De Autoriteit Persoonsgegevens (AP) heeft de provincie onder geïntensiveerd toezicht gesteld. Dat betekent dat de provincie concrete afspraken moet maken met de AP over hoe ze zorgvuldiger om wil gaan met persoonsgegevens en daarover geregeld moet rapporteren. Je hebt hier eerder over kunnen lezen op 11 april.
Wat is er ook alweer aan de hand?
Concrete aanleiding vormt vooral een datalek in een intern systeem dat we hebben gemeld op 8 september 2023. Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of de bedoeling is. Het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens zijn voorbeelden van datalekken. De provincie gebruikt voor de archivering en opslag van documenten en het intern samenwerken aan documenten een document management systeem. Het systeem bevat allerlei gegevens, van memo’s en besluiten tot uiteenlopende (persoonlijke) gegevens van burgers, zakelijke contacten en (externe) medewerkers.
Onze teams Privacy en Informatieveiligheid kwamen in dat systeem (bijzondere) persoonsgegevens tegen die toegankelijk waren voor vrijwel alle medewerkers van de provincie. Categorieën van persoonsgegevens die zijn aangetroffen zijn onder meer NAW-gegevens, contactgegevens, geboortedata, kopieën van identiteitsdocumenten, BSN-nummers en gegevens over opleiding- en werkervaring. Veel medewerkers hadden geen toegang tot deze gegevens nodig om hun functie uit te oefenen. Dat betekent dat er sprake is van een datalek.
Wie hebben ongeoorloofd persoonlijke gegevens in kunnen zien?
Alleen mensen met toegang tot het document management systeem van de provincie hebben potentieel persoonlijke gegevens kunnen inzien die ze niet nodig hebben voor het uitoefenen van hun werk. Omdat het systeem al jaren oud is, betekent dit ook dat gegevens in het verleden toegankelijk zijn geweest voor medewerkers die nu niet meer voor de provincie werken.
Welke maatregelen heeft de provincie al genomen of gaan we nog nemen?
Direct na melding van het datalek is er actie ondernomen, waaronder het identificeren en isoleren van documenten en het afsluiten van bepaalde mappen. Daarmee is het datalek helaas nog niet opgelost. Om maatregelen op langere termijn te identificeren en de veiligheid van de systemen en bescherming van persoonsgegevens te kunnen waarborgen, is de provincie gestart met de opdracht: ‘Bescherming persoonsgegevens provincie Zuid-Holland: Privacyvolwassenheid 3 en datalek IDMS’. Binnen deze opdracht zijn diverse teams betrokken, ieder met hun eigen expertise.
Investeren in systemen en mensen
De provincie herkent zich in de brief van de AP dat zorgvuldig met informatie omgaan die aan de provincie is toevertrouwd essentieel is. Al vóór deze melding heeft de provincie €23 miljoen uitgetrokken voor de groei en transitie van de provinciale informatiehuishouding. Dit is een omvangrijk programma waarin de manier waarop we naar data en informatie kijken en hoe we ermee omgaan, centraal staat. Bovendien investeren we onder andere met een langlopende campagne en trainingen in het data-vaardiger maken van collega’s want zorgvuldig omgaan met data is mensenwerk. We zien het verscherpte toezicht van de Autoriteit Persoonsgegevens als een kans om deze transitie te versnellen.
Wat zijn de waarschijnlijke gevolgen van dit datalek voor betrokkenen?
Het is niet aannemelijk dat andere personen dan (voormalig) medewerkers van de provincie de persoonsgegevens hebben ingezien. We hebben geen signalen ontvangen dat documenten extern toegankelijk zijn (geweest). Onze medewerkers hebben een eed of belofte afgelegd of een integriteitsverklaring getekend voor het uitvoeren van werkzaamheden voor de provincie en zijn dus bekend met het onderwerp integriteit en hoe met (privacy)gevoelige informatie om te gaan.
Hoewel wij niet verwachten dat dit datalek grote gevolgen heeft voor betrokkenen, kunnen we eventuele nadelige gevolgen niet uitsluiten. Als gevolg van dit datalek bestaat er een risico op identiteitsfraude, oplichting, financiële fraude of reputatieschade, afhankelijk van de aard van de gegevens. Vanwege het grote aantal documenten in het systeem is het vooralsnog niet mogelijk om individuele personen te berichten en doen wij deze kennisgeving in zijn algemeenheid.
Welke maatregelen kun je zelf nemen?
Maatregelen die je kunt nemen om mogelijke nadelige gevolgen van een datalek te beperken zijn alert blijven op mogelijke phishing mails en verdachte telefoontjes of verdachte Whatsapp berichten of signalen van identiteitsfraude. Overige maatregelen zoals het regelmatig wijzigen van wachtwoorden, het gebruik van sterke wachtwoorden en het instellen van tweefactor authenticatie zijn altijd goede voorzorgsmaatregelen in de digitale wereld. Wil je meer weten over mogelijke maatregelen na een datalek? Kijk dan op de webpagina voor betrokkene van een datalek van de Autoriteit Persoonsgegevens.
Vragen?
Voor vragen of meer informatie over dit datalek kun je contact opnemen met onze Functionaris voor Gegevensbescherming, Niels Bons, via [email protected].
Meer informatie over hoe de provincie omgaat met persoonsgegevens is te vinden in de privacyverklaring op onze website.