VWS raakt miljoenen donorformulieren kwijt

Waar zijn de twee onbeveiligde harde schijven met daarop 6,9 miljoen gescande formulieren?

Kluis

Bij het ministerie van Volksgezondheid, Welzijn en Sport zijn ze op zoek naar twee onbeveiligde externe harde schijven met daarop 6,9 miljoen gedigitaliseerde donorkeuzeformulieren. De schijven liggen niet in de kluis waar ze werden bewaard. Het datalek is gemeld bij de Autoriteit Persoonsgegevens (AP), schrijft de directeur van het verantwoordelijk agentschap CIBG.

De vermiste harde schijven bevatten kopietjes van ingescande formulieren waarop burgers hadden aangegeven of ze orgaandonor wilden zijn. Behalve hun donorkeuze staat op elk formulier algemene persoonlijke informatie, zoals voor- en achternaam, geslacht, geboortedatum, adresgegevens, burgerservicenummer en een handtekening.

De scans werden gemaakt in het kader van het digitaliseringsproject van het Donorregister. Het project liep vanaf 2011. Formulieren die tussen februari 1998 en juni 2010 op papier waren ingevuld en ingestuurd, werden gedigitaliseerd. Een kopie van de miljoenen bestanden werd opgeslagen op twee externe harde schijven.

De schijven zijn 'hoogstwaarschijnlijk' niet beveiligd, schrijft CIBG-directeur Nico Laagland aan minister Hugo de Jonge van VWS. Toen het papieren archief begin dit jaar werd vernietigd, bleken de twee harde schijven niet aanwezig in de kluis waar ze behoorden te liggen.

Nalatig

"Beveiligingsprotocollen en instructies zijn onvoldoende nageleefd"

Directeur Laagland betreurt het datalek. ‘Ik moet tot de conclusie komen dat het beheer op deze vermiste externe harde schijven door de jaren heen nalatig is geweest. De aanwezige beveiligingsprotocollen en (werk)instructies zijn onvoldoende nageleefd’, schrijft hij in de brief.

Volgens de directeur is het risico op identiteitsfraude laag, doordat op de formulieren geen bijzondere persoonsgegevens staan, zoals bedoeld in de Algemene verordening gegevensbescherming (AVG). Hij vertrouwt er bovendien op dat aanvullende controlemechanismen van banken en overheidsinstellingen misbruik voorkomen.

Onderzoek en evaluatie

Het CIBG is de uitvoeringsorganisatie van het ministerie van VWS. Het agentschap registreert orgaandonoren in het Donorregister en zorgverleners in het BIG-register (Beroepen in de Individuele Gezondheidszorg). De organisatie heeft de Auditdienst Rijk (ADR) verzocht te onderzoeken hoe het CIBG omgaat met externe gegevensdragers. Er volgt ook een interne evaluatie van beveiligingsprotocollen en werkinstructies.

Verantwoordelijk minister Hugo de Jonge betreurt het datalek eveneens. ‘Ik vind het zeer vervelend dat dit is gebeurd’, schrijft de bewindsman in een brief aan de Tweede Kamer.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Los van de privacy, het kan toch niet zo zijn, dat er alleen op deze hardeschijven een gescande versie van de formulieren stond?
Er moeten toch meerdere backups van zijn, op meerdere locaties?
Zo niet, is de hele bestaande database waardeloos geworden, omdat er geen bewijzen meer bestaan met een handtekening.

Ron Bakker,
Ik weet dat het allemaal ongeloofwaardig klinkt maar van een archief is veelal geen back-up en ik ben bang dat CIBG niet de enige uitvoeringsinstantie is die niet zo goed nagedacht heeft over het digitale archief. Maar het meest tenenkrommend is toch wel de conclusie dat het risico op identiteitsfraude klein lijkt te zijn, de slager in de worstenfabriek keurt hier wel heel erg zijn eigen vlees. Verder is het inderdaad ook twijfelachtig of de gegevens in de database nog wel betrouwbaar zijn, de doden zullen niet gaan klagen maar wat als nabestaanden de keuze gaan betwisten?

Een Oudlid;
Je hebt helemaal gelijk, vrees ik.
Maar helemaal geen verdere backup, zou wel heel erg dom zijn, maar helaas niet onmogelijk.

We hoeven niet bang te zijn voor identiteitsfraude zegt men. Dit kan ik niet rijmen met het feit dat op elk formulier algemene persoonlijke informatie staat, zoals voor- en achternaam, geslacht, geboortedatum, adresgegevens, burgerservicenummer en een handtekening. Dan heb je toch alle ingrediënten voor identiteitsfraude.

'Toen het papieren archief begin dit jaar werd vernietigd, bleken de twee harde schijven niet aanwezig in de kluis waar ze behoorden te liggen.'

leermomentje :-P

@Friezenburg
Je hebt gelijk alleen denkt de worstenfabriek directeur daarover anders, het voorkomen van identiteitsfraude is een zorg van anderen. Ik weet dat dit cynisch klinkt maar het is wel de realiteit in bestuurlijk Nederland als we kijken naar de zorg aangaande alle digitale archieven in het algemeen en privacy-by-design in het bijzonder.

Het mag niet maar kan wel, een (zorg)toeslag aanvragen op basis van genoemde gegevens. Heerlijk dat directeur van de worstenfabriek vertrouwt op de controlemechanismen die er niet zijn. Want digitale realiteit blijkt nog weleens af te wijken van de papieren aannames, vertrouwen op harde schijven die er niet meer zijn klinkt alsof soldaten in Sebrenica konden rekenen op luchtsteun. Fotorolletjes verdwenen op dezelfde miraculeuze wijze uit een kluis. Nogmaals, vergeef mijn cynisme maar als directeuren van worstenfabrieken beginnen over niet naleven van werkinstructies dan kriebelt het bij mij.

De minister kan bij zijn Amerikaanse collega toch wel voor een kopietje vragen? De NSA heeft die vast wel. Die past wel goed op waar ze hun gegevens bewaren.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2020-03-10T17:21:00.000Z Diederik Toet
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.