image

Donorregister had geen procedures voor externe harde schijven

donderdag 4 maart 2021, 17:13 door Redactie, 19 reacties

Het Donorregister dat twee onbeveiligde harde schijven kwijtraakte met daarop de privégegevens van 6 miljoen Nederlanders had geen procedures, maatregelen en werkwijze opgesteld voor de omgang met externe harde schijven, usb-sticks en andere externe gegevensdragers. Tevens bleek het informatiebeveiligingsplan sinds 2011 niet meer te zijn bijgewerkt. Dat blijkt uit vandaag verschenen onderzoek van de Audit Dienst Rijk (ADR).

Het Donorregister raakte vorig jaar uit een kluis twee onbeveiligde harde schijven kwijt met daarop 6,9 miljoen gedigitaliseerde donorkeuzeformulieren. Op deze formulieren stonden de gegevens van zes miljoen unieke personen. Het ging om voor- en achternaam, geslacht, geboortedatum, toenmalige adresgegevens, toenmalige keuze over orgaandonatie, handtekening, burgerservicenummer of administratief nummer van de basisregistratie van de gemeente. De harde schijven, die nog altijd zijn vermist, waren niet versleuteld.

Naar aanleiding van het datalek werd er door de ADR een onderzoek ingesteld. "In het geldende informatiebeveiligingsplan was een inventarisatie gemaakt van bedrijfsmiddelen. Echter de bedrijfsmiddelen zoals externe gegevensdragers, zoals dvd's, usb-sticks en harde schijven, waren hierin niet opgenomen. In het plan zijn daardoor geen (verwijzingen naar) maatregelen, procedures en werkwijze aangetroffen voor externe gegevensdragers", aldus het rapport.

Daarnaast waren procedures voor het omgaan met en opslaan van informatie om deze te beschermen tegen onbevoegde openbaarmaking of misbruik niet volledig uitgewerkt. Wat betreft het gebruik van kluizen was er geen sleutelprotocol en geen werkinstructie waardoor er geen up-to-date overzicht was van wie in de kluis was geweest en wat er in de kluis behoorde te liggen.

"Wij hebben in de praktijk voorbeelden gezien dat bedrijfsmiddelen, zoals dvd's en papieren archief veilig worden afgevoerd, maar deze maatregelen zijn niet beschreven en zijn niet verankerd in het informatiebeveiligingsplan. Daardoor is het niet geborgd dat dit altijd op deze wijze plaatsvindt", stellen de onderzoekers.

Tevens bleek dat het geldende informatiebeveiligingsplan van het Donorregister sinds 2011 niet meer was bijgewerkt. Hierdoor sloot het informatiebeveiligingsplan niet meer aan op de veranderingen die sinds 2011 hebben plaatsgevonden ten aanzien van de omgeving van het Donorregister en het vernieuwde informatiebeveiligingsbeleid, merkten de onderzoekers verder op.

Had niet mogen gebeuren

"Het management van het CIBG geeft aan dit ernstige constateringen te vinden en stelt dat dit niet had mogen gebeuren. De interne sturing op de naleving van de regels omtrent informatiebeveiliging is onvoldoende geweest. Ik sluit mij hierbij aan. Ook ik vind de bevindingen zeer ernstig. Iedereen moet erop kunnen vertrouwen dat met persoonsgegevens in het Donorregister zorgvuldig en op een goed beveiligde manier wordt omgegaan", schrijft minister Van Ark voor Medische Zorg in een brief aan de Tweede Kamer.

Volgens de minister zijn om het vertrouwen terug te winnen directe verbeteracties nodig. Al tijdens het onderzoek is het CBIG aan de slag gegaan met de constateringen van de ADR en heeft de informatiebeveiliging rondom het nieuwe Donorregister verbeterd, aldus Van Ark. De meeste maatregelen die het CBIG moest nemen zijn inmiddels genomen. De minister is tevreden hoe het CBIG is omgegaan met de uitkomsten van het onderzoek, "Daaruit blijkt dat het CIBG zich de ernst van de bevindingen bewust is. Het CIBG zal zich over de verdere voortgang aan mij verantwoorden."

Reacties (19)
04-03-2021, 18:05 door karma4
Welk datalek? Er zijn zeer waarschijnlijk 2 schijfjes voortijdig vernietigd.
Geen datalek want die gegevens werden niet gebruikt, alles werd via papieren dossiers afgehandeld (wel lek, niemand kon het volgen wie wat bekeek). Geen datalek omdat met de vernietiging van die schijfjes niemand wat gezien heeft.
.
Als alle wat een ander mogelijk zou hebben kunnen zien of gehoord hebben als datalek gaan bestempelen dan wordt de toezichthouder voor privacy de grote Big Brothers de iedereen zijn privacy schend. Dat is de 1984 handleiding.
04-03-2021, 19:28 door Anoniem
Het donorregister had goede procedures voor de omgang met en vernietiging van data, maar deze stonden op een van de twee schrijven en de andere was een backup.
04-03-2021, 20:03 door Anoniem
Door Anoniem: Het donorregister had goede procedures voor de omgang met en vernietiging van data, maar deze stonden op een van de twee schrijven en de andere was een backup.

LMFAO
04-03-2021, 21:03 door Anoniem
Door karma4: Welk datalek? Er zijn zeer waarschijnlijk 2 schijfjes voortijdig vernietigd.
Geen datalek want die gegevens werden niet gebruikt, alles werd via papieren dossiers afgehandeld (wel lek, niemand kon het volgen wie wat bekeek). Geen datalek omdat met de vernietiging van die schijfjes niemand wat gezien heeft.
Jij noemt het waarschijnlijk dat de schijven vernietigd zijn, maar het punt is dat dat niet is na te gaan en dat niemand een idee heeft wat ermee is gebeurd. Het is dus mogelijk dat iemand die schijven heeft meegenomen, wat een duidelijk datalek zou zijn. Als je dat niet kan uitsluiten moet moet men het wel als datalek behandelen, het zou nalatig zijn om dat niet te doen.

Als alle wat een ander mogelijk zou hebben kunnen zien of gehoord hebben als datalek gaan bestempelen dan wordt de toezichthouder voor privacy de grote Big Brothers de iedereen zijn privacy schend. Dat is de 1984 handleiding.
Nee, het punt is dat je het beheer van persoonsgegevens zo goed moet regelen dat duidelijk is wat ermee gebeurt. Dat heeft men hier nagelaten.

Bij menig ander onderwerp wijs je erop dat procedures, ISO-richtlijnen en dergelijke gevolgd horen te worden. Als het op beheer van persoonsgegevens gaat vind je dat kennelijk opeens maar overbodig geneuzel. Da's nogal inconsistent.
04-03-2021, 21:25 door Anoniem
Door karma4: Welk datalek? Er zijn zeer waarschijnlijk 2 schijfjes voortijdig vernietigd.
Geen datalek want die gegevens werden niet gebruikt, alles werd via papieren dossiers afgehandeld (wel lek, niemand kon het volgen wie wat bekeek). Geen datalek omdat met de vernietiging van die schijfjes niemand wat gezien heeft.
.
Als alle wat een ander mogelijk zou hebben kunnen zien of gehoord hebben als datalek gaan bestempelen dan wordt de toezichthouder voor privacy de grote Big Brothers de iedereen zijn privacy schend. Dat is de 1984 handleiding.

Niet weer die misinformatie Karma4, jij weet ook niet wat er met die schijven gebeurd is dus moet het beschouwd worden als een data lek.
04-03-2021, 21:36 door Anoniem
Door karma4: Welk datalek? Er zijn zeer waarschijnlijk 2 schijfjes voortijdig vernietigd.
Geen datalek want die gegevens werden niet gebruikt, alles werd via papieren dossiers afgehandeld (wel lek, niemand kon het volgen wie wat bekeek). Geen datalek omdat met de vernietiging van die schijfjes niemand wat gezien heeft.
.
Als alle wat een ander mogelijk zou hebben kunnen zien of gehoord hebben als datalek gaan bestempelen dan wordt de toezichthouder voor privacy de grote Big Brothers de iedereen zijn privacy schend. Dat is de 1984 handleiding.
Beste IT'er, juridisch is er wel degelijk sprake van een datalek, zie hier:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken#wat-is-een-datalek-precies-7964

Dit is duidelijk een gevalletje van ongewenst verliezen, het maakt daarbij niet uit of de gegevens wel of niet onbevoegd zijn ingezien.
04-03-2021, 22:06 door Anoniem
Er lekt mij teveel data de laatste tijd. Hoe mooi is het als je gehacked bent en vervolgens de beschikking hebt over alle data en er mee doet wat je wilt en dat aan de voorkant afvangen met het is door bad guys verhandeld op darkweb.
04-03-2021, 22:31 door Anoniem
2021 wordt het jaar van de datalekken. Van iedere nederlander zal de info op straat komen.. gewoon omdat de gebruikers niet om kunnen gaan met verantwoordelijkheid, hun bazen het nut er niet van inzien en dat it-ers niet op 2 fronten kunnen vechten.
05-03-2021, 09:16 door Anoniem
Door karma4: Welk datalek? Er zijn zeer waarschijnlijk 2 schijfjes voortijdig vernietigd.
Geen datalek want die gegevens werden niet gebruikt, alles werd via papieren dossiers afgehandeld (wel lek, niemand kon het volgen wie wat bekeek). Geen datalek omdat met de vernietiging van die schijfjes niemand wat gezien heeft.
De correcte omschrijving zou zijn: een onder artikel 33/34 meldplichtige inbreuk op de beveiliging van persoonsgegevens. Daarvoor is het niet noodzakelijk dat iemand onbevoegd de gegevens heeft kunnen inzien. Maar bijna iedereen noemt het toch "datalek", inclusief de AP zelf.
05-03-2021, 09:25 door Anoniem
Door Anoniem: Dit is duidelijk een gevalletje van ongewenst verliezen, het maakt daarbij niet uit of de gegevens wel of niet onbevoegd zijn ingezien.
Volgens mij niet. De gegevens stonden namelijk allang in de database en die zijn niet verloren gegaan.

De schijven bevatten een backup van de scans die tijdens het proces van digitaliseren van de gegevens waren gemaakt, in 2016. In 2020 werden de papieren formulieren volgens de procedure vernietigd en moesten ook die schijven vernietigd worden, en toen ontdekte men dat ze ontbraken.
https://www.donorregister.nl/actueel/nieuws/2020/03/10/bericht-vanuit-het-donorregister

Er is dus geen inbreuk op de beschikbaarheid van de gegevens, en dat is waar dat ongewenst verliezen op slaat.

Het probleem hier is dat niemand weet wat er met die schijven is gebeurd, dat ze niet versleuteld zijn, en dat dus niet valt uit te sluiten dat de gegevens in handen van onbevoegden zijn gevallen. Het moet als datalek worden behandeld omdat niet valt uit te sluiten dat het er een is.

De fout die karma4 maakt is dat hij redeneert alsof je kan doen of er niets aan de hand is als je niet kan aantonen dat er wel iets aan de hand is. Bij datalekken werkt de bewijslast andersom, je moet met goede onderbouwing aannemelijk kunnen maken dat het goed zit. Dat is hier niet mogelijk omdat men geen procedures ervoor had, laat staan dat men die goed toepaste.
05-03-2021, 09:39 door Anoniem
Iemand al de zogenaamde gelekte gegevens gevonden of gepubliceerd gezien op een of ander hackers platform ?
05-03-2021, 10:10 door Anoniem
Wat ik niet lees is dat behalve melding aan de AP er geen recherche onderzoek heeft plaatsgevonden bij het donorregister in Kerkrade. Misschien was dan helder geworden wat er met de schijven was gebeurt.
05-03-2021, 12:01 door Anoniem
Door karma4: Welk datalek? Er zijn zeer waarschijnlijk 2 schijfjes voortijdig vernietigd.
Geen datalek want die gegevens werden niet gebruikt, alles werd via papieren dossiers afgehandeld (wel lek, niemand kon het volgen wie wat bekeek). Geen datalek omdat met de vernietiging van die schijfjes niemand wat gezien heeft.
.
Als alle wat een ander mogelijk zou hebben kunnen zien of gehoord hebben als datalek gaan bestempelen dan wordt de toezichthouder voor privacy de grote Big Brothers de iedereen zijn privacy schend. Dat is de 1984 handleiding.

