Brief regering : Audit Dienst Rijk (ADR) onderzoeksrapport inzake datalek donorregister
32 761 Verwerking en bescherming persoonsgegevens
Nr. 178
BRIEF VAN DE MINISTER VOOR MEDISCHE ZORG
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 4 maart 2021
Hierbij bied ik uw Kamer het onderzoeksrapport «Inventarisatie maatregelen t.a.v.
beheer externe gegevensdragers Donorregister» van de Audit Dienst Rijk (ADR) aan1. Op 10 maart 2020 is uw Kamer geïnformeerd over het datalek dat zich heeft voorgedaan
bij het CIBG ten aanzien van het Donorregister. Twee fysieke gegevensdragers (externe
harde schijven) met daarop een kopie van donorformulieren met registraties en wijzigingen
in het Donorregister in de periode 1998–2010 lagen niet meer in de kluis waar ze werden
bewaard. Na de melding van het datalek bij het Ministerie van VWS en de Autoriteit
Persoonsgegevens heeft het CIBG de ADR gevraagd onafhankelijk onderzoek uit te voeren.
Met deze brief geef ik uitvoering aan mijn toezegging en de motie van het lid Van
den Berg c.s.2, u te informeren over de uitkomst van dit onderzoek en zend ik u hierbij ook het
volledige onderzoeksrapport toe inclusief de managementreactie van het CIBG.
Het onderzoek van de ADR vond plaats in een periode waarin het CIBG bezig was met
de herbouw van het donorregistersysteem voor de invoering van de nieuwe donorwet.
Door deze situatie bestonden er tijdelijk naast elkaar twee registers, één in uitvoering
en één in opzet. De ADR heeft daarom onderzoek gedaan naar beide registers tot 1 juli
2020. Op 1 juli 2020 is het oude Donorregister geheel vervangen door het nieuwe Donorregister.
Uitkomst van het onderzoek inzake het datalek
De meeste bevindingen uit het onderzoek van de ADR hebben betrekking op het informatiebeveiligingsplan
van het oude Donorregister. Deze was niet meer geactualiseerd sinds 2011 en de maatregelen,
procedures en werkwijzen voor de omgang met externe gegevensdragers waren onvoldoende
uitgewerkt. Specifiek heeft de ADR geconstateerd dat procedures en werkinstructies
voor het bewaren en vernietigen van externe gegevensdragers niet of onvoldoende aanwezig
waren. Hierdoor heeft het kunnen gebeuren dat de twee harde schijven zijn verdwenen,
zonder dat kan worden nagegaan wat er precies is gebeurd met deze gegevensdragers.
De ADR constateerde voor het nieuwe Donorregister dat het ten tijde van het onderzoek
nog ontbrak aan een voldoende invulling en borging van het bijbehorend informatiebeveiligingsplan.
Het management van het CIBG geeft aan dit ernstige constateringen te vinden en stelt
dat dit niet had mogen gebeuren. De interne sturing op de naleving van de regels omtrent
informatiebeveiliging is onvoldoende geweest.
Ik sluit mij hierbij aan. Ook ik vind de bevindingen zeer ernstig. Iedereen moet erop
kunnen vertrouwen dat met persoonsgegevens in het Donorregister zorgvuldig en op een
goed beveiligde manier wordt omgegaan. Hierin is helaas tekortgeschoten. Om het vertrouwen
terug te winnen, zijn directe verbeteracties nodig. In deze brief zal ik daarom ook
toelichten wat het CIBG al heeft gedaan en nog zal doen om de informatiebeveiliging
rondom het Donorregister te verbeteren.
Huidige situatie en vervolgacties
Het CIBG is direct aan de slag gegaan met de constateringen van de ADR en heeft al
tijdens het lopende onderzoek de informatiebeveiliging rondom het nieuwe Donorregister
verbeterd. Als resultaat hiervan zijn op dit moment de meeste maatregelen die het
CIBG diende te nemen al geïmplementeerd. Zo is het informatiebeveiligingsplan geactualiseerd,
is er een risicoanalyse uitgevoerd, zijn overeenkomsten met leveranciers aangepast
en zijn er actiehouders benoemd om uitvoering te geven aan alle maatregelen die voortkomen
uit wet- en regelgeving (BIO en de AVG). Nu richt het CIBG haar aandacht op de resterende
maatregelen en het integreren van de maatregelen in de besturingscyclus van het CIBG
om de kwaliteit continu te verbeteren. Op deze manier worden de aanbevelingen van
het ADR-onderzoek structureel ingebed in de werkwijze van het CIBG. Ik ben tevreden
over de voortvarendheid waarmee het CIBG met de uitkomsten van het onderzoek aan de
slag is gegaan. Daaruit blijkt dat het CIBG zich de ernst van de bevindingen bewust
is. Het CIBG zal zich over de verdere voortgang aan mij verantwoorden.
Ik vind het ook goed dat het CIBG het datalek heeft aangegrepen om het onderwerp informatiebeveiliging
te bekijken vanuit een breder organisatieperspectief. Zij gaan met een meerjarenprogramma
informatiebeveiliging meer prioriteit, capaciteit en aandacht geven om dit voor de
gehele organisatie naar een hoger ambitieniveau te tillen. Ik blijf met het CIBG in
gesprek over (de voortgang van) het onderwerp informatiebeveiliging en het meerjarenprogramma.
De ADR zal tevens, in navolging van de moties van de leden Dijkstra3 en Van den Berg c.s.4, aanvullend onderzoek doen naar het nieuwe Donorregister. Voor dit onderzoek zal
de ADR de gehele informatiebeveiliging van het nieuwe Donorregister beoordelen. Zoals
ik al eerder heb aangegeven, hoop ik de Kamer voor de zomer te kunnen informeren over
de uitkomst van dit aanvullende onderzoek. Op termijn wordt ook de nieuwe donorwet
geëvalueerd; het voornemen is om het onderwerp informatiebeveiliging van het Donorregister
ook mee te nemen in deze evaluatie.
Ik dank de ADR hartelijk voor het gedegen onderzoek dat is verricht en de handelingsperspectieven
die zij het CIBG hebben geboden. Deze hebben het CIBG de benodigde handvaten gegeven
om de informatiebeveiliging rondom het Donorregister te verbeteren. Daarmee kan een
eerste stap gezet worden om het geschonden vertrouwen te herstellen.
De Minister voor Medische Zorg,
T. van Ark
Indieners
-
Indiener
T. van Ark, minister voor Medische Zorg