De provincie Zuid-Holland heeft een datalek in een intern systeem dat het in september 2023 aan de Autoriteit Persoonsgegevens meldde voor het overgrote deel gedicht. Dat laat het weten in de laatste voortgangsrapportage. De provincie gebruikt voor de archivering en opslag van documenten en het intern samenwerken aan documenten een document management systeem.

Het systeem bevat allerlei gegevens, zoals memo’s en besluiten, maar ook persoonlijke gegevens van burgers, zakelijke contacten en medewerkers. De persoonsgegevens in het systeem waren voor vrijwel alle medewerkers toegankelijk, ook als ze dit niet nodig hadden voor hun werkzaamheden. "Dat betekent dat er sprake is van een datalek", aldus de provincie.

De persoonsgegevens in het systeem betreffen onder andere adresgegevens, contactgegevens, kopieën van identiteitsdocumenten, BSN-nummers en gegevens over opleiding- en werkervaring. "Omdat het systeem al jaren oud is, betekent dit ook dat gegevens in het verleden toegankelijk zijn geweest voor medewerkers die nu niet meer voor de provincie werken", zo liet de provincie tijdens de vorige voortgangsrapportage weten.

In de nieuwste voortgangsrapportage wordt gemeld dat het datalek met het systeem voor het overgrote deel is gedicht. Zo is de autorisatiestructuur van het systeem heringericht, en is de inhoud van het systeem zo ver als praktisch mogelijk binnen de eerder opgestelde definitie “Wat is dicht” opgeschoond. Tevens hebben 1900 documenten met de hoogste privacygevoeligheid de zwaarste afscherming met een aanvullende autorisatie gekregen.

"Wat is dicht"

"Komende periode worden verdere kwaliteitscontroles uitgevoerd door zowel de projectorganisatie als de FG [Functionaris Gegevensbescherming - red.] om te toetsen dat het resultaat van het dichten van het datalek inderdaad volledig in lijn is met de definitie “Wat is dicht”. Als uit de kwaliteitscontroles nog restpunten naar boven komen zullen die vanzelfsprekend nog door de projectorganisatie opgelost worden", laat de provincie weten.

Voor de definitie "Wat is dicht" hanteert de provincie deze omschrijving: "Een gebruiker mag toegang hebben tot persoonsgegevens als die toegang strikt noodzakelijk is voor de uitoefening van zijn functie, en ook niet langer dan noodzakelijk is. Dit betekent niet dat de toegang tot persoonsgegevens op individueel medewerkersniveau hoeft te worden ingericht. Er dienen op basis van de rol die een medewerker vervult logische autorisatiegroepen te worden samengesteld."

Vanwege het datalek besloot de Autoriteit Persoonsgegevens de provincie onder verscherpt toezicht te plaatsen. Dit houdt in dat de provincie concrete afspraken met de AP moet maken over de beveiliging van persoonsgegevens en daarover moet rapporteren. Vorig jaar stelde de privacytoezichthouder dat de provincie Zuid-Holland op dat moment onvoldoende AVG-compliant is.

Volwassenheidsniveau

De AP en provincie maakten ook de afspraak om zo snel mogelijk op AVG-volwassenheidsniveau "3" te komen, op een schaal van 1 tot en met 5. Op dit moment zit de provincie op een niveau van 1 à 1,5. "De zorgen van de FG ten aanzien van het verhogen van het privacy volwassenheidsniveau en dan met name het tempo waarin dit plaatsvindt zijn eerder toegenomen dan afgenomen", laat de voortgangsrapportage weten. Wel is de FG te spreken over het aantal medewerkers dat inmiddels aan de verplichte e-learning Privacy en informatieveiligheid heeft deelgenomen. Die is door 1900 van de 2500 medewerkers met een gebruikersaccount afgerond.