| Ingediend | 16 augustus 2019 |
|---|---|
| Beantwoord | 5 september 2019 (na 20 dagen) |
| Indieners | Wytske de Pater-Postma (CDA), Rutger Schonis (D66), Remco Dijkstra (VVD), Jan de Graaf (CDA), Pieter Omtzigt (CDA) |
| Beantwoord door | Cora van Nieuwenhuizen (minister infrastructuur en waterstaat) (VVD) |
| Onderwerpen | onderwijs en wetenschap overige vormen van onderwijs verkeer weg |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2019Z15768.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20182019-3880.html |
Ja.
Het CBR heeft mij gemeld dat zij in de periode januari tot en met juni 2019 71 gevallen heeft geconstateerd waarin een document van een bepaalde klant in het (digitale) dossier van een andere klant raadpleegbaar bleek te zijn. In alle gevallen is gehandeld volgens de binnen het CBR geldende procedure voor datalekken. In 2018 zijn er 5 soortgelijke gevallen geconstateerd.
Het CBR heeft voor het eerst op 24 januari 2018 een datalek geconstateerd waarbij sprake was van een situatie waarin een document van een bepaalde klant in het (digitale) dossier van een andere klant raadpleegbaar bleek te zijn.
Voor het melden van datalekken is bij het CBR een proces ingericht. Het CBR houdt zich aan AVG-wetgeving en heeft de datalekken op basis van de interne richtlijn «meldplicht datalekken» geconstateerd, geregistreerd, gemeld en afgehandeld. Overeenkomstig de meldplicht datalekken in de AVG-wetgeving moet, in de gevallen waarbij het datalek een hoog risico voor de betrokkene tot gevolg heeft, het datalek ook onverwijld medegedeeld worden aan de klant van wie de persoonsgegevens gelekt zijn. Het CBR heeft mij laten weten dat zij heeft gehandeld conform de meldplicht datalekken in de AVG-wetgeving.
Het CBR heeft mij op 8 augustus 2019 geïnformeerd dat zij waren benaderd door een journalist met een vraag over medische gegevens die in de online omgeving van het CBR door onbevoegden in te zien zijn.
Het CBR heeft alle geconstateerde datalekken conform de meldplicht datalekken, steeds na constatering gemeld bij de Autoriteit Persoonsgegevens.
De inhoud van de melding van een datalek aan de Autoriteit Persoonsgegevens is van vertrouwelijke aard. Ook de Autoriteit Persoonsgegevens maakt deze informatie niet openbaar. Het CBR maakt melding van een datalek overeenkomstig het proces en het meldformulier van de Autoriteit Persoonsgegevens. Dit proces en formulier is voor iedereen te raadplegen op de website van de Autoriteit Persoonsgegevens.
Het CBR kampt met problemen in het primaire proces, waardoor de gemiddelde doorlooptijd bij de behandeling van een aanvraag voor een gezondheidsverklaring te lang is. De leiding van het CBR werkt er hard aan om de problemen het hoofd te bieden.
Het CBR heeft een plan van aanpak opgesteld om de risico’s aan te pakken die uit de uitgevoerde privacy impact assessments van de bedrijfskritische ICT-systemen zijn gekomen. De betreffende activiteiten zijn in uitvoering. Via periodieke overleggen van mijn medewerkers met de CIO en de functionaris gegevensbescherming van het CBR wordt mijn ministerie door het CBR geïnformeerd over de voortgang van de uitvoering van het plan van aanpak.
Ja, ik ben bereid om de rapportage die het CBR maandelijks aan mij doet toekomen in het kader van het aangescherpt toezicht te delen met de Kamer.
Ja.