Eind dit jaar voldoet CBR aan privacywetgeving AVG
De AVG (Algemene verordening gegevensbescherming) is sinds 25 mei 2018 van kracht, maar het CBR voldoet er nog altijd niet aan.
CBR
Minister Van Nieuwenhuizen maakte tijdens een Algemeen Overleg in maart bekend dat het CBR nog niet voldoet aan de AVG eisen. Nieuwenhuizen vertelde het volgende tijdens haar toespraak: "Ik zeg u maar heel open dat ik ook heb gevraagd of het CBR AVG-proof is. Ik was daar bezorgd over. Ik zeg het u maar meteen: dat is nog niet klaar. En dat moet wel. Dit is niet iets waar mensen direct last van hebben, maar ik ben er als minister wel bezorgd over." (pdf).
De minister vroeg het CBR om met een plan van aanpak te komen. Het Centraal Bureau Rijvaardigheidsbewijzen heeft dit plan opgesteld en toegezegd dat de uitvoering dit jaar zal zijn afgerond. "Daarmee voldoet het CBR eind 2019 aan de AVG", aldus Van Nieuwenhuizen.
Verouderde systemen
Het CBR heeft minister Van Nieuwenhuizen laten weten dat er voor het rijgeschiktheidsproces en voor de opvolging van mededelingen van politie en justitie deels nog wordt gewerkt met de verouderde ict-systemen Windows XP en Oracle database versie 9.
De minister stelt dat ze het zeer belangrijk vindt dat er "relevante technische maatregelen" zijn getroffen om de risico's op het lekken van medische en andere klantgegevens tot een absoluut minimum te beperken tot dat de CBR de verouderde systemen heeft uit gefaseerd. Van Nieuwenhuizen heeft het CBR daarom gevraagd een externe partij een second opinion te laten geven op de genomen technische beveiligingsmaatregelen om ongewenste toegang van buitenaf te voorkomen (pdf).
Wat nu?
Hoe komt het dat een grote organisatie als het CBR nog steeds niet alles op orde heeft? CBR maakt nog gebruikt van verouderde systemen die al sinds 2014 niet meer ondersteund worden door de leveranciers van de systemen zelf. Tevens voldoet het CBR zelfs niet aan de AVG-eisen die al van kracht zijn sinds 25 mei 2018. De vraag is of de AP (Autoriteit Persoonsgevens) de CBR een boete zal opleggen voor het niet voldoen aan de AVG-eisen.