Vragen van de leden De Pater-Postma en Omtzigt (CDA), Van der Graaf (ChristenUnie), Schonis (D66) en RemcoDijkstra (VVD) aan de Minister van Infrastructuur en Waterstaat over de grote problemen bij het CBR (ingezonden 16 augustus 2019).

Antwoord van Minister Van Nieuwenhuizen Wijbenga (Infrastructuur en Waterstaat) (ontvangen 5 september 2019).

Vraag 1

Heeft u kennis genomen van het artikel «CBR blundert met medische dossiers»?1

Antwoord 1

Ja.

Vraag 2

Kunt u uitleggen bij hoeveel dossiers er problemen zijn en wanneer de problemen zijn rechtgezet?

Antwoord 2

Het CBR heeft mij gemeld dat zij in de periode januari tot en met juni 2019 71 gevallen heeft geconstateerd waarin een document van een bepaalde klant in het (digitale) dossier van een andere klant raadpleegbaar bleek te zijn. In alle gevallen is gehandeld volgens de binnen het CBR geldende procedure voor datalekken. In 2018 zijn er 5 soortgelijke gevallen geconstateerd.

Vraag 3

Wanneer heeft het Centraal Bureau Rijvaardigheidsbewijzen (CBR) voor het eerst geconstateerd dat medische dossiers verwisseld zijn en aan de dossiers van andere mensen zijn toegevoegd?

Antwoord 3

Het CBR heeft voor het eerst op 24 januari 2018 een datalek geconstateerd waarbij sprake was van een situatie waarin een document van een bepaalde klant in het (digitale) dossier van een andere klant raadpleegbaar bleek te zijn.

Vraag 4

Zijn alle mensen, van wie data gelekt zijn, tijdig en juist geïnformeerd door het CBR?

Antwoord 4

Voor het melden van datalekken is bij het CBR een proces ingericht. Het CBR houdt zich aan AVG-wetgeving en heeft de datalekken op basis van de interne richtlijn «meldplicht datalekken» geconstateerd, geregistreerd, gemeld en afgehandeld. Overeenkomstig de meldplicht datalekken in de AVG-wetgeving moet, in de gevallen waarbij het datalek een hoog risico voor de betrokkene tot gevolg heeft, het datalek ook onverwijld medegedeeld worden aan de klant van wie de persoonsgegevens gelekt zijn. Het CBR heeft mij laten weten dat zij heeft gehandeld conform de meldplicht datalekken in de AVG-wetgeving.

Vraag 5

Wanneer heeft het CBR u van dit probleem op de hoogte gesteld?

Antwoord 5

Het CBR heeft mij op 8 augustus 2019 geïnformeerd dat zij waren benaderd door een journalist met een vraag over medische gegevens die in de online omgeving van het CBR door onbevoegden in te zien zijn.

Vraag 6

Wanneer heeft het CBR hiervan melding gemaakt bij de Autoriteit Persoonsgegevens (AP)? Kunt u deze melding aan de Kamer doen toekomen?

Antwoord 6

Het CBR heeft alle geconstateerde datalekken conform de meldplicht datalekken, steeds na constatering gemeld bij de Autoriteit Persoonsgegevens.

De inhoud van de melding van een datalek aan de Autoriteit Persoonsgegevens is van vertrouwelijke aard. Ook de Autoriteit Persoonsgegevens maakt deze informatie niet openbaar. Het CBR maakt melding van een datalek overeenkomstig het proces en het meldformulier van de Autoriteit Persoonsgegevens. Dit proces en formulier is voor iedereen te raadplegen op de website van de Autoriteit Persoonsgegevens.

Vraag 7

Is de leiding van het CBR «in control» bij het primaire proces?

Antwoord 7

Het CBR kampt met problemen in het primaire proces, waardoor de gemiddelde doorlooptijd bij de behandeling van een aanvraag voor een gezondheidsverklaring te lang is. De leiding van het CBR werkt er hard aan om de problemen het hoofd te bieden.

Vraag 8

Herinnert u zich het plenaire debat over het CBR van 19 juni jl. waarin u stelde bezorgd te zijn over de aanpak om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG) en stelde «er niet aan te moeten denken dat daar iets mis mee zou gaan»? Welke stappen heeft u ondernomen om te voorkomen dat problemen als deze zouden ontstaan?

Antwoord 8

Het CBR heeft een plan van aanpak opgesteld om de risico’s aan te pakken die uit de uitgevoerde privacy impact assessments van de bedrijfskritische ICT-systemen zijn gekomen. De betreffende activiteiten zijn in uitvoering. Via periodieke overleggen van mijn medewerkers met de CIO en de functionaris gegevensbescherming van het CBR wordt mijn ministerie door het CBR geïnformeerd over de voortgang van de uitvoering van het plan van aanpak.

Vraag 9

Bent u bereid elke maand een voortgangsrapportage naar de Kamer te sturen over het CBR met de kerncijfers, zoals alle termijnoverschrijdingen bij verleningen en keuringen?

Antwoord 9

Ja, ik ben bereid om de rapportage die het CBR maandelijks aan mij doet toekomen in het kader van het aangescherpt toezicht te delen met de Kamer.

Vraag 10

Kunt u deze vragen een voor een en binnen twee weken beantwoorden?

Antwoord 10

Ja.

Naar boven