De leden van de CDA-fractie vragen aan de Minister of hij bij het CIBG kan nagaan wanneer de twee externe harde schijven voor het laatst geraadpleegd zijn en wanneer deze voor het laatst gezien zijn.

Genoemde leden maken zich zorgen over de mogelijke verspreiding van de gegevens die op deze twee externe harde schijven staan. Kan de Minister aangeven wat de risico’s en gevolgen zijn als deze gegevens in verkeerde handen vallen?

Over de beveiligingsprotocollen en (werk)instructies hebben de leden van de D66-fractie ook nog enkele vragen. Zo lezen zij in de brief dat «de aanwezige beveiligingsprotocollen en (werk)instructies onvoldoende zijn nageleefd». Later in de brief staat dat «de bestaande beveiligingsprotocollen en werkinstructies (inclusief inventarislijsten) worden geëvalueerd en waar nodig herzien en aangescherpt.» De eerste passage roept de vraag op of het datalek ook had plaatsgevonden, indien de aanwezige beveiligingsprotocollen en (werk)instructies wel nageleefd waren. Genoemde leden ontvangen hierover graag een reactie. Daar in de tweede passage wordt besproken over herziening en aanscherping, wordt de verwachting gewekt dat deze protocollen en instructies aan herziening en aanscherping toe zijn. Wederom ontvangen deze leden hierover graag een reactie. Deze leden vernemen daarnaast graag hoeveel beveiligingsprotocollen en werkinstructies, die relevant zijn voor het datalek, er precies zijn? Hoe wordt toegezien op de naleving van deze instructies en protocollen? Zijn deze protocollen en instructies herzien met de inwerkingtreding van de AVG? Kan de Minister per relevant protocol en relevante instructie aangeven wanneer deze voor het laatst geëvalueerd zijn en welk proces is ingericht om de instructies en protocollen bijgewerkt te houden? Tenslotte vragen deze leden wanneer de evaluatie van deze protocollen gereed is en of de Minister de Kamer kan informeren tot welke herzieningen en aanscherpingen dit zal leiden.

Over de vervolgstappen hebben de leden van de D66-fractie ook enkele vragen. Zo lezen genoemde leden in de brief van de Minister dat de directeur van het CIBG de Audit Dienst Rijk (ADR) heeft verzocht een onafhankelijk onderzoek te verrichten binnen het hele CIBG naar zijn handelen in relatie tot de veiligheid van externe gegevensdragers. Deze leden vernemen graag de precieze onderzoeksvraag die aan de ADR is meegegeven voor zijn onderzoek. Daarnaast vernemen deze leden graag waarom de zinsnede «in relatie tot de veiligheid van externe gegevensdragers» expliciet in de brief staat. Deelt de Minister de mening, gezien de bredere expertise van de ADR, dat het eerder gewenst zou zijn de gehele informatiebeveiliging en privacybescherming te onderzoeken en hierbij dus geen beperkingen aangaande externe gegevensdragers opgenomen dienen te worden? Zo ja, is hij bereid de ADR dit te verzoeken? Zo nee, waarom is de Minister van mening dat enkel aanbevelingen en/of adviezen aangaande de veiligheid van de externe gegevensdragers van belang zouden kunnen zijn?

1.

Ten eerste hebben de leden van de VVD-fractie vragen over het moment dat het datalek moet hebben plaatsgevonden. Genoemde leden zouden graag willen weten wanneer de Minister precies op de hoogte is gebracht van de vermissing van de harde schijven en indien dit eerder was dan 6 maart, waarom dit niet eerder is gemeld aan de Kamer.

Antwoord

Mijn ministerie is vrijdag 6 maart mondeling door de algemeen directeur van het CIBG geïnformeerd over een waarschijnlijk datalek. Tijdens dit gesprek zijn afspraken gemaakt over het aanmelden van het datalek bij de Autoriteit Persoonsgegevens (AP) en is het CIBG gevraagd een brief op te stellen waarin zij uitleg geven over dit datalek. Ik heb deze brief van het CIBG op maandag 9 maart ontvangen waarna ik de Kamer op 10 maart heb geïnformeerd.

2.

Daarnaast vragen deze leden of een kans bestaat dat de data al langere tijd werden vermist dan dat de vermissing is opgemerkt door het CIBG. Indien dit het geval is, hoe lang zijn de harde schijven dan mogelijk al weg?

Antwoord

Het CIBG heeft op 20 februari 2020 ontdekt dat de externe harde schijven niet in de kluis lagen. De kans bestaat dat deze schijven al langer vermist waren, het CIBG kan niet precies aangeven hoe lang. De laatste keer dat een CIBG medewerker de schijven heeft gebruikt was in 2016.

3.

