Sinds het ingaan van de AVG, nu al weer ruim een jaar geleden, is het aantal gemelde incidenten niet bepaald schokkend te noemen. Inmiddels begint het echter 'te druppelen'. Een aantal instanties werd door de Autoriteit Persoonsgegevens op de bon geslingerd. Dat varieerde van hele kleine boetes - zoals bij de gemeente Deventer, die een boete kreeg van 500 euro - tot hele grote zoals het Haga Ziekenhuis in Den Haag, dat 460.000 euro moest betalen. Nu is het Centraal Bureau Rijvaardigheid (CBR) er gloeiend bij, een organisatie waar jaarlijks een miljoen Nederlanders mee in aanraking komen.

Het CBR kampt al jaren met problemen en werd begin dit jaar onder aangescherpt toezicht gesteld door het Ministerie van Infrastructuur, vanwege de grote achterstanden bij de rijbewijskeuringen. In diezelfde periode werd ook duidelijk dat het ICT-project van het CBR genaamd ‘Rijgeschiktheid aan het stuur’, wat ervoor zou moeten zorgen dat de achterstand ingelopen kon worden, volledig uit de klauw is gelopen. Het project, in 2014 begroot op 7 miljoen euro, zou in 2016 opgeleverd worden. Inmiddels staat de kostenteller op ruim 34 miljoen is het project nog altijd niet afgerond, zo wist Zembla boven tafel te krijgen. Het behoort daarmee tot de drie duurste ICT-projecten die onder de verantwoordelijkheid van het Ministerie van Infrastructuur en Waterstaat worden uitgevoerd.

Window XP

Tot overmaat van ramp werden bovenstaande feiten door het CBR niet aan de Tweede Kamer gemeld en tastte het ministerie in het duister. Ondertussen werd interne kritiek op het project niet serieus genomen, zo melden bronnen. De oude systemen konden de toestroom van aanvragen niet meer aan, waardoor onder andere 1200 beroepschauffeurs werkeloos thuis kwamen te zitten, omdat hun rijbewijs niet op tijd verlengd werd. Ook duizenden ouderen werden de dupe van de problemen bij het CBR. Al die tijd werkte het CBR noodgedwongen door met sterk verouderde systemen, waaronder Windows XP, waarvoor al vijf jaar geen veiligheidsupdates meer worden uitgeleverd. Ook zijn een miljoen medische dossiers opgeslagen in een Oracle 9-database, waarop al 9 jaar geen veiligheidsupdates meer zijn gedaan. Geluk bij een ongeluk is dat laatstgenoemde systemen niet online zijn, waardoor de kans op een datalek heel veel kleiner is.

Verscherpt toezicht

Toch is het is het de eerste zes maanden van 2019 wederom behoorlijk misgegaan. Bij het inscannen van door klanten ingestuurde formulieren zijn gevoelige gegevens, zoals BSN-nummers, medische gegevens en andere privégegevens, in dossiers van anderen terechtgekomen. Van de 71 gevallen waarin dit is gebeurd, werden er 50 door het CBR zelf opgemerkt, in de overige 21 kreeg de instantie een telefoontje van verontruste mensen die gegevens van derden in hun dossier hadden aangetroffen. Los van de fouten die de scansoftware maakte - die herkende vaak BSN-nummers niet als zodanig - ging het ook vaak mis bij de mensen die de formulieren in moesten scannen. Uit Kamervragen van onder meer de regeringspartijen blijkt nu dat het toezicht op het CBR de komende maanden flink aangescherpt wordt. Eind van het jaar zouden de technische problemen dan opgelost moeten zijn.

Gerelateerd:

Een jaar na invoering AVG: hoe staan de zaken erbij?
Gemeenten voldoen nauwelijks aan nieuwe AVG-wetgeving

Bronnen: Binnenlands Bestuur, Computable, AD, Tweakers.

Delen: