Gebrekkige gegevensbescherming bij schadeloket Groningen

Gebrekkige gegevensbescherming bij schadeloket Groningen

Het Instituut Mijnbouwschade Groningen (IMG) heeft de beveiliging van persoonsgegevens nog steeds niet op orde. Dit constateert de Auditdienst Rijk (ADR) in een recent onderzoek naar aanleiding van twee datalekken uit 2022 waarbij gevoelige data van aardbevingsslachtoffers op straat kwamen te liggen.

In 2022 deden zich bij het IMG, dat de aardbevingsschade door de gaswinning in Groningen afhandelt, twee datalekken voor. Hierbij kwamen persoonlijke gegevens van aardbevingsslachtoffers op straat te liggen. Eind 2022 verzocht de Tweede Kamer met een motie de databescherming van IMG te laten doorlichten.

Uit het recent gepubliceerde onderzoek van de ADR blijkt nu dat de gegevensbescherming nog steeds niet voldoende zijn. Er zijn stappen genomen ter verbetering, maar vooral op papier en niet in de praktijk. Het zou daarbij vooral gaan om het opstellen van beleidsstukken waarin wordt aangegeven hoe het IMG persoonlijke data moet beschermen.

Meer controle en monitoring

De ADR wil vooral dat het IMG gaat letten op de controle- en monitoringsactiviteiten. Deze zouden volgens het onderzoek nog niet zijn aangetroffen. Hierdoor geeft het IMG geen actueel en volledig overzicht van de verschillende privacyrisico’s wat de reactiesnelheid op gebeurtenissen vermindert.

Vooral zaken rondom privacy zijn nog steeds niet duidelijk. Het gaat dan om zaken als identiteitsbeheer, veilige data-overdracht en encryptie. Daarnaast zijn concrete technische en organisatorische maatregelen voor privacyzaken om de beveiliging van persoonlijke data te waarborgen, niet altijd duidelijk zijn beschreven en/of in de praktijk aangetroffen.

De ADR trekt daarom als conclusie dat voor het IMG de borging van de veiligheid van persoonlijke gegevens op de langere termijn absolute aandacht verdient. Niet alleen vanwege de geconstateerde discrepantie tussen de plannen in de beleidsstukken en de praktijk, maar ook vanuit het oogpunt van de personele bezetting voor het uitvoeren van privacygerelateerde taken. Het IMG zou hiervoor veel inhuurkrachten gebruiken, waardoor vaak veel expertise en kennis verdwijnen wanneer deze de uitvoeringsorganisatie verlaten.

Actie door IMG

In een reactie op het rapport, onder verantwoordelijkheid van staatssecretaris Eddie van Marum (BBB) van Binnenlandse Zaken en in die functie volledig verantwoordelijk voor de afhandeling van de aardbevingsschade in Groningen, geeft IMG aan de gestelde verbeteringen door te zullen voeren.

Inmiddels zouden er al concrete vervolgacties zijn en worden er dit jaar nog meer opgestart, aldus de staatssecretaris in een Kamerbrief. De uitvoering en voortgang van deze maatregelen zal daarbij in de reguliere gesprekken tussen het departement en het IMG worden gemonitord.

Lees ook: Nederland worstelt met datadiefstal, terwijl in België RCE domineert