Concluderend zien de leden van de VVD-fractie graag van de Minister een preciezer tijdpad van de gebeurtenissen tegemoet.

Antwoord

Conform het Vervangingsbesluit Donor archief 1998–2010 CIBG van 20 september 2019, zijn bij het CIBG alle papieren gegevens vervangen door digitale kopieën. Hierdoor was het bewaren van de kopieën op externe harde schijven en het papieren archief (met gegevens tot juni 2010) bij het CIBG niet meer nodig.

Het CIBG is in februari 2020 gestart met het vernietigen van het papieren archief (uitgevoerd door Doc-Direkt). Het CIBG is daarnaast zelf gestart met het vernietigen van het digitale archief. Doc-Direkt heeft op 2 april jl. schriftelijk bevestigd dat de vernietiging van het papieren archief is afgerond. Met betrekking tot het digitale archief heeft het CIBG op 20 februari 2020 ontdekt dat de externe harde schijven niet in de kluis lagen. Het CIBG heeft toen een interne zoekactie opgestart om de schijven alsnog te vinden.

Op 4 maart 2020 heeft het CIBG geconcludeerd dat de externe harde schijven vermist waren. Deze vermissing is op diezelfde dag door de privacy officer van het CIBG als datalek aangemerkt. De privacy officer van het CIBG heeft het datalek vervolgens op 6 maart 2020, binnen de wettelijke termijn van 72 uur, gemeld bij de AP.

4.

In de bijlage wordt vermeld dat onduidelijkheid bestaat over de vraag of de harde schijven zijn beveiligd. Genoemde leden vragen waarom hierover geen uitsluitsel kan worden gegeven. Ook staat vermeld dat de schijven hoogstwaarschijnlijk niet waren beveiligd. Wat is de reden dat privacygevoelige informatie die in het Donorregister staat niet is versleuteld?

Antwoord

Het CIBG heeft aangegeven dat na verder intern onderzoek duidelijk is geworden dat de externe harde schijven inderdaad niet waren beveiligd. Nog onbekend is waarom de externe harde schijven niet waren beveiligd. Deze vraag zal ook in het onderzoek van de ADR worden meegenomen. Zoals toegezegd wordt de Kamer geïnformeerd over de uitkomst van dit onderzoek.

Ik hecht er waarde aan hierbij te vermelden dat de privacygevoelige informatie in het huidige donorregister wel is beveiligd conform de Baseline Informatiebeveiliging Overheid 2019 (BIO). Desalniettemin neem ik de beveiliging van het huidige Donorregister ook mee in het onderzoek van de ADR waarover u wordt geïnformeerd.

Overigens is bij de herbouw van het systeem voor het nieuwe Donorregister, dat per 1 juli 2020 live gaat, security by design en privacy by design ingeregeld. Persoonsgegevens kunnen in het nieuwe donorregister alleen opgevraagd worden via een gecontroleerd proces. Een voorbeeld hiervan is dat persoonsgegevens in het nieuwe donorregister versleuteld worden opgeslagen. Hierdoor kan zelfs een systeembeheerder niet bij deze persoonsgegevens.

5.

Daarnaast stelt het CIBG dat de aanwezige beveiligingsprotocollen onvoldoende zijn nageleefd. Deze leden zouden graag willen weten waarom deze protocollen niet zijn nageleefd, hoe de Minister het functioneren van het CIBG in dit licht evalueert en of hij voornemens is maatregelen te nemen die dit soort datalekken in de toekomst voorkomen.

Antwoord

In het onafhankelijk onderzoek van de ADR zal worden ingegaan op de naleving van de beveiligingsprotocollen en werkinstructies binnen het CIBG rondom dit onderwerp. Ik wacht deze onderzoeksresultaten af en zal de Kamer informeren over de uitkomst van dit onderzoek.

Als uitvoeringsorganisatie is het CIBG zelf verantwoordelijk voor het aanscherpen en/of herzien van de bestaande protocollen. Hierover legt het CIBG wel verantwoording af aan mijn ministerie. Ik zal het CIBG vragen om de eventueel te nemen vervolgstappen aan mij te rapporteren en deze openbaar te maken.

6.

Er is terecht steeds meer aandacht voor de digitale beveiliging van onze data, maar wordt er daarbij ook nog voldoende aandacht besteed aan de beveiliging van de fysieke dragers van data?

Antwoord

De wijze waarop binnen het CIBG is omgegaan met (de beveiliging van) de externe harde schijven is onderdeel van het onderzoek van de ADR. De algemene regels omtrent de beveiliging van fysieke dragers van data zijn vastgelegd in Rijksbrede richtlijnen, die gebaseerd zijn op de Baseline Informatiebeveiliging Overheid 2019 (BIO). De BIO bevat zeer uitgebreide personele, technische, organisatorische en fysieke maatregelen, procedures en ondersteunende producten.

