Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 27 september 2021
Hierbij bied ik uw Kamer het «Onderzoeksrapport informatiebeveiliging Donorregister»
van de Audit Dienst Rijk (ADR) aan1. In dit rapport staan de onderzoeksresultaten aangaande de informatiebeveiliging
en de bescherming van persoonsgegevens van het Donorregister.
Op 10 maart 2020 is uw Kamer geïnformeerd over het datalek dat zich heeft voorgedaan
bij het CIBG ten aanzien van het Donorregister. Na de melding van het datalek bij
mijn ministerie en de Autoriteit Persoonsgegevens (AP) heeft de ADR onafhankelijk
onderzoek naar het datalek uitgevoerd. Het hieruit volgende onderzoeksrapport «Inventarisatie
maatregelen t.a.v. beheer externe gegevensdragers Donorregister»2 heb ik u op 4 maart 2021 toegezonden.
De ADR heeft hierna, in navolging van de motie van de leden Van den Berg en Pia Dijkstra3, nog aanvullend onderzoek gedaan naar de informatiebeveiliging bij het Donorregister
dat per 1 juli 2020 is geïmplementeerd bij het CIBG. De onderzoeksresultaten hiervan
vindt u in de bijgesloten ADR rapportage.
Het vervolgonderzoek vond plaats in een periode waarin het CIBG reeds volop bezig
was met het doorvoeren van verbeteringen op het gebied van informatiebeveiliging voor
het Donorregister én de gehele organisatie middels hun meerjarenprogramma voor informatiebeveiliging
en privacy. De focus van het vervolgonderzoek van de ADR lag op het inzichtelijk krijgen
van de wijze waarop de processen en procedures rondom informatiebeveiliging voor het
Donorregister in documenten zijn beschreven.
De ADR concludeert in haar rapport dat het CIBG zich bewust is van de urgentie om
de informatiebeveiliging en bescherming van persoonsgegevens bij het Donorregister
te verbeteren. Het CIBG heeft daartoe het afgelopen jaar ook reeds diverse initiatieven
ontplooid, waaronder het grondig bijwerken van het informatiebeveiligingsplan van
het Donorregister. De ADR constateert echter ook dat er nog verdere verbeteringen
nodig en mogelijk zijn op het gebied van de uitvoering en vastlegging van risicoanalyses
en op het gebied van de beheersing van de maatregelen voor informatiebeveiliging en
de bescherming van persoonsgegevens. Denk hierbij ook aan het actualiseren en consistent
maken van diverse documenten (plannen, procedures en werkinstructies). Tevens ziet
de ADR ruimte voor verbetering op het toezicht op de informatiebeveiliging.
De burger moet erop kunnen vertrouwen dat zorgvuldig wordt omgegaan met persoonsgegevens
in het Donorregister en dat de informatiebeveiliging op orde is. De constateringen
en aanbevelingen van de ADR neemt het CIBG daarom zeer serieus. Het CIBG geeft hier
hoge prioriteit aan in haar meerjarenprogramma voor informatiebeveiliging en privacy.
Onderdeel van dit programma is bijvoorbeeld de implementatie van een Information Security
Management System, verdere inrichting van de governance en het terugbrengen van de
complexiteit in documenten en processen. Het op gestructureerde wijze borgen van de
aanpassingen in de organisatie kost tijd en een externe blik of het CIBG hierbij op
koers ligt kan daarbij helpen. Jaarlijks zal er daarom een externe audit op de informatiebeveiliging
van het Donorregister plaatsvinden.
Het CIBG laat met o.a. het meerjarenprogramma voor informatiebeveiliging en privacy
zien dat zij het onderwerp informatiebeveiliging meer prioriteit, capaciteit en aandacht
geeft voor de gehele organisatie. Ik vind het een goede ontwikkeling dat het CIBG
zich als doel heeft gesteld hiermee de informatiebeveiliging organisatie breed naar
een hoger ambitieniveau te tillen. Ik blijf met het CIBG in gesprek over de bescherming
van persoonsgegevens en informatiebeveiliging, waarbij het CIBG over de voortgang
van de implementatie van de aanbevelingen van de ADR zal rapporteren.
Middels deze brief meld ik ook dat de AP inmiddels heeft laten weten dat zij op basis
van het eerder genoemde ADR onderzoek4 heeft besloten het dossier rondom het datalek bij het Donorregister te sluiten.
Ik dank de ADR hartelijk voor het vervolgonderzoek dat is verricht naar de informatiebeveiliging
van het Donorregister. De onderzoeksresultaten helpen het CIBG, ook in organisatiebrede
zin, bij de verdere vormgeving van hun informatiebeveiliging.
De Minister van Volksgezondheid, Welzijn en Sport,
H.M. de Jonge