image

Minister: CBR nog bezig om aan de AVG te voldoen

woensdag 11 september 2019, 16:13 door Redactie, 12 reacties

Het Centraal Bureau Rijvaardigheidsbewijzen (CBR) is nog bezig om gevonden privacyrisico's in de systemen van de organisatie te verhelpen en aan de AVG te voldoen, zo heeft minister minister Van Nieuwenhuizen van Infrastructuur laten weten naar aanleiding van recent ontdekte datalekken.

Onlangs werd bekend dat in de eerste zes maanden van dit jaar 71 keer medische gegevens van een bepaalde cliënt in het dossier van een andere cliënt raadpleegbaar waren. Het probleem kwam aan het licht bij steekproeven, door meldingen van cliënten en door CBR-personeel dat de medische dossiers behandelt, zo liet het AD vorige maand weten. Naar aanleiding van de onthulling stelden het CDA, de ChristenUnie, D66 en de VVD vragen aan de minister. Van Nieuwenhuizen laat daarop weten dat vorig jaar vijf van dergelijke datalekken zijn geconstateerd.

In mei van dit jaar meldde de minister dat het CBR voor het einde van dit jaar aan de Algemene verordening gegevensbescherming (AVG) voldoet. In juni kwam het onderwerp nog eens tijdens een plenair overleg in de Tweede Kamer aan bod. "Het CBR is bezig om de activiteiten zoals opgenomen in het plan van aanpak, uit te voeren. Het heeft mij verzekerd dat het die activiteiten eind 2019 volledig heeft afgerond. De doorlooptijd tot het einde van het jaar wordt mede veroorzaakt omdat het CBR het eigenlijk nog over de volle breedte moest oppakken", aldus Van Nieuwenhuizen (pdf).

De minister voegde toe dat ze "not amused" was toen ze erachter kwam dat het nog niet klaar was. "Ik hoop dus echt dat het dit jaar wel op orde komt. Want u hebt helemaal gelijk: het gaat over kwetsbare, privacygevoelige informatie. Ik moet er ook echt niet aan denken dat daar iets mis mee zou gaan." Naar aanleiding van deze opmerking wilden Kamerleden van CDA, de ChristenUnie, D66 en de VVD weten wat de minister heeft gedaan om mogelijke problemen te voorkomen.

"Het CBR heeft een plan van aanpak opgesteld om de risico’s aan te pakken die uit de uitgevoerde privacy impact assessments van de bedrijfskritische Iict-systemen zijn gekomen. De betreffende activiteiten zijn in uitvoering. Via periodieke overleggen van mijn medewerkers met de CIO en de functionaris gegevensbescherming van het CBR wordt mijn ministerie door het CBR geïnformeerd over de voortgang van de uitvoering van het plan van aanpak", zo laat Van Nieuwenhuizen in haar antwoord weten (pdf).

Reacties (12)
11-09-2019, 16:30 door Ron625
De AVG dateert van 25 mei 2016 (handhaving 25 mei 2018), en dan na twee en een half jaar er nog niet aan voldoen?
11-09-2019, 17:07 door Anoniem
Door Ron625: De AVG dateert van 25 mei 2016 (handhaving 25 mei 2018), en dan na twee en een half jaar er nog niet aan voldoen?
Veel tijd (en geld) kostend nieuw computersysteem, foutgevoelige scan-software en te vindingrijke keuringsartsen leveren allemaal vertraging op om de AVG goed op orde te krijgen.
https://www.computable.nl/artikel/nieuws/security/6779712/250449/cbr-voegt-medische-data-toe-aan-verkeerde-dossiers.html
11-09-2019, 17:17 door karma4
Het cbr faalt volledig in het op tijd leveren van hun opinie bij her verlengen van rijbewijzen.
Dat is een ernstige inbreuk op de privacy van degenen die daar schade van ondervinden.

Als daarvan de oorzaak bij het ap ligt, gast het ap die privacy schade dan financieel compenseren?
11-09-2019, 18:45 door Anoniem
Door Ron625: De AVG dateert van 25 mei 2016 (handhaving 25 mei 2018), en dan na twee en een half jaar er nog niet aan voldoen?
Eh...jaha...ik ben ook nog steeds bezig om aan de AVG te voldoen....
Wel effe geduld hebben hè, want het wil maar niet goed lukken...
12-09-2019, 06:29 door Anoniem
Door karma4: Het cbr faalt volledig in het op tijd leveren van hun opinie bij her verlengen van rijbewijzen.
Deze vertragingen worden veroorzaakt door capaciteitsgebrek bij zowel medische keuringen als het afnemen van examens.
Dat is een ernstige inbreuk op de privacy van degenen die daar schade van ondervinden.

Als daarvan de oorzaak bij het ap ligt, gast het ap die privacy schade dan financieel compenseren?
Op zich ben ik het met je eens dat iemands persoonlijke levenssfeer (en dus privacy) wordt aangetast als die ernstig in zijn of haar bewegingsmogelijkheden wordt belemmerd. AP staat alleen voor Autoriteit Persoonsgegevens, en AVG voor Algemene verordening gegevensbescherming, en die termen dekken de lading. Die gaan niet over privacy in de breedste zin van het woord. Geluidsoverlast door lawaaiige buren bijvoorbeeld is ook een privacyinbreuk die niet onder de AVG en de AP valt.