7.

Daarnaast vragen deze leden op welke manier de Minister voornemens is de bestaande protocollen aan te scherpen en te herzien.

Antwoord

Ik verwijs voor het antwoord op deze vraag naar mijn antwoord op vraag 5.

8.

De leden van de VVD-fractie vragen wat de stelling dat «er geen aanwijzingen zijn dat de schijven op enige wijzen zijn ontvreemd» betekent? Kan de Minister uitsluiten dat er geen gegevens in handen zijn van derden?

Antwoord

Het CIBG heeft aangegeven dat er tot op heden geen aanwijzingen zijn dat de schijven in handen van derden zijn. Dit kan echter niet volledig worden uitgesloten. Daarom monitort het CIBG nauwlettend of er signalen zijn die wijzen op mogelijke identiteitsfraude. Het CIBG heeft nauw contact met het Centraal Meldpunt Identiteitsfraude en -fouten van de Rijksdienst voor Identiteitsgegevens (RvIG). Tot op heden zijn bij dit meldpunt geen meldingen gedaan van identiteitsfraude waarbij een verband kan worden gelegd met dit datalek.

Het CIBG en de Nederlandse Transplantatie Stichting monitoren daarnaast of er ongebruikelijke of ongewone berichten worden ontvangen waarin wordt verwezen naar gegevens die ook op de externe harde schijven stonden. Ook monitort het CIBG via het klantencontactcentrum of er signalen binnenkomen die verband kunnen houden met het datalek. Tot slot wordt berichtgeving door de media nauwlettend gevolgd. Tot op heden heeft de monitoring nog geen vermoeden van onbevoegde kennisname van de gegevens opgeleverd.

9.

Ook willen genoemde leden graag weten op welke manier de verdere zoektocht naar de schijven zal geschieden en hoe groot de Minister de kans acht dat de data alsnog zullen worden teruggevonden.

Antwoord

Het CIBG heeft aangegeven dat de zoektocht inmiddels is afgerond. Het CIBG heeft tot en met 12 maart gezocht naar de schijven. De schijven zijn niet meer gevonden en ik acht de kans minimaal dat de schijven alsnog op een later moment worden teruggevonden.

10.

Daarnaast staat in de bijlage dat de vermiste data bestaan uit «voor- en achternaam, geslacht, geboortedatum, adresgegevens, donorkeuze, handtekening en burgerservicenummer of A-nummer van de periode februari 1998 tot juni 2010». Kan de Minister onderbouwen waarom dit tot de conclusie leidt dat de kans op identiteitsfraude klein is?

Antwoord

Het CIBG heeft de Rijksdienst voor Identiteitsgegevens (RvIG) gevraagd om de kans op identiteitsfraude in dit geval in te schatten. Het Centraal Meldpunt Identiteitsfraude en -fouten (CMI) van de RvIG heeft aangegeven dat NAW gegevens en geboortedatum worden gezien als «openbare gegevens», dat wil zeggen dat deze gegevens vaak ook vindbaar zijn door bijvoorbeeld een zoekopdracht in Google of op social media. Het Burgerservicenummer (en A-nummer) worden enkel gebruikt bij o.a. de overheid en in de zorgsector. Alhoewel de kans zeer klein is dat dit nummer wordt misbruikt, is het niet uit te sluiten. Het aantal meldingen dat de RvIG jaarlijks ontvangt met betrekking tot het misbruik van het BSN en A-nummer is minimaal. Gelet op het feit dat dit datalek geen gevolg is van een hack en er ook geen aanwijzingen zijn dat de harde schijven zijn ontvreemd, acht de RvIG de kans op identiteitsfraude klein.

11.

Worden de mensen wier gegevens nu mogelijk op straat liggen geïnformeerd? Zo ja, wat wordt hen verteld?

Antwoord

Het CIBG heeft een bericht geplaatst op de website van het donorregister om burgers te informeren over het datalek en de mogelijke gevolgen. In het bericht wordt aangegeven welke risico’s burgers lopen en hoe zij contact op kunnen nemen met het CIBG. Het CIBG heeft een emailadres en een apart telefoonnummer beschikbaar gesteld. Ook biedt het CIBG de burgers de mogelijkheid om uitsluitsel te krijgen over de vraag of zijn of haar persoonsgegevens op de betreffende vermiste schijven stonden bewaard.

12.

Tot slot hebben de leden van de VVD-fractie vragen over dit incident in relatie tot de inwerkingtreding van de nieuwe Donorwet in juli 2020. De Minister erkent dat met dit incident het vertrouwen van burgers in het donorregistratiesysteem mogelijk is geschaad. Ziet de Minister de noodzaak om het vertrouwen van burgers in het donorregistratiesysteem te herstellen? Zo ja, op welke manier is hij voornemens om dit te doen?

