is het 76 keer voorgekomen dat medische gegevens van een klant zichtbaar waren in het dossier van een andere klant. Deze lekken zijn verholpen en de desbetreffende klanten zijn geïnformeerd, maar het kan zomaar opnieuw gebeuren. “De betreffende activiteiten zijn in uitvoering”, schrijft minister Cora van Nieuwenhuizen in een antwoord op Kamervragen over de kwestie. 

De eerste keer dat er medische gegevens zichtbaar waren in het verkeerde dossier was op 24 januari 2018. Daarna gebeurde dit nog 76 keer. In sommige gevallen werd de misser opgemerkt door de klant, andere keren ontdekte het CBR zelf de fout. Van deze datalekken is steeds melding gedaan bij de Autoriteit Persoonsgegevens (AP). 

De AP hanteert de volgende definitie van een datalek: ‘als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben.’ Als dat wel gebeurt, dan moet daarvan melding worden gedaan. Het niet melden van een datalek vormt een overtreding van de AVG. De toezichthouder, in Nederland de AP, kan in dat geval een boete opleggen van maximaal 10 miljoen euro of 2 procent van de jaarlijkse omzet. De melding bij de toezichthouder moet in principe binnen 72 uur na ontdekking plaatsvinden.

Niet uitgesloten 

De minister is op 8 augustus 2019 door het CBR over de datalekken op de hoogte gesteld,  nadat een journalist hier vragen over stelde. Het blunderen met medische gegevens was voor Kamerleden De Pater-Postma (CDA), Omtzigt (CDA), Van der Graaf (ChristenUnie), Schonis (D66) en Dijkstra (VVD) aanleiding om minister Cora van Nieuwenhoven aan de tand te voelen. Uit het antwoord van de minister van Infrastructuur en Waterstaat blijkt dat het lek nog niet gedicht is. De individuele gevallen zijn opgelost en de desbetreffende klanten zijn ingelicht. Het is echter niet uitgesloten dat het nogmaals gebeurt. 

“Het CBR heeft een plan van aanpak opgesteld om de risico’s aan te pakken die uit de uitgevoerde privacy impact assessment van de bedrijfskritische ICT-systemen zijn gekomen. De betreffende activiteiten zijn in uitvoering”, schrijft de bewindsvrouw. Ook geeft ze aan dat ze steeds over de voortgang hiervan geïnformeerd wordt door het CBR. 

Rapportage 

Het CBR rapporteert maandelijks een stand van zaken aan de minister vanwege verscherpt toezicht naar aanleiding van de lange wachttijden. Dat rapport wordt met de Kamer gedeeld. In het rapport worden vanaf nu ook datalekken meegenomen.  

Lees ook: 

Auteur: Rieneke Kok

Rieneke Kok is journalist voor RijschoolPro

Reageer ook

Nog maximaal tekens

Log in via een van de volgende social media partners om je reactie achter te laten.