De uitkomsten van het onderzoek naar het datalek bij het Donorregister, laten nog wat langer op zich wachten. Het onderzoek neemt meer tijd in beslag, omdat het omvangrijker is dan gedacht. De onderzoekers van Audit Rijk Dienst (ADR) verwachten half december hun werkzaamheden af te ronden. Begin 2021 reageert het kabinet inhoudelijk op de bevindingen.
Dat schrijft Tamara van Ark, minister voor Medische Zorg en Sport, in een brief aan de Tweede Kamer.
Twee externe harde schijven met 6,9 miljoen donorformulieren kwijtgeraakt
Het Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG) kwam er in maart achter dat er twee externe harde schijven zoek waren. Ze hadden in een kluis moeten liggen, maar daar lagen ze niet. Op de schijven stonden 6,9 miljoen formulieren van ruim 6 miljoen Nederlanders die zich tussen 1998 en 2010 hadden geregistreerd in het Donorregister, of een wijziging in hun dossier hadden aangebracht.
Toen na een eerste zoektocht de harde schijven niet werden gevonden, sloeg het CIBG alarm. Begin maart informeerde de algemeen directeur van de instantie het ministerie van Volksgezondheid, Welzijn en Sport (VWS) over het datalek. Ook de Autoriteit Persoonsgegevens werd hiervan op de hoogte gesteld. Op 10 maart lichtte minister Hugo de Jonge van VWS de Tweede Kamer in over het voorval.
Verhuizingen zijn wellicht de boosdoener voor kwijtraken van de harde schijven
‘Hoe heeft dit kunnen gebeuren?’, zo vroeg D66-politici Pia Dijkstra zich af. Ze stelde diverse schriftelijke vragen aan minister De Jonge om meer duidelijkheid over de zaak te krijgen. Uit de antwoorden van de minister bleek dat het waarschijnlijk mis is gegaan door een aantal verhuizingen. In februari 2016 verhuisde het CIBG van Kerkrade naar Heerlen. Bij deze verhuizing bleef de kluis waar de harde schijven lagen achter in het pand. De inhoud van de kluis werd echter wel meegenomen naar Heerlen, alwaar de harde schijven in een andere kluis werden geplaatst.
In mei 2018 verhuisde het CIBG opnieuw, maar ditmaal binnen hetzelfde pand. Bij deze interne verhuizing lijkt het te zijn misgegaan. De kluis verhuisde namelijk niet mee naar de nieuwe kantoren. Of dat ook geldt voor de inhoud van de kluis is op dit moment nog onduidelijk.
ADR-rapport later afgerond dan vooraf gedacht
Minister De Jonge vertelde in maart aan de Tweede Kamer dat de Audit Dienst Rijk (ADR) de onderste steen zou bovenhalen. In het onderzoek gaat de dienst onder meer in op de vraag welke beveiligingsprotocollen in werking waren bij het CIBG en of deze zijn nageleefd door de medewerkers. Ook geeft de ADR antwoord op de vraag welke rol en verantwoordelijkheid de Chief Information Officer (CIO) en Chief Information Security Officer (CISO) in deze kwestie speelden. Tot slot wordt de gehele informatiebeveiliging van het Donorregister tegen het licht gehouden.
Minister De Jonge beloofde dat het rapport van de ADR in oktober klaar zou zijn en met de Tweede Kamer gedeeld zou worden. Deze deadline is niet gehaald. Momenteel heeft De Jonge zijn handen vol heeft aan het bestrijden van het coronavirus. Daarom heeft hij het stokje overgedragen aan zijn collega minister Van Ark voor Medische Zorg en Sport om de kwestie af te handelen.
Zij schrijft in een brief aan de Tweede Kamer dat het definitieve rapport naar verwachting half december wordt opgeleverd. “Dit onderzoek was omvangrijker dan tevoren verwacht. Zorgvuldige uitvoering van dit onderzoek en de daarbij benodigde afstemming tussen de ADR en CIBG hebben meer tijd gevraagd”, zo schrijft minister Van Ark. Ze belooft de Kamerleden dat ze “naar verwachting” begin 2021 het rapport toestuurt aan de Tweede Kamer, inclusief haar inhoudelijke reactie.
Geen aanwijzingen dat privégegevens in de verkeerde handen zijn beland
In haar brief schrijft Van Ark dat ze het “vervelend” vindt dat ze allemaal zolang duurt. Maar grondigheid en zorgvuldigheid zijn volgens haar belangrijk. “Net als de minister van VWS, vind ik het belangrijk dat duidelijk wordt hoe het datalek heeft kunnen gebeuren. Zo kan ervoor gezorgd worden dat zoiets niet nog een keer kan gebeuren en juist nu de nieuwe Donorwet is ingevoerd [sinds 1 juli 2020, red.], is dat vertrouwen essentieel.”
De minister benadrukt dat er geen aanwijzingen zijn dat persoonlijke gegevens van Nederlanders in de verkeerde handen zijn gevallen. Dat is een hele geruststelling: op de schijven stonden tal van privacygevoelige gegevens als voor- en achternaam, geboortedatum, adresgegevens, geslacht, donorkeuze en burgerservicenummer (BSN). Cybercriminelen en oplichters vissen voortdurend naar dit soort gegevens om identiteitsfraude mee te plegen. En om het nog erger te maken: mogelijk waren deze gegevens niet beveiligd.Zoals gezegd verwacht minister Van Ark de Tweede Kamer aankomend voorjaar te informeren over het datalek en de informatiebeveiliging van het donorregister.