Antwoord

Ik vind het belangrijk dat burgers vertrouwen hebben in het Donorregister en de zorgvuldige omgang met hun gegevens. Zoals ik heb aangegeven in mijn brief aan de Kamer inzake dit datalek, begint het herstel van vertrouwen met transparantie, ten eerste over de oorzaken, ten tweede over eventuele maatregelen die een dergelijk incident in de toekomst moeten voorkomen en ten derde over de uitgangspunten die worden gevolgd bij de herbouw van het nieuwe Donorregister, welke per 1 juli 2020 live gaat (zoals privacy-by-design).

De ADR doet onafhankelijk onderzoek naar het datalek en ik heb toegezegd de uitkomst hiervan aan uw Kamer te sturen. Daarnaast zal ik het CIBG vragen om eventueel te nemen vervolgstappen aan mij te rapporteren en deze openbaar te maken. Het CIBG past momenteel ook de privacy-verklaring aan op de website van het Donorregister. Ik vind dat deze informatie duidelijk en toegankelijk op de website van het Donorregister te vinden moet zijn. Ook dit draagt bij aan het herstel van het vertrouwen.

13.

Genoemde leden vragen aan de Minister waarom de externe harde schijven niet beveiligd waren.

Antwoord

Ik verwijs hiervoor naar mijn antwoord op vraag 4.

14.

Kan de Minister tevens aangeven wie binnen het CIBG toegang had tot deze gegevens? Zijn hiervan log- of registratiegegevens beschikbaar over wie toegang tot de kluis hadden? Indien dat niet het geval is, vragen deze leden waarom deze gegevens niet bijgehouden zijn.

Antwoord

Het CIBG geeft aan dat zowel de kluis op de locatie Kerkrade, als de kluis op de locatie Heerlen, was afgesloten. In Kerkrade werd de sleutel beheerd door de afdeling Functioneel Beheer van het CIBG. In Heerlen werd de sleutel beheerd door twee aangewezen medewerkers van het CIBG. CIBG-medewerkers konden met toestemming van de personen met een sleutel toegang krijgen tot de kluis. De (naleving van de) procedure m.b.t. de toegang tot de kluizen wordt meegenomen in het onderzoek van de ADR.

15.

Wanneer zijn de twee externe harde schijven voor het laatst geraadpleegd en wanneer zijn deze voor het laatst gezien?

Antwoord

Het CIBG geeft aan dat de externe harde schijven in 2016 voor het laatst gezien en gebruikt zijn door een CIBG-medewerker op de vestiging in Heerlen. Dit was na de verhuizing vanuit Kerkrade op 18 en 19 februari 2016.

16.

Kan de Minister aangeven wat de risico’s en gevolgen zijn als de gegevens die op de externe harde schijven staan, in verkeerde handen vallen?

Antwoord

Ik verwijs hiervoor naar mijn antwoord op vraag 10.

17.

De leden van de CDA-fractie lezen dat het kabinet voornemens is een register ontstaansgeschiedenis (ROG) in te richten, van belang in verband met draagmoederschap, donorschap en adoptie. Hier worden zeer gevoelige gegevens in opgenomen waar alleen kinderen toegang toe moeten hebben. Gelet op de behoefte aan beveiliging en toegankelijkheid vragen de leden van de CDA-fractie hoe er aan de voorkant voor wordt gezorgd dat dit register geen kwetsbaarheden heeft?

Antwoord

Het is juist dat in het wetsvoorstel Kind, draagmoederschap en afstamming is opgenomen dat er voor kinderen die zijn geboren uit draagmoederschap een register zal worden opgezet waarin onder meer gegevens over de biologische afstamming en informatie over het draagmoederschapstraject worden opgenomen. Daarnaast wordt beoogd om aan kinderen met vragen omtrent de afstamming een centrale toegang te bieden, ongeacht de wijzen waarop afstammingsrelaties tot stand zijn gekomen. Vragen zoals welke gegevens onder welke voorwaarden in het register zullen worden opgenomen en wie onder welke voorwaarden en wanneer toegang heeft tot de gegevens, moeten nog nader worden uitgewerkt. Het is niet zo dat is bepaald dat alleen kinderen toegang tot deze gegevens moeten hebben, zoals door de CDA-fractieleden wordt gesuggereerd. De vraag welke personen toegang tot deze gegevens moeten hebben wordt namelijk nog uitgewerkt. Eén van de aspecten die grote aandacht heeft bij de uitwerking van het register is de beveiliging van de gegevens in verhouding tot de toegankelijkheid hiervan. Daarbij wordt er uiteraard naar gestreefd dat het register op dit punt zo min mogelijk kwetsbaarheden heeft.

