Oplossen datalek provincie Zuid-Holland duurt nog anderhalf jaar, inmiddels honderdduizenden mappen gecontroleerd
GEMEENTE ALPHEN AAN DEN RIJN - De provincie Zuid-Holland verwacht nog ongeveer anderhalf jaar tijd nodig te hebben om de interne informatiebeveiliging op orde te krijgen. Zuid-Holland staat onder verscherpt toezicht van de Autoriteit Persoonsgegevens (AP), omdat er vorig jaar september een datalek in een intern systeem werd ontdekt door een medewerker.
De map waarin het datalek werd gevonden, is na de ontdekking gelijk geïsoleerd. Daarmee was het probleem nog niet opgelost. In veel mappen zaten documenten met privacygevoelige gegevens. Deze documenten waren toegankelijk voor medewerkers die daar geen bevoegdheid voor hadden. De documenten bevatten cv’s, kopieën van paspoorten, salarisspecificaties, rekeningnummers en strafrechtelijke gegevens.
Honderdduizenden mappen gecontroleerd
De mappen worden allemaal gecheckt om te controleren of alleen de juiste personen toegang tot de mappen hebben. Inmiddels zijn er al honderdduizenden mappen gecontroleerd. Het gaat in totaal om 50 miljoen documenten met privacygevoelige informatie.
Omdat het aantal mappen dat gecontroleerd moet worden zo groot is, kan de provincie Zuid-Holland nog niet met zekerheid zeggen of medewerkers nu nog bij gegevens kunnen waar ze eigenlijk niet de bevoegdheid voor hebben. Het is volgens de provincie 'een enorme opgave' en 'een arbeidsintensief proces' om het datalek te dichten en te zorgen dat de cyberbeveiliging op het minimaal vereiste niveau komt.
Verscherpt toezicht
De provincie geeft aan dat het niet aannemelijk is dat andere personen dan (voormalig) medewerkers van de provincie de persoonsgegevens hebben ingezien. ‘We hebben geen signalen ontvangen dat documenten extern toegankelijk zijn geweest.'
Hoewel de provincie niet verwacht dat het datalek grote gevolgen heeft voor betrokkenen, kunnen ze eventuele nadelige gevolgen niet uitsluiten. ‘Als gevolg van dit datalek bestaat er een risico op identiteitsfraude, oplichting, financiële fraude of reputatieschade, afhankelijk van de aard van de gegevens,’ schrijft de provincie.
De ChristenUnie had schriftelijke vragen gesteld over de zaak die dit voorjaar naar buiten kwam. In de antwoorden meldt de provincie ernaar te streven om op 1 januari 2026 te voldoen aan de eis van AP, namelijk dat Zuid-Holland op stap drie (van de vijf) van het 'AVG-volwassenheidsniveau' komt. Tot die tijd staat Zuid-Holland onder verscherpt toezicht.
'Allerminst gerustgesteld'
'AP begrijpt dat een organisatie misschien enige tijd nodig heeft om op een adequaat privacy-volwassenheidsniveau te komen. Tegelijkertijd zal de AP het niet accepteren als er niet op korte termijn vooruitgang wordt getoond', zegt een woordvoerder van de privacywaakhond tegen Omroep West, mediapartner van Studio Alphen.
Steven Datema van de ChristenUnie in Zuid-Holland zegt 'allerminst gerustgesteld' te zijn, schrijft Omroep West. 'Ik begrijp dat men geen ijzer met handen kan breken. Maar nog anderhalf jaar wachten voordat gegevensbescherming op het aanvaardbare minimumniveau is, dat is wel erg lang. Mensen moeten erop kunnen vertrouwen dat hun persoonlijke gegevens bij de provincie veilig zijn.'
Adviezen niet opgevolgd
De functionaris die toeziet op de AVG-naleving had al in 2019 geadviseerd om te zorgen dat de 'rollen en rechten' in het verouderde systeem op orde zijn en dit systeem op termijn te vervangen.
Zuid-Holland erkent dat veel adviezen op dit vlak de afgelopen jaren niet adequaat zijn opgevolgd. Een woordvoerder van de provincie geeft aan dat er wat minder aandacht is besteed aan de adviezen voor het naleven van de AVG, onder andere vanwege de verkiezingen. Ook vergt het tijd, omdat het een politiek proces is. De provincie heeft wel 23 miljoen euro gereserveerd voor een 'informatietransitie'.
Lees ook: Tot 2050 komen er duizenden nieuwe woningen bij in gemeente Alphen aan den Rijn