Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 27 september 2021

Hierbij bied ik uw Kamer het «Onderzoeksrapport informatiebeveiliging Donorregister» van de Audit Dienst Rijk (ADR) aan1. In dit rapport staan de onderzoeksresultaten aangaande de informatiebeveiliging en de bescherming van persoonsgegevens van het Donorregister.

Het vervolgonderzoek vond plaats in een periode waarin het CIBG reeds volop bezig was met het doorvoeren van verbeteringen op het gebied van informatiebeveiliging voor het Donorregister én de gehele organisatie middels hun meerjarenprogramma voor informatiebeveiliging en privacy. De focus van het vervolgonderzoek van de ADR lag op het inzichtelijk krijgen van de wijze waarop de processen en procedures rondom informatiebeveiliging voor het Donorregister in documenten zijn beschreven.

De ADR concludeert in haar rapport dat het CIBG zich bewust is van de urgentie om de informatiebeveiliging en bescherming van persoonsgegevens bij het Donorregister te verbeteren. Het CIBG heeft daartoe het afgelopen jaar ook reeds diverse initiatieven ontplooid, waaronder het grondig bijwerken van het informatiebeveiligingsplan van het Donorregister. De ADR constateert echter ook dat er nog verdere verbeteringen nodig en mogelijk zijn op het gebied van de uitvoering en vastlegging van risicoanalyses en op het gebied van de beheersing van de maatregelen voor informatiebeveiliging en de bescherming van persoonsgegevens. Denk hierbij ook aan het actualiseren en consistent maken van diverse documenten (plannen, procedures en werkinstructies). Tevens ziet de ADR ruimte voor verbetering op het toezicht op de informatiebeveiliging.

De burger moet erop kunnen vertrouwen dat zorgvuldig wordt omgegaan met persoonsgegevens in het Donorregister en dat de informatiebeveiliging op orde is. De constateringen en aanbevelingen van de ADR neemt het CIBG daarom zeer serieus. Het CIBG geeft hier hoge prioriteit aan in haar meerjarenprogramma voor informatiebeveiliging en privacy. Onderdeel van dit programma is bijvoorbeeld de implementatie van een Information Security Management System, verdere inrichting van de governance en het terugbrengen van de complexiteit in documenten en processen. Het op gestructureerde wijze borgen van de aanpassingen in de organisatie kost tijd en een externe blik of het CIBG hierbij op koers ligt kan daarbij helpen. Jaarlijks zal er daarom een externe audit op de informatiebeveiliging van het Donorregister plaatsvinden.

Het CIBG laat met o.a. het meerjarenprogramma voor informatiebeveiliging en privacy zien dat zij het onderwerp informatiebeveiliging meer prioriteit, capaciteit en aandacht geeft voor de gehele organisatie. Ik vind het een goede ontwikkeling dat het CIBG zich als doel heeft gesteld hiermee de informatiebeveiliging organisatie breed naar een hoger ambitieniveau te tillen. Ik blijf met het CIBG in gesprek over de bescherming van persoonsgegevens en informatiebeveiliging, waarbij het CIBG over de voortgang van de implementatie van de aanbevelingen van de ADR zal rapporteren.

Middels deze brief meld ik ook dat de AP inmiddels heeft laten weten dat zij op basis van het eerder genoemde ADR onderzoek4 heeft besloten het dossier rondom het datalek bij het Donorregister te sluiten.

Ik dank de ADR hartelijk voor het vervolgonderzoek dat is verricht naar de informatiebeveiliging van het Donorregister. De onderzoeksresultaten helpen het CIBG, ook in organisatiebrede zin, bij de verdere vormgeving van hun informatiebeveiliging.

De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge