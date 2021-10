Het ministerie van Justitie en Veiligheid gaat wegens een datalek dat 65.000 ambtenaren raakte verschillende maatregelen nemen, waaronder het aanscherpen van werkafspraken en procedures, een bewustwordingsprogramma en het invoeren van Data Leakage Protection, zo heeft demissionair minister Grapperhaus van Justitie en Veiligheid in een brief aan de Tweede Kamer laten weten.

Het datalek werd veroorzaakt door een voormalige externe medewerker bij het ministerie die tegen de regels in een analysetool kopieerde van de omgeving van Justitie en Veiligheid naar een eigen werkomgeving en vervolgens naar twee andere overheidsomgevingen. Deze medewerker voerde bij het ministerie kwaliteitscontroles uit op toegangsdiensten, zoals de Rijkspas.

Bij het kopiëren van de tool zijn ook de daaraan gekoppelde data gekopieerd. Het gaat om persoonsgegevens van zo'n 65.000 ambtenaren, waarvan een klein deel niet bij Justitie en Veiligheid werkzaam is. Het datalek bevat persoonsgegevens zoals naam, organisatie, soort dienstverband, ID/paspoortnummer, Rijkspasnummer, e-mailadres, geboorteplaats en –datum, geslacht en nationaliteit. Het datalek bevat geen privéadressen, telefoonnummers of wachtwoorden.

Volgens Grapperhaus kende de externe medewerker de geldende gedragsregels en handelde daarmee in strijd. "Op een aantal punten hadden de werkafspraken over de voorwaarden waaronder hij de persoonsgegevens waar hij toegang toe had verder mocht verwerken met de externe medewerker scherper kunnen worden gemaakt en vastgelegd", voegt de minister toe. De medewerker was naar eigen zeggen zich er niet van bewust dat door het transporteren van de data een datalek ontstond.

Vanwege het datalek werden drie onderzoeken uitgevoerd. Daaruit is naar voren gekomen dat er geen aanwijzingen zijn die erop duiden dat het bestand op andere locaties was of is opgeslagen en door onbevoegden is ingezien of gebruikt. "Hoewel dit door de beperkte beschikbaarheid van logbestanden niet met volledige zekerheid kan worden uitgesloten", stelt Grapperhaus.

Daarnaast laten de onderzoeken zien dat de naleving van procedurele en administratieve waarborgen kan worden verbeterd. Verder blijkt dat aan het gebruik van de MS Access-tool risico’s zijn verbonden die in eerder uitgevoerde risicoanalyses niet waren onderkend.

Aan de hand van de onderzoeken concludeert Grapperhaus dat het datalek het gevolg is van het individuele handelen van de externe medewerker en niet van ernstige tekortkomingen in de werkwijze bij de verwerking van de betrokken persoonsgegevens. Wel gaat het ministerie de werkafspraken en procedures bij inhuur van medewerkers en het databeheer binnen de betrokken afdeling aanscherpen.

Verder gaat het ministerie scherper kijken naar dataminimalisatie en is er een project gestart om de betreffende analysetool te vervangen. Op termijn staat de invoering van Data Leakage Protection (DLP) gepland. Het bewustzijnsprogramma "Weerbaar JenV" moet ervoor zorgen dat bewustzijn van beveiligingsrisico’s en de kennis van veilig digitaal werken van medewerkers die vergaande toegang hebben tot gegevens worden vergroot.

Afsluitend meldt Grapperhaus dat er vooralsnog geen aangifte tegen de externe medewerker wordt gedaan. Wel heeft de minister de externe medewerker, zijn werkgever en de mantelpartij via wie hij was ingehuurd aansprakelijk gesteld voor de door de Staat geleden of te lijden schade.