Het juiste woord is inbreuk. Artikel 4 lid 12 AVG:

„inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens
05-03-2021, 13:10 door Anoniem
Door Anoniem:
Door karma4: Welk datalek? Er zijn zeer waarschijnlijk 2 schijfjes voortijdig vernietigd.
Geen datalek want die gegevens werden niet gebruikt, alles werd via papieren dossiers afgehandeld (wel lek, niemand kon het volgen wie wat bekeek). Geen datalek omdat met de vernietiging van die schijfjes niemand wat gezien heeft.
.
Als alle wat een ander mogelijk zou hebben kunnen zien of gehoord hebben als datalek gaan bestempelen dan wordt de toezichthouder voor privacy de grote Big Brothers de iedereen zijn privacy schend. Dat is de 1984 handleiding.
Beste IT'er, juridisch is er wel degelijk sprake van een datalek, zie hier:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken#wat-is-een-datalek-precies-7964

Dit is duidelijk een gevalletje van ongewenst verliezen, het maakt daarbij niet uit of de gegevens wel of niet onbevoegd zijn ingezien.
Juridisch gezien heet het een datalek. Ik vind alleen de benaming 'datalek' verkeerd. Überhaupt zou de term vanuit de wetgeving duidelijk moeten maken dat het om persoonsgegevens gaat (dat is dus smaller dan 'data') en daarnaast valt veel meer onder de definitie 'lek' dan het woord doet vermoeden.
Op dit moment valt onder de definitie van 'datalek' ook dat iemand bv te vroeg bepaalde persoonsgegevens heeft vernietigd (en dat keurig geregistreerd heeft, conform de eisen). Er is hierbij geen sprake van een 'lek' zoals in de Dikke van Dale staat beschreven.
05-03-2021, 19:06 door karma4
Door Anoniem: Niet weer die misinformatie Karma4, jij weet ook niet wat er met die schijven gebeurd is dus moet het beschouwd worden als een data lek.
Ik weet dat ze in een kluis gelegd zijn, dat is een omgeving waar niemand zo maar bij komt en wat er uit gaat naar vernietigers gaat. Dt is heel wat anders dan een reparatie afdeling of iets waar doorverkoop van afgedankte spullen plaatsvindt.

Als je alle wat iemand zich niet meer kan herinneren als een datalek gaat positioneren heb je big brother / minority report.
Alle makke schapen volgen het idee van een ideaal (orwell -> AF).

Door Anoniem:
Juridisch gezien heet het een datalek. Ik vind alleen de benaming 'datalek' verkeerd. Überhaupt zou de term vanuit de wetgeving duidelijk moeten maken dat het om persoonsgegevens gaat (dat is dus smaller dan 'data') en daarnaast valt veel meer onder de definitie 'lek' dan het woord doet vermoeden.
Op dit moment valt onder de definitie van 'datalek' ook dat iemand bv te vroeg bepaalde persoonsgegevens heeft vernietigd (en dat keurig geregistreerd heeft, conform de eisen). Er is hierbij geen sprake van een 'lek' zoals in de Dikke van Dale staat beschreven.
Nee de gegevens zelf zijn nooit verloren gegaan, ook dat kun je niet zomaar toepassen, in dit geval waren het kopieën van originelen (papier) welke niet voor de verwerking ingezet werden. Die papieren dossiers zijn niet verloren gegaan.
Als je bij een grote brand niet direct kan uitwijken naar een andere locatie is dat niet iets voor de GDPR.
07-03-2021, 01:15 door Anoniem
Door Anoniem:
Door Anoniem:
Door karma4: Welk datalek? Er zijn zeer waarschijnlijk 2 schijfjes voortijdig vernietigd.
Geen datalek want die gegevens werden niet gebruikt, alles werd via papieren dossiers afgehandeld (wel lek, niemand kon het volgen wie wat bekeek). Geen datalek omdat met de vernietiging van die schijfjes niemand wat gezien heeft.
.
Als alle wat een ander mogelijk zou hebben kunnen zien of gehoord hebben als datalek gaan bestempelen dan wordt de toezichthouder voor privacy de grote Big Brothers de iedereen zijn privacy schend. Dat is de 1984 handleiding.
Beste IT'er, juridisch is er wel degelijk sprake van een datalek, zie hier:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken#wat-is-een-datalek-precies-7964