18.

Deze leden horen dan ook allereerst graag van de Minister welke stappen hij en het CIBG gaan zetten om het geschade vertrouwen in het Donorregister en de zorgvuldige omgang met persoonlijke gegevens van mensen te herstellen, aanvullend aan de stappen die reeds in de brief staan.

Antwoord

Ik verwijs hiervoor naar mijn antwoord op vraag 12.

19.

Allereerst hebben de leden van de D66-fractie enkele vragen over de precieze data betreffende dit datalek. Op welke datum (of data) is een back-up gemaakt van de twee externe harde schijven?

Antwoord

De twee externe harde schijven fungeerden als de back-up van de papieren registratieformulieren. Het inscannen van deze formulieren was onderdeel van het digitaliseringsproject van het Donorregister bij het CIBG. Voor dit project heeft het CIBG de Belastingdienst gevraagd om 6,9 miljoen donorkeuzeformulieren, zoals geregistreerd of gewijzigd in de periode van februari 1998 tot juni 2010, in te scannen. De Belastingdienst is hiermee op 1 december 2012 gestart en was op 25 oktober 2013 klaar. In deze periode heeft de Belastingdienst de externe harde schijven aangemaakt. In augustus 2015 zijn de externe harde schijven (als back-up) door de Belastingdienst overhandigd aan het CIBG.

20.

Vervolgens zijn deze externe harde schijven in een kluis gelegd, zo maken deze leden op uit de brief. Op welke datum zijn deze documenten precies in de kluis gelegd? Vervolgens lezen genoemde leden dat er twee verhuizingen van het Donorregister hebben plaatsvonden. Graag vernemen deze leden de precieze data van deze verhuizingen. Ook vernemen zij graag of de desbetreffende kluis tijdens beide verhuizingen direct is mee verhuisd. Kan de Minister daarnaast bevestigen dat voorafgaand aan en na afloop van beide verhuizingen, de inhoud van de kluis is gecontroleerd en men derhalve na beide verhuizingen wist dat de externe harde schijven nog in de kluis lagen?

Antwoord

Het CIBG geeft aan dat op 18 en 19 februari 2016 de verhuizing van de CIBG-vestiging in Kerkrade plaatsvond naar de nieuwe vestiging in Heerlen. Bij deze verhuizing zijn de externe harde schijven die in de kluis lagen meeverhuisd. De betreffende kluis in Kerkrade is niet meeverhuisd. Het CIBG heeft in Heerlen beschikking gekregen over een andere kluis. De schijven zijn daarna gezien en gebruikt op de vestiging in Heerlen. Het is niet precies bekend of en wanneer de schijven in de kluis zijn gelegd. De tweede verhuizing vond plaats op 17 en 18 mei 2018 binnen hetzelfde gebouw in Heerlen. Tijdens deze interne verhuizing is de kluis waarvan het CIBG gebruikmaakt in Heerlen niet verplaatst.

De (naleving van de) procedure m.b.t. het beheer en de toegang tot de kluizen wordt meegenomen in het onderzoek van de ADR.

21.

Kan de Minister toelichten op welke datum precies werd begonnen met de vernietiging van het papieren archief van het Donorregister als gevolg van het Vervangingsbesluit Donor archief 1998–2010 CIBG? Op welke datum werd ontdekt dat twee externe harde schijven niet meer in de kluis lagen? Is er toen eerst een zoekactie begonnen en zo ja, tot welke datum heeft die geduurd?

Antwoord

Ik verwijs hiervoor naar mijn antwoord op vraag 3 en 9.

22.

Op welke datum heeft de privacy officer van het CIBG de vermissing van de back-up aangemerkt als een datalek? Klopt het dat de AP op 6 maart op de hoogte is gesteld van het datalek? Klopt het dat de Minister op 9 maart op de hoogte is gesteld van het datalek, of is de Minister hierover al eerder (informeel) geïnformeerd?

Antwoord

Ik verwijs hiervoor naar mijn antwoord op vraag 1 en 3.

23.

Deze leden lezen dat de externe harde schijven «hoogstwaarschijnlijk niet zijn beveiligd». Deze leden hebben zich verbaasd over deze passage uit de brief. Kan de Minister toelichten wat precies bedoeld wordt met deze passage? Waarom is het niet bekend of deze externe harde schijven beveiligd zijn?

Antwoord

Ik verwijs hiervoor naar mijn antwoord op vraag 4.

24.

