Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 4 maart 2021

Hierbij bied ik uw Kamer het onderzoeksrapport «Inventarisatie maatregelen t.a.v. beheer externe gegevensdragers Donorregister» van de Audit Dienst Rijk (ADR) aan1. Op 10 maart 2020 is uw Kamer geïnformeerd over het datalek dat zich heeft voorgedaan bij het CIBG ten aanzien van het Donorregister. Twee fysieke gegevensdragers (externe harde schijven) met daarop een kopie van donorformulieren met registraties en wijzigingen in het Donorregister in de periode 1998–2010 lagen niet meer in de kluis waar ze werden bewaard. Na de melding van het datalek bij het Ministerie van VWS en de Autoriteit Persoonsgegevens heeft het CIBG de ADR gevraagd onafhankelijk onderzoek uit te voeren. Met deze brief geef ik uitvoering aan mijn toezegging en de motie van het lid Van den Berg c.s.2, u te informeren over de uitkomst van dit onderzoek en zend ik u hierbij ook het volledige onderzoeksrapport toe inclusief de managementreactie van het CIBG.

Het onderzoek van de ADR vond plaats in een periode waarin het CIBG bezig was met de herbouw van het donorregistersysteem voor de invoering van de nieuwe donorwet. Door deze situatie bestonden er tijdelijk naast elkaar twee registers, één in uitvoering en één in opzet. De ADR heeft daarom onderzoek gedaan naar beide registers tot 1 juli 2020. Op 1 juli 2020 is het oude Donorregister geheel vervangen door het nieuwe Donorregister.

Uitkomst van het onderzoek inzake het datalek

De meeste bevindingen uit het onderzoek van de ADR hebben betrekking op het informatiebeveiligingsplan van het oude Donorregister. Deze was niet meer geactualiseerd sinds 2011 en de maatregelen, procedures en werkwijzen voor de omgang met externe gegevensdragers waren onvoldoende uitgewerkt. Specifiek heeft de ADR geconstateerd dat procedures en werkinstructies voor het bewaren en vernietigen van externe gegevensdragers niet of onvoldoende aanwezig waren. Hierdoor heeft het kunnen gebeuren dat de twee harde schijven zijn verdwenen, zonder dat kan worden nagegaan wat er precies is gebeurd met deze gegevensdragers. De ADR constateerde voor het nieuwe Donorregister dat het ten tijde van het onderzoek nog ontbrak aan een voldoende invulling en borging van het bijbehorend informatiebeveiligingsplan.

Het management van het CIBG geeft aan dit ernstige constateringen te vinden en stelt dat dit niet had mogen gebeuren. De interne sturing op de naleving van de regels omtrent informatiebeveiliging is onvoldoende geweest.

Ik sluit mij hierbij aan. Ook ik vind de bevindingen zeer ernstig. Iedereen moet erop kunnen vertrouwen dat met persoonsgegevens in het Donorregister zorgvuldig en op een goed beveiligde manier wordt omgegaan. Hierin is helaas tekortgeschoten. Om het vertrouwen terug te winnen, zijn directe verbeteracties nodig. In deze brief zal ik daarom ook toelichten wat het CIBG al heeft gedaan en nog zal doen om de informatiebeveiliging rondom het Donorregister te verbeteren.

Huidige situatie en vervolgacties

Het CIBG is direct aan de slag gegaan met de constateringen van de ADR en heeft al tijdens het lopende onderzoek de informatiebeveiliging rondom het nieuwe Donorregister verbeterd. Als resultaat hiervan zijn op dit moment de meeste maatregelen die het CIBG diende te nemen al geïmplementeerd. Zo is het informatiebeveiligingsplan geactualiseerd, is er een risicoanalyse uitgevoerd, zijn overeenkomsten met leveranciers aangepast en zijn er actiehouders benoemd om uitvoering te geven aan alle maatregelen die voortkomen uit wet- en regelgeving (BIO en de AVG). Nu richt het CIBG haar aandacht op de resterende maatregelen en het integreren van de maatregelen in de besturingscyclus van het CIBG om de kwaliteit continu te verbeteren. Op deze manier worden de aanbevelingen van het ADR-onderzoek structureel ingebed in de werkwijze van het CIBG. Ik ben tevreden over de voortvarendheid waarmee het CIBG met de uitkomsten van het onderzoek aan de slag is gegaan. Daaruit blijkt dat het CIBG zich de ernst van de bevindingen bewust is. Het CIBG zal zich over de verdere voortgang aan mij verantwoorden.

Ik vind het ook goed dat het CIBG het datalek heeft aangegrepen om het onderwerp informatiebeveiliging te bekijken vanuit een breder organisatieperspectief. Zij gaan met een meerjarenprogramma informatiebeveiliging meer prioriteit, capaciteit en aandacht geven om dit voor de gehele organisatie naar een hoger ambitieniveau te tillen. Ik blijf met het CIBG in gesprek over (de voortgang van) het onderwerp informatiebeveiliging en het meerjarenprogramma.

De ADR zal tevens, in navolging van de moties van de leden Dijkstra3 en Van den Berg c.s.4, aanvullend onderzoek doen naar het nieuwe Donorregister. Voor dit onderzoek zal de ADR de gehele informatiebeveiliging van het nieuwe Donorregister beoordelen. Zoals ik al eerder heb aangegeven, hoop ik de Kamer voor de zomer te kunnen informeren over de uitkomst van dit aanvullende onderzoek. Op termijn wordt ook de nieuwe donorwet geëvalueerd; het voornemen is om het onderwerp informatiebeveiliging van het Donorregister ook mee te nemen in deze evaluatie.

Ik dank de ADR hartelijk voor het gedegen onderzoek dat is verricht en de handelingsperspectieven die zij het CIBG hebben geboden. Deze hebben het CIBG de benodigde handvaten gegeven om de informatiebeveiliging rondom het Donorregister te verbeteren. Daarmee kan een eerste stap gezet worden om het geschonden vertrouwen te herstellen.

De Minister voor Medische Zorg, T. van Ark