Dit is duidelijk een gevalletje van ongewenst verliezen, het maakt daarbij niet uit of de gegevens wel of niet onbevoegd zijn ingezien.
Juridisch gezien heet het een datalek. Ik vind alleen de benaming 'datalek' verkeerd. Überhaupt zou de term vanuit de wetgeving duidelijk moeten maken dat het om persoonsgegevens gaat (dat is dus smaller dan 'data') en daarnaast valt veel meer onder de definitie 'lek' dan het woord doet vermoeden.
Op dit moment valt onder de definitie van 'datalek' ook dat iemand bv te vroeg bepaalde persoonsgegevens heeft vernietigd (en dat keurig geregistreerd heeft, conform de eisen). Er is hierbij geen sprake van een 'lek' zoals in de Dikke van Dale staat beschreven.

In de verhandelingen rondom de AVG stond de minister nou juist ook stil bij deze definitie kwestie die u (mogelijk onbedoeld) napluist met anderen.
De werkingssfeer van datalek was nou juist beperkt tot datgeen dat dat met specifieke handelingen - niet beperkt tot een stomme cc keus bij het verzenden van een email naar breder publiek - waarmee actief gegevens lekken, maar niet zozeer de volledige lading van fouten in organisatorische aansturing zou moeten vervangen zoals het nalaten een oude of afgeschreven harddisk voor de volledigheid door de shredder te halen zoals overheden ook moeten doen bij gevoelige analoge gegevens waarvan je niet wilt dat ze via een vuilnis leesbaar op een vuilnisbelt belanden.

Er werd in beginsel de volgende aanleiding gemeld:
Begin 2020 werd besloten om het papieren archief van het Donorregister te vernietigen. Bij deze actie kwam aan het licht dat de twee externe harde schijven niet meer in de kluis lagen waar zij werden bewaard.

In het kader van digitalisering is in 2011 een project opgestart om de papieren registratieformulieren van burgers digitaal te archiveren. Van de papieren formulieren is, conform vaste procedure, een back-up gemaakt op twee externe harde schijven, die hoogstwaarschijnlijk niet zijn beveiligd. Op 19 september 2019 is het Vervangingsbesluit Donor archief 1998-2010 CIBG gepubliceerd in de Staatscourant. Naar aanleiding van dit besluit is het papieren archief van het Donorregister begin 2020 vernietigd. Bij deze actie is gebleken dat de twee externe harde schijven zich niet meer in de kluis bevonden waarin ze werden bewaard.

Daarnaast lijkt de inbedding, de hiërarchische verdeling van verantwoordelijkheden en geven van opdrachten(mandatering) rondom de informatie opslag van de donorformulieren me hier toch ietwat apart.

Het oorspronkelijke donorregister is in verband met de wetten rondom begrafenissen en dergelijke netjes ingebed in de wet per 26 januari 1998.
Zie daarvoor https://wetten.overheid.nl/BWBR0009352/2016-07-01.
Deze wet kwam tot stand onder Els Borst en Winnie Sorgdrager (paarse kabinetten / kabinet Kok).
Primair ging het om een kader waardoor de registratie doel van transplantatie toestemming en archivering van de kenbaar gemaakte toestemming middels formulier als specifiek proces werd geborgd.
Het ministerieel besluit is per 01-07-2020 vervallen.
Hetgeen ook al opmerkelijk is omdat staatsrechtelijk dat al in 2008 zou moeten zijn vervallen, hernieuwen van ministeriele regelingen is staatsrechtelijk namelijk taboe.
Maar in elk geval gold in 2020 dus die ministeriële passieve regeling niet meer.
Toen werd werd een actieve dwingende registratie bepaling van kracht.
Met die regeling stemde de eerste kamer op 13-02-2018 in.