Op welke wijze zouden dergelijke externe harde schijven met persoonsgegevens volgens de AP en de Algemene verordening gegevensbescherming (AVG) beveiligd moeten zijn? Indien de harde schijven wel beveiligd waren, hetgeen dus hoogstwaarschijnlijk niet het geval was, voldeed de beveiliging aan de eisen van de AP en de AVG?

Antwoord

De AVG kent een open norm waar het gaat om de beveiliging van persoonsgegevens. Organisaties moeten «passende technische en organisatorische maatregelen» nemen om de persoonsgegevens te beschermen. De AVG stelt dat, waar passend, persoonsgegevens moeten worden beveiligd door middel van pseudonimisering en versleuteling van de persoonsgegevens.

Het CIBG volgt ten aanzien van (informatie)beveiliging de Rijksbrede richtlijnen die gebaseerd zijn op de Baseline Informatiebeveiliging Overheid 2019 (BIO). De BIO bevat zeer uitgebreide personele, technische, organisatorische en fysieke maatregelen, procedures en ondersteunende producten. Volgens deze regels moeten externe harde schijven versleuteld zijn en in een kluis worden bewaard.

De wijze waarop binnen het CIBG is omgegaan met (de beveiliging van) de externe harde schijven is onderdeel van het onderzoek van de ADR, waarover ik de Kamer zal informeren.

25.

De leden van de D66-fractie vernemen graag meer informatie over de kluis waar deze twee externe harde schijven in opgeslagen lagen. Genoemde leden vragen of er ook andere documenten of harde schijven opgeslagen lagen in deze kluis. Zo ja, zijn deze nog wel allemaal in het bezit van het CIBG? Kan de Minister daarnaast toelichten of de kluis zelf ook enige vorm van beveiliging had en hoeveel personen toegang hadden tot deze kluis? Moest voor toegang tot de kluis een bepaald document getekend worden of kon een ieder (die de eventuele toegangscode voor deze kluis had) deze gewoon openen?

Antwoord

Het CIBG heeft bevestigd dat er op dit moment ook andere externe gegevensdragers in de kluis liggen. Het CIBG heeft naar aanleiding van het incident het beleid t.a.v. beheer en toegang tot de kluis aangepast en aangescherpt, zodat herhaling van eenzelfde soort incident wordt voorkomen.

Zowel de kluis op de locatie Kerkrade, als de kluis op de locatie Heerlen, waren afgesloten. In Kerkrade werd de sleutel beheerd door de afdeling Functioneel Beheer van het CIBG. In Heerlen werd en wordt de sleutel beheerd door twee aangewezen medewerkers van het CIBG. CIBG-medewerkers kunnen met toestemming van de personen met een sleutel toegang krijgen tot de kluis. De (naleving van de) procedure m.b.t. de toegang tot de kluizen wordt meegenomen in het onderzoek van de ADR.

26.

Ten aanzien van de gelekte persoonsgegevens vernemen de leden van de D66-fractie graag of precies bekend is welke persoonsgegevens gelekt zijn. Van hoeveel unieke personen zijn nu persoonsgegevens gelekt? Worden deze mensen hierover (actief of passief) geïnformeerd?

Antwoord

De gelekte persoonsgegevens betreffen: voor- en achternaam, geslacht, geboortedatum, adresgegevens, donorkeuze, handtekening en burgerservicenummer of A-nummer van de periode februari 1998 tot juni 2010 van 6.058.250 unieke personen, inclusief personen die thans overleden zijn.

Met betrekking tot het informeren van deze personen verwijs ik naar mijn antwoord op vraag 11.

27.

Ondanks dat in de brief staat dat het risico op identiteitsfraude in alle redelijkheid als laag aan te merken valt, kan identiteitsfraude niet (geheel) worden uitgesloten. Graag vernemen deze leden op welke wijze wordt gemonitord of identiteitsfraude met de gelekte persoonsgegevens plaats vindt. Indien identiteitsfraude plaatsvindt, waar kunnen gedupeerden terecht en hoe weten zij dat?

Antwoord

Voor de wijze van monitoring verwijs ik naar het antwoord op vraag 8.

Personen die vermoeden dat er identiteitsfraude is gepleegd met hun gegevens worden in het bericht dat het CIBG heeft geplaatst op de website van het Donorregister doorverwezen naar de identiteitsfraude website van de rijksoverheid. Daar kunnen ze alle informatie vinden over wat te doen bij identiteitsfraude. Ook kunnen ze met vragen terecht bij het CIBG via de email of telefoon.

28.

Tot slot over dit onderwerp, kan de Minister toelichten wat wordt bedoeld met de zin in de brief dat hij «geen signaal heeft ontvangen van onbevoegde kennisname van de gegevens op de externe harde schijven». Op welke wijze zou de Minister hiervan signalen hebben ontvangen? Hoe kan de Minister uitsluiten dat dit wel of niet gebeurd is?

