VWS harde schijven die zoekraakte, niet beveiligd

De twee externe harde schijven die waren zoekgeraakt, blijken inderdaad niet beveiligd, zo schrijft minister Hugo de Jonge van Volksgezondheid, Welzijn en Sport aan de Tweede Kamer. De schijven bevatten donorinformatie van miljoenen burgers.

Onderzoek

Het ministerie van VWS is vanaf begin maart op zoek naar de twee harde schijven met 6,9 miljoen digitale donorkeuze formulieren. Deze gedigitaliseerde formulieren bevatten persoonlijke informatie en de keuze van mensen of zij wel of geen orgaandonor willen zijn. De externe harde schijven zijn niet te vinden in de kluis waar ze normaal gesproken werden bewaard. Het is niet bekend hoelang de schijven precies zoek zijn. Ze werden volgens de minister in 2016 voor het laatst gebruikt door een medewerker van het verantwoordelijk agentschap CIBG.

Het vermoeden dat de schijven niet waren beveiligd, bestond al en is nu ook door de minister bevestigd. “Er is na verder intern onderzoek duidelijk geworden dat de externe harde schijven inderdaad niet beveiligd waren.”, zo schrijft De Jonge. Uitleggen waarom dit het geval was, kan hij niet. De ADR (Auditdienst Rijk) doet onderzoek naar de zaak. Van gegevens misbruik is er geen vermoeden.

Digitaliseringsproject

De scans die op de schijven stonden, waren gemaakt in het kader van het digitaliseringsproject van het Donorregister, een project wat vanaf 2011 liep. Tussen februari 1998 en juni 2010 op papier ingevulde formulieren werden gedigitaliseerd. Er werd een kopie van miljoenen bestanden opgeslagen op de twee harde schijven. Vanaf februari 2020 is het papieren archief vernietigd.

Het nieuwe Donorregister gaat vanaf 1 juli 2020 live. Security by design en privacy by design zijn bij de herbouw van dit systeem ingeregeld, zegt de minister. “In het nieuwe donorregister kunnen persoonsgegevens alleen opgevraagd worden via een gecontroleerd proces.” Het systeem maakt voor de opslag van de gegevens gebruik van versleuteling.

Persoonsgegevens

De 6,9 miljoen formulieren zijn van ruim 6 miljoen unieke personen. Er waren van sommige mensen meerdere formulieren aanwezig, om bijvoorbeeld wijzigingen door te geven. Inmiddels is een deel van de mensen overleden.
CIBG-directeur Nico Laagland betreurde na openbaarmaking van het datalek het voorval in een brief aan minister De Jonge. “Ik concludeer dat het beheer op deze vermiste externe harde schijven nalatig is geweest door de jaren heen. De beveiligingsprotocollen en (werk)instructies zijn onvoldoende nageleefd.”

Bron: Computable.nl