Daarvoor is een vervangingbesluit opgesteld.
Genaamd "Vervangingsbesluit Donor archief 1998–2010 CIBG", Den Haag, 4 juli 2019.
Alleen is daarbij de directeur het agentschap CIBG te Heerlen namens de minister als vervangend ondertekenaar van dat besluit tekstueel opgenomen.
Het CIBG is volgens haar website een uitvoeringsorganisatie
(naar eigen zeggen onderdeel van het ministerie van Volksgezondheid, Welzijn en Sport).
Dit terwijl een directeur van een uitvoeringorganisatie staatsrechtelijk sowieso GEEN besluiten bekrachtigd die zijn bedoeld om te worden opgenomen in de wet te zoals bedoeld in de Algemene Bestuurswet.
Een directeur bij een uitvoeringsorganisatie voert enkel uit.
Namelijk de taken en opdracht(en) uit die vanuit de opdrachtgever / eigenaar formeel worden opgedragen.
Maar stelt zelf geen wettelijk beleid vast.

Het vervangingsbesluit Donor archief 1998–2010 CIBG meldt hierover:
Dit besluit zal met toelichting in de Staatscourant worden geplaatst met uitzondering van het Handboek substitutie Donorregister 1998–2010. Het handboek ligt ter inzage bij het CIBG.
Den Haag, 4 juli 2019
De Minister van Volksgezondheid, Welzijn en Sport, namens deze, N.A. Laagland - Directeur CIBG
Artikel 1
Dit besluit heeft betrekking op archiefbescheiden op papier die behoren tot het donor archief van het CIBG. Deze archiefbescheiden worden vervangen door digitale reproducties. Deze vervanging betreft alle papieren donorformulieren die betrekking hebben op de donor registraties in de periode 1998–2010 zoals beschreven in de selectielijst van het CIBG en de Stichting Donorgegevens kunstmatige bevruchting 1995–.2010
Artikel 2
De digitale reproductie geschiedt ten minste overeenkomstig de specificaties en instellingen zoals deze zijn opgenomen in het Handboek substitutie Donorregister 1998–2010.


Hoe omschrijft het Centraal Informatiepunt Beroepen Gezondheidszorg zichzelf?
(de organisatie waar het donorregister van de fout onder valt)
Wij bieden opdrachtgevers - in samenwerking met onze partners - integrale dienstverlening.
Dat betekent dat we niet alleen een beleidsvraag in een uitvoeringsproject vertalen, maar daarbij ook juridisch advies en communicatieadvies leveren, het klantcontact verzorgen en de ervaringen en vragen van onze klanten analyseren en delen met onze opdrachtgevers.


De vraag is vervolgens, wie gaf opdracht waarvoor?
In beginsel worden er vervolgens rondom het donor register een aantal ernstige misduidingen door de minister aan de tweede kamer gedaan c.q. verkeerde schijn gewekt met betrekking tot waar de gemaakte fouten aan toe te schrijven zouden zijn:

1. Je vernietigt NOOIT originelen.
Tenzij daarom wordt verzocht door de eigenaar - in dit geval de burger - of door de rechter de overheid daartoe gedwongen wordt.
Op de een of andere wijze lijkt de minister hier aan voorbij te gaan met diens digitalisering actie van de formulieren.
Zoals je als overheid ook geen originele (historische) kunstwerken in opslag vernietigt.
Om te voorkomen dat die overheidsarchieven beschadigd raken of zelfs verloren gaan, stelt de archiefwet 1995 eisen aan goed informatie- en archiefbeheer.

Bijkomend heeft de minister bij de verhandelingen over datalekken nog specifiek benadrukt dat het begrip datalek in kader van de AVG en de AP in de vorm van "fouten in omgang met gevoelige en/of belangrijke informatie niet mogen leiden tot afzwakking of verwatering van wettelijke vereisten voor omgang met informatie".
Daarbij lichtte de minister nader toe dat als er geen specifieke bepaling is vastgesteld voor "specifiek die ene digitale informatie of anderszins digitale informatie dat daarmee de verplichtingen die op de informatie beheerder rusten vanuit de hele wet daarmee onverkort, dus altijd, van kracht zijn."