Antwoord

Ik verwijs hiervoor naar het antwoord op vraag 27.

29.

Had het datalek ook plaatsgevonden, indien de aanwezige beveiligingsprotocollen en (werk)instructies wel waren nageleefd?

Antwoord

In het onafhankelijke onderzoek dat de ADR uitvoert zal worden ingegaan op de naleving van de beveiligingsprotocollen en werkinstructies binnen het CIBG. Ik zal de Kamer informeren over de uitkomst van dit onderzoek.

30.

Daar in de tweede passage wordt besproken over herziening en aanscherping, wordt de verwachting gewekt dat deze beveiligingsprotocollen en instructies aan herziening en aanscherping toe zijn. Wederom ontvangen deze leden hierover graag een reactie.

Antwoord

In het onafhankelijke onderzoek dat de ADR uitvoert zal ook hierop worden ingegaan. Ik zal de Kamer informeren over de uitkomst van dit onderzoek.

Het CIBG onderzoekt zelf, vooruitlopend op de uitkomsten van het ADR onderzoek, welke interne veranderingen met voorrang doorgevoerd kunnen worden. Naar aanleiding van dit datalek heeft het CIBG bijvoorbeeld het beleid omtrent beheer en toegang tot de kluis aangepast en aangescherpt, zodat herhaling van eenzelfde soort incident wordt voorkomen.

31.

Deze leden vernemen daarnaast graag hoeveel beveiligingsprotocollen en werkinstructies, die relevant zijn voor het datalek, er precies zijn? Hoe wordt toegezien op de naleving van deze instructies en protocollen? Zijn deze protocollen en instructies herzien met de inwerkingtreding van de AVG? Kan de Minister per relevant protocol en relevante instructie aangeven wanneer deze voor het laatst geëvalueerd zijn en welk proces is ingericht om de instructies en protocollen bijgewerkt te houden? Tenslotte vragen deze leden wanneer de evaluatie van deze protocollen gereed is en of de Minister de Kamer kan informeren tot welke herzieningen en aanscherpingen dit zal leiden.

Antwoord

Het CIBG volgt ten aanzien van (informatie)beveiliging de Rijks richtlijnen die gebaseerd zijn op de Baseline Informatiebeveiliging Overheid 2019 (BIO). Deze regels zijn specifieker dan de open normen van de AVG. De BIO bevat zeer uitgebreide personele, technische, organisatorische en fysieke maatregelen, procedures en ondersteunende producten. De vraag hoeveel protocollen en werkinstructies het CIBG heeft ten aanzien van dit onderwerp, wanneer deze geëvalueerd zijn en welke ondersteunende processen zijn ingericht met betrekking tot de naleving, wordt meegenomen in het onderzoek van de ADR waarover ik de Kamer zal informeren. Of dit voor het CIBG ook zal leiden tot herzieningen en aanscherpingen van instructies en protocollen, zal op basis van de onderzoeksresultaten van de ADR worden beoordeeld.

32.

Over de vervolgstappen hebben de leden van de D66-fractie ook enkele vragen. Zo lezen genoemde leden in de brief van de Minister dat de directeur van het CIBG de Audit Dienst Rijk (ADR) heeft verzocht een onafhankelijk onderzoek te verrichten binnen het hele CIBG naar zijn handelen in relatie tot de veiligheid van externe gegevensdragers. Deze leden vernemen graag de precieze onderzoeksvraag die aan de ADR is meegegeven voor zijn onderzoek.

Antwoord

De ADR is verzocht een onafhankelijk onderzoek uit te voeren naar de wijze waarop binnen het CIBG wordt omgegaan met externe gegevensdragers, teneinde het CIBG via handelingsperspectief in staat te stellen om mogelijke verbeteringen door te voeren. Zowel het beleid, de implementatie daarvan als de bestaande beheersmaatregelen ten aanzien van het huidige en toekomstige donorregister vallen binnen de reikwijdte van het onderzoek. De ADR is bereid dit onderzoek uit te voeren en zal naar verwachting uiterlijk eind mei 2020 een rapportage opleveren.

33.

Daarnaast vernemen deze leden graag waarom de zinsnede «in relatie tot de veiligheid van externe gegevensdragers» expliciet in de brief staat. Deelt de Minister de mening, gezien de bredere expertise van de ADR, dat het eerder gewenst zou zijn de gehele informatiebeveiliging en privacybescherming te onderzoeken en hierbij dus geen beperkingen aangaande externe gegevensdragers opgenomen dienen te worden? Zo ja, is hij bereid de ADR dit te verzoeken? Zo nee, waarom is de Minister van mening dat enkel aanbevelingen en/of adviezen aangaande de veiligheid van de externe gegevensdragers van belang zouden kunnen zijn?

