De Autoriteit Persoonsgegevens (AP) heeft Zuid-Holland onder ‘geïntensiveerd toezicht’ geplaatst. De toezichthouder maakt zich zorgen over de bescherming van persoonsgegevens en hoe de provincie omgaat met deze gevoelige data. De provincie ziet het verscherpte toezicht als een kans om de transitie van de informatiehuishouding te versnellen.
Dat schrijft de provincie Zuid-Holland in een persverklaring.
Provincie verwacht ondanks datalek ‘weinig tot geen gevolgen’ voor burgers en bedrijven
Een datalek dat in september 2023 plaatsvond is de concrete aanleiding om het provinciale bestuur onder verscherpt toezicht te plaatsen. Het team Privacy en Informatieveiligheid constateerde dat te veel provinciemedewerkers toegang hadden tot persoonlijke gegevens in een intern systeem. Dat systeem werd gebruikt voor archivering en opslag van documenten. Nader onderzoek wees uit dat ze bovendien informatie konden inzien die ze helemaal niet nodig hadden voor hun functie.
De provincie verwacht dat het datalek weinig tot geen gevolgen heeft voor burgers en bedrijven in Zuid-Holland. Het bestuursorgaan zegt dat er geen aanwijzingen zijn dat andere personen dan haar eigen personeel vertrouwelijke documenten en persoonlijke gegevens hebben kunnen inzien.
“Onze medewerkers hebben als ambtenaar allen een eed of belofte afgelegd of een geheimhoudingsverklaring getekend voor het uitvoeren van werkzaamheden voor de provincie en zijn bekend met het onderwerp integriteit en het omgaan met (privacy)gevoelige informatie”, zo probeert de provincie betrokkenen gerust te stellen.
Ondanks maatregelen kiest AP voor verscherpt toezicht
Nadat de provincie Zuid-Holland melding ontving van het datalek, zijn er direct maatregelen genomen om de impact ervan te minimaliseren. Zo zijn specifieke documenten geïdentificeerd en geïsoleerd, bepaalde mappen afgesloten en is het autorisatiebeleid op de schop gegaan. Verder is de afdeling Bedrijfsvoering gaan kijken welke langetermijnmaatregelen noodzakelijk zijn om de vertrouwelijkheid van documenten en persoonsgegevens te waarborgen.
Voor de Autoriteit Persoonsgegevens waren de maatregelen niet genoeg om haar zorgen weg te nemen. De privacywaakhond laat schriftelijk weten dat ze zorgen heeft over de bescherming van persoonsgegevens binnen de provincie. De toezichthouder vindt dat de provincie Zuid-Holland sneller actie moet ondernemen op de signalen die zijn afgegeven over de vertrouwelijkheid van persoonsgegevens. Tot slot moet de provincie concrete afspraken maken met de AP over hoe ze zorgvuldiger omgaat met vertrouwelijke gegevens.
Provincie ziet verscherpt toezicht als een kans
De provincie zegt zich te herkennen in de zorgen die de Autoriteit Persoonsgegevens in de brief uit. Zuid-Holland zegt op haar beurt dat ze vóór deze melding al een bedrag van 23 miljoen euro heeft uitgetrokken om de groei en transitie van de provinciale informatiehuishouding in goede banen te leiden.
Tot slot meent de provincie Zuid-Holland dat het verscherpte toezicht van de AP voordelen met zich meebrengt. “We investeren onder andere met een langlopende campagne en trainingen in het data-vaardiger maken van collega’s, want zorgvuldig omgaan met data is ook mensenwerk. We zien het verscherpte toezicht van de Autoriteit Persoonsgegevens als een kans om deze transitie samen te versnellen.”
Update (15 april 2024): de ChristenUnie heeft schriftelijke vragen gesteld over het datalek en het verscherpte toezicht. Allereerst wil de fractie weten hoeveel inwoners en bedrijven de dupe zijn van het datalek, welke (bijzondere) persoonsgegevens daarbij zijn buitgemaakt en wanneer zij hierover zijn geïnformeerd. Daarnaast vraagt de fractie welke maatregelen het college van Gedeputeerde Staten heeft genomen toen het datalek aan het licht kwam.
In 2023 reserveerde het college van Gedeputeerde Staten een bedrag van 23 miljoen euro om de provinciale informatiehuishouding te verbeteren. De ChristenUnie wil weten hoe het staat met de uitvoering van dat programma. Verder vraagt de ChristenUnie aan welke voorwaarden de provincie moet voldoen om een einde te maken aan het verscherpte toezicht. Tot slot wil de fractie dat het provinciebestuur ieder kwartaal een update geeft over de voortgang van het geïntensiveerde toezicht.