2. Je vernietigt alleen originelen bij verstrijken van vereiste WETTELIJKE en functionele bewaar termijn.
Tenzij de aard of doel dat de gegevens worden bewaard zich daartegen verzet.
Voor veel gegevens noemde de betreffende minister bij de verhandelingen de bewaartermijnen van officiële documenten en dossier-stukken die gelden voor het Rijk.
Veelal 15 jaar, volgens de minister bij de verhandelingen.
Maar geenzins, benadrukte de minister bij de verhandelingen (Grapperhaus), moeten er dubbele of grijze archieven worden aangehouden door overheden.
Waarbij de minister bij de verhandelingen (Grapperhaus) verwees naar de ernstige fraude van personen van wie door derden pogingen werden ondernomen hun indentiteit te misbruiken om zich heimelijk als ander persoon voor te doen.
De betreffende gegevens dateren van de periode februari 1998 tot juni 2010,

3. In geval van verstrijken administratieve termijn voor formele afhandeling van individuele overlijdens, dan is het doel van opslag van de Donorformulieren gewoonlijk wel vervallen.
Tenzij het stoffelijk overschot volgens de minister door de persoon bij leven nadrukkelijk toestemming gaf voor specifiek en langduriger gebruik is er dan geen reden meer dat ook de de corresponderende donorformulieren blijven bewaard.

Het ging in bovenstaande kwestie volgens de minister om kopieën van de donor-formulieren (digitale versie, in tweevoud).
De originelen daterend van februari 1998 tot juni 2010 werden als vervanging beschouwd en daarmee dus primair al door de minister in afwijking van de wetgeving op archieven en bewaartermijnen behandeld.
Bijkomend zijn de kopieën kwijt geraakt.

Op basis van het bovenstaande golden er natuurlijk wel degelijk duidelijke richtlijnen voor omgang met de gegevens.
De aard en doel van de formulieren verandert in beginsel natuurlijk niet.
De originelen blijven de originelen.
Kopieën van de originelen blijven wettelijk kopieën.
Met even zware verplichtingen.
Anders wordt het een merkwaardige voorstelling van zaken.
Ook kan je dan intern door opeenvolgende handelingen natuurlijk niet de strekking van de archiefwet verwateren/verdunnen.
Enkel als je de voorstelling van zaken van doel en verspreidinggeschiedenis van de donor-gegevens zelf verhaspelt / anders voorspiegelt / je je laat voorspiegelen dan doe je als Audit Dienst Rijk deels oneigenlijke uitspraken!!

Natuurlijk had het Donorregister wel degelijk te maken met regelingen, namelijk die van de archiveringwet en de AWB.
Volgend vanuit de donorformulieren en het beheren daarvan als een overheidtaak.
Dus waren er vanzelfsprekend regelingen van kracht voor "het omgaan" "met informatie"!!!!!
Dat had in elk geval de Audit Dienst Rijk zelf wel moeten weten en door moeten hebben en rapporteren.

Dat kopieën van de donor informatie (digitaal opgeslagen) in elk geval per 20 februari 2020 uit de kluis zoek waren kan enkel een specifieke opdracht of van rechtswege vernietiging besluit van een bestuurlijk gemandateerde zijn geweest, zonder dat een bewijs van vernietiging van de digitale gegevensdragers is aangeleverd.
Anders is naast het niet toepassen van de archiefwet 1995 en wat daarna volgt OOK nog eens de bestuurswet overtreden, namelijk het niet toepassen van zorgvuldigheid.

Dat had het CIBG natuurlijk al 4 maart 2020 (conclusie van vermissing) moeten melden bij de ADR.
De vermissing had in die zin niet enkel tot melding bij de AP moeten leiden.
Ook tot melding van ernstig verzuim bij de ADR en bij minister de Jonge.
De Jonge meldt dat zijn ministerie op vrijdag 6 maart mondeling door de algemeen directeur van het CIBG is geïnformeerd.
"over een waarschijnlijk datalek" meldt de Jonge in zien beantwoording Verslag_van_een_schriftelijk_overleg_over_Datalek_Donorregister_(Kamerstuk_32761-160).pdf.
Dat is dus puur een aanname, een gerichte gok wellicht.