Niet aan de vraag naar rijexamens en gezondheidsverklaringen kunnen voldoen is een probleem dat echt niet door de AP veroorzaakt wordt. En zelfs al zou het capaciteitsprobleem vervolgschade zijn van de inspanning die voldoen aan de AVG vergt, dan nog is het de geldende wetgeving waar alle organisaties aan moeten voldoen, is er een overgangsperiode van twee jaar geweest om de zaken op orde te krijgen en moesten organisaties al gedurende een kleine 17 jaar daarvoor aan vergelijkbare wetgeving voldoen. Als een organisatie aanpassing aan de AVG niet trekt dan ligt dat niet aan de toezichthouder maar aan hun eigen onoplettendheid en slechte voorbereiding.
12-09-2019, 07:17 door [Account Verwijderd]
Door karma4: Het cbr faalt volledig in het op tijd leveren van hun opinie bij her verlengen van rijbewijzen.
Dat is een ernstige inbreuk op de privacy van degenen die daar schade van ondervinden.

Als daarvan de oorzaak bij het ap ligt, gast het ap die privacy schade dan financieel compenseren?

Wat staat hier gast?
12-09-2019, 09:08 door Anoniem
Klein gedachten experiment: stel het CBR wordt morgen door de AP geheel ontheven van de verplichting om aan de AVG te voldoen. Zijn dan alle problemen bij het CBR voorbij? Zo niet, dan lag het misschien toch niet allemaal aan de AVG.

Veel problemen bij uitvoeringsorganisaties doen mij een beetje denken aan bevers. Er staat een grote boom, je knaagt er wat af, geen probleem. Je knaagt er nog wat af, weer geen probleem. Goh, dus je kunt prima stukken van zo'n boom afknagen en en gebeurt helemaal niks. Dat is goed om te weten! Lees voor bevers politici en voor boom een willekeurige uitvoeringsorganisatie.
12-09-2019, 09:19 door Anoniem
Redelijk stuitend dat de overheid toe heeft gestaan dat het bij dat onderdeel zo een zooitje werd dat nu weer jaren kost om een beetje op orde te krijgen.
12-09-2019, 11:59 door Anoniem
CBR is totaal kansloos gedrocht uit de oertijd wat allang vervangen had moeten worden. Hoeveel problemen vrachtwagenchauffeurs hebben om hun rijbewijs te verlengen... Hoeveel bejaarden nu onterecht wel of niet de weg op mogen. Het is een schande. Maar het CBR denkt (ook in dit geval) weer boven de wet te staan en heeft schijt aan het gepeupel.

En waarom ook niet? Ze komen er keer op keer mee weg. Het is een bureaucratische moloch waar niemand de handen aan durft te branden.
12-09-2019, 12:50 door Anoniem
Hmmm. Politie mag wel met drones rondvliegen en filmen en ambtenaren in werking mogen bodycams gebruiken en iedereen en alles filmen. Dus wat nou AVG? Al die data die ze vergaren, dacht niet dat ze die aan het einde van de dag permanent verwijderen, dat heeft de geschiedenis wel geleerd dat het dus niet zo is.. AL deze data is/wordt opgeslagen, dus beeld met geluid. Waarom sla je data op als er vervolgens niets mee gedaan zal worden?? Want denk je dat cloudopslag kost (veel, geloof me). Maar de waarheid, die zullen we nooit te weten krijgen.
12-09-2019, 15:37 door karma4
Door No more Patch Tuesday: ...
Wat staat hier gast?
Een doordenker:
Het ap , autoriteit persoonsgegevens, is zo verblind in het uitdragen dat als iemand wat van een overheidsadministratie ziet dat zoiets een privacyinbreuk is en tot identiteitsfraude zou kunnen leiden dat ze veroorzaker worden in het lamleggen van die verwerkingen.
Als gevolg daarvan ontstaat er nogal wat privacy gerelateerde schade. De schade verhalen bij de veroorzaker brengt dan mee dat het ap voor die gevallen een schadevergoeding als claim zou moeten kunnen krijgen.
14-09-2019, 12:39 door PJW9779
Door Anoniem: Klein gedachten experiment: stel het CBR wordt morgen door de AP geheel ontheven van de verplichting om aan de AVG te voldoen. Zijn dan alle problemen bij het CBR voorbij? Zo niet, dan lag het misschien toch niet allemaal aan de AVG.

Inderdaad een goeie.
Procesproblemen kunnen tot governance-problemen leiden, en die weer tot compliance-problemen.
Feitelijk elementair Business Risks Management, dat bij CBR dus aantoonbaar afwezig was én is.

In ieder geval heeft de AVG bij het CBR nu min of meer accuut - sinds begin 2016 - tot een compliance-issue geleid. In risicomanagement-termen : de 'proximity' is van 'verre toekomst' plotseling 'mei 2018' geworden.
Dan nóg geldt dat het CBR kennelijk al niet aan de WBP voldeed. En dan nóg geldt dat het CBR méér dan 2 jaar de tijd had om compliant te worden, en nu nog steeds meer tijd nodig zegt te hebben.
Dat heeft niets of nauwelijks iets met IT te maken.

Eenvoudigweg falend duurbetaald CBR-management.
Vraag is dus waarom de minister niet heeft ingegrepen.
En waarom de AP niet optreedt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.