Antwoord

Het datalek geeft een concrete aanwijzing dat de protocollen en/of werkinstructies ten aanzien van externe gegevensdragers niet zijn gevolgd. Het CIBG wil op tijd verbeteringen kunnen doorvoeren om een herhaling van eenzelfde soort fout te voorkomen. Daarom is besloten het onderzoek van de ADR in beginsel te beperken tot externe gegevensdragers, zodat eventuele maatregelen snel kunnen worden geïmplementeerd.

34.

Tevens lezen de leden van de D66-fractie dat «de zoektocht naar de externe schijven wordt voortgezet». Kan de Minister nader toelichten wat hiermee bedoeld wordt? Wie voert deze zoektocht uit en op basis van welke informatie wordt gezocht?

Antwoord

Ik verwijs hiervoor naar mijn antwoord op vraag 9.

35.

Is aangifte gedaan bij de politie en is de politie ook betrokken bij de zoektocht?

Antwoord

Het CIBG heeft geen aangifte gedaan bij de politie, er zijn geen aanwijzingen of vermoedens dat de externe harde schijven zijn ontvreemd.

36.

Deze leden lezen in de brief dat «Er geen aanwijzingen zijn dat de schijven of gegevens op enige wijze zijn ontvreemd.» Waarom wordt hier plots ook gesproken over «gegevens»? Deze leden vinden dit verwarrend. Kan de Minister toelichten wat er nou precies mist op dit moment en indien het enkel om gegevens zou gaan en de harde schijven derhalve nog in het bezit van het CIBG zouden zijn, hoe weet hij dat? Indien de schijven naar alle waarschijnlijkheid niet zijn ontvreemd, dan vragen deze leden hoe het datalek dan precies heeft plaats kunnenvinden.

Antwoord

De harde schijven met de gegevens erop zijn vermist maar er zijn geen aanwijzingen dat deze harde schijven of de gegevens erop zijn ontvreemd (gestolen). De vraag hoe het datalek heeft kunnen gebeuren valt binnen de reikwijdte van het onderzoek van de ADR.

37.

Deze leden missen bij de maatregelen die aangekondigd worden in de brief een maatregel over een onderzoek naar de vraag hoe dit precies heeft kunnen gebeuren. Graag ontvangen deze leden de bevestiging dat ook hiernaar gekeken wordt en dat de Kamer hierover wordt geïnformeerd.

Antwoord

In de reikwijdte van het ADR onderzoek valt ook de vraag hoe dit datalek heeft kunnen plaatsvinden, de Kamer wordt zoals gezegd geïnformeerd over de uitkomst van dit onderzoek.

38.

De leden van de SP-fractie vragen hoe het kan dat zoveel data op losse schijven kunnen rondzwerven en hoe een dergelijke situatie in de toekomst voorkomen kan worden.

Antwoord

Ik verwijs hiervoor naar mijn antwoord op vraag 12.

39.

Genoemde leden vragen of het onderzoek door de ADR reeds is gestart, wanneer de resultaten te verwachten zijn en wat de precieze onderzoeksvragen zijn. Deze leden nemen hierbij aan dat de betekenis voor de personen wier gegevens het betreft expliciet onderdeel is van dit onderzoek.

Antwoord

De ADR is in maart reeds begonnen met vooronderzoek. De verwachting is dat het onderzoek eind mei kan worden afgerond. Voor wat betreft de onderzoeksvragen verwijs ik naar mijn eerdere antwoord op vraag 32.

De betekenis van het datalek voor de personen die het betreffen valt buiten scope, omdat de RvIG heeft aangegeven dat de risico’s, gezien de aard van de gegevens, minimaal zijn. Wel is het mogelijk dat de AP hier naar zal kijken. De AP doet echter geen uitspraken over het verloop en de inhoud van onderzoek dat door hen wordt uitgevoerd. Conform mijn toezegging informeer ik uw Kamer over de uitkomsten van het onderzoek van de ADR en, indien van toepassing, die van de AP.

40.

Deze leden gaan er tevens vanuit dat alles op alles gezet wordt om de vermiste harde schijven terug te vinden.

Antwoord

Ik verwijs hierbij naar mijn antwoord op vraag 9.

41.

Daarnaast vragen deze leden de bevestiging dat uitgesloten is dat de vermissing van de harde schijven zorgt voor verkeerde informatie in het nieuwe Donorregister dat binnenkort in werking treedt.

Antwoord

Dit kan ik bevestigen. De vermissing van de externe schijven met back-up gegevens heeft geen enkele invloed op de juistheid en betrouwbaarheid van de gegevens in het huidige en nieuwe Donorregister. De gegevens staan correct en up-to-date in het register.