Feitelijk gezien misschien niet per se een lek als die gegevens - zoals Karma4 aanhaalt - niet zijn ingezien.
Voor de wet waar de overheid mee te maken heeft, onder andere de AVG maar ook de archiefwet en AWB, betreft het in eerste instantie oneigenlijk verdwijnen of kwijtraken van belangrijke en/of gevoelige gegevens, met onzorgvuldig handelen en/of behandelen.
Het is vervolgens wel informatief dat de Jonge gaat schermen met de Baseline Informatiebeveiliging Overheid 2019 maar dat is secundair aan het niveau en ernst van de ontstane tekortkomingen in het geheel.

Verder reageert de minister met de beantwoording:
Gelet op het feit dat dit datalek geen gevolg is van een hack en er ook geen aanwijzingen zijn dat de harde schijven zijn ontvreemd, acht de RvIG de kans op identiteitsfraude klein.
De vraag is natuurlijk ook, heeft de minister gecontroleerd met diens collega van Binnenlandse Zaken of betreffende gegevens matchen aan wie ten onrechte en foutief stemformulieren werden toegezonden?
Hetgeen recentelijk ook nog in het nieuws kwam en tientallen stemformulieren voor de tweede kamer verkiezingen in maart 2021 betrof.
Als een een of andere grapjas - interne geheime controle van een Rijksdienst - iets met de digitale formulieren dacht te doen om te kijken hoe wakker minister de Jonge en Ollongren zijn, dan is dat natuurlijk wel een van de stunts om uit te halen.

Minister de Jonge stelt:
Ik vind het belangrijk dat burgers vertrouwen hebben in het Donorregister en de zorgvuldige omgang met hun gegevens
Burgers hebben inmiddels natuurlijk ook gegronde reden om eventueel geen vertrouwen in de zorgvuldigheid in omgang met gegevens te hebben.
De wet geldt natuurlijk ook voor Hugo de Jonge en zijn ministerie, maar het verprutsen ervan lukt aardig.
Ook is diens haast en data-honger verre van geruststellend.
Dat compenseer je niet met verwijzing naar procedures en baselines.

De moraal van dit verhaal is, originelen zijn ONVERVANGBAAR!!
Vernietig die dus niet als je kopieën ervan maakt!!!!!
07-03-2021, 20:07 door Anoniem
Door Anoniem:
Door karma4: Welk datalek? Er zijn zeer waarschijnlijk 2 schijfjes voortijdig vernietigd.
Niet weer die misinformatie Karma4, jij weet ook niet wat er met die schijven gebeurd is dus moet het beschouwd worden als een data lek.
Je weet het natuurlijk niet zeker, maar karma4 wekt de indruk dat hij weet waar die schijfjes nu zijn. Waarschijnlijk gered van vernietiging, nu keurig bij (de broer, van de neef van) karma4 thuis, opnieuw geformatteert en daarna gebruikt voor een backup van een oude foto archief, dat bij de yahoo fotodienst niet meer veilig stond.
08-03-2021, 18:57 door Anoniem
....Tevens bleek het informatiebeveiligingsplan sinds 2011 niet meer te zijn bijgewerkt.....

Hiervoor zijn in meerdere hiërarchische lagen koppen af gehakt mag ik hopen..!?
Wat een vuilnisbelt daar!
09-03-2021, 01:24 door Anoniem
Door Anoniem: ....Tevens bleek het informatiebeveiligingsplan sinds 2011 niet meer te zijn bijgewerkt.....

Hiervoor zijn in meerdere hiërarchische lagen koppen af gehakt mag ik hopen..!?
Wat een vuilnisbelt daar!

Komt zo vaak voor joh. En dat bij bedrijven waarvan je denkt WATTT zij????

En dan word je stiekem door een manager benaderd want ze zitten met een probleem en je moet het absoluut geheim houden.

jup anders gaan de ba**en eraf.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.