Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 17 mei 2021

In onze brief van 14 december 2020 hebben wij uw Kamer geïnformeerd over een datalek binnen het Justitieel Documentatie Systeem (JDS).1 Tevens hebben wij toen een evaluatie naar dit datalek aangekondigd. In deze brief informeren wij u over de uitkomst van deze evaluatie.

Terugblik

Het datalek heeft kunnen ontstaan doordat sinds 1 januari 2020 het OM-advies is toegevoegd aan JDS. Naar later bleek is dit uitgevoerd zonder aanpassing van de autorisatiesystematiek. Dit houdt in dat door geautoriseerde toegang tot het OM-advies men automatisch ook toegang had tot de Persoonsdossiers.

Direct na constatering op 28 oktober 2020 is het datalek gedicht. Justid heeft door goede logging exact na kunnen gaan wie wanneer toegang had tot welke gegevens. Dit heeft het mogelijk gemaakt om precies te bepalen waar het lek zich gemanifesteerd heeft.

Door het datalek zouden 24 medewerkers toegang tot bepaalde informatie kunnen hebben gehad. 10 daarvan hebben ook daadwerkelijk toegang verkregen. Deze 10 personen zouden deze informatie ook via een andere weg tot zich kunnen nemen en waren op dat moment bevoegd om de informatie in te zien voor de uitoefening van de functie.

Het datalek heeft er dus niet toe geleid dat personen toegang hebben verkregen tot informatie waartoe men niet bevoegd was.

Evaluatie

Uit de evaluatie blijkt dat dit datalek is ontstaan door samenloop van een drietal factoren.

Allereerst is vóór de inproductiename van het OM-advies op 1 januari 2020 door het implementatieprogramma voor de wet Uitvoering Strafrechtelijke Beslissingen (USB) een risico erkend met betrekking tot toegang tot het Persoonsdossier. Dit risico werd aanvaardbaar geacht mits maatregelen getroffen zouden worden om het risico te mitigeren. Tijdens en na de implementatie van het OM-advies in JDS is er echter onvoldoende aandacht geweest voor het treffen van deze maatregelen.

Ten tweede heeft het te lang geduurd voordat actie is ondernomen nadat op operationeel niveau bekend was geworden dat de autorisatie-systematiek van het OM-advies mogelijk onjuist was geïmplementeerd. De verklaring hiervoor is een onderschatting van de impact van deze mogelijk onjuiste implementatie in combinatie met de complexiteit om hiervoor een oplossing te vinden.

Ten derde is in het gehele traject de verwerkingsverantwoordelijke van de Persoonsdossiers tot aan de constatering van het datalek op 28 oktober 2020 ten onrechte niet betrokken geweest. De verwerkingsverantwoordelijke is daardoor niet in de gelegenheid gesteld om zijn verantwoordelijkheid te nemen bij deze aanpassing van JDS.

Aanbevelingen

Vanuit de evaluatie is de aanbeveling gedaan om bij de overdracht van een project aan de lijn alert te zijn en blijven op het specifiek en expliciet vastleggen hoe met restpunten en risico’s omgegaan dient te worden. Hiernaast zal op ieder niveau continu aandacht moeten worden gegeven aan het herkennen, erkennen en handelen bij situaties zoals in deze brief beschreven. Ook zal binnen een project en tijdens de implementatie regelmatig stilgestaan moeten worden bij ieders rol en verantwoordelijkheid en regelmatig beoordeeld moeten worden of een rol wordt gemist.

Binnen de Strafrechtketen worden de bevindingen en aanbevelingen uit de evaluatie van dit datalek breed verspreid. Deze zullen als basis dienen om processen en procedures aan te passen.

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus

De Minister voor Rechtsbescherming, S. Dekker