Vragen van het lid PiaDijkstra (D66) aan de Ministers van Volksgezondheid, Welzijn en Sport en voor Medische Zorg over het datalek van het Donorregister (ingezonden 11 maart 2020).
Vraag 1
Klopt het dat u op 9 maart 2020 op de hoogte bent gesteld over het datalek dat zich heeft voorgedaan bij het Donorregister, of was u hierover al eerder geïnformeerd?1
Vraag 3
Op welk moment was het CIBG voor het eerst op de hoogte van de vermissing van de twee externe harde schijven? Was deze ontdekking al begin 2020 gedaan, op het moment dat begonnen werd met de vernietiging van het papieren archief?
Vraag 4
Klopt het dat, na aanmerking van de vermissing als een datalek door de privacy officer van het CIBG, dit direct gemeld is aan de Autoriteit Persoonsgegevens (AP) en dit dus op 6 maart 2020 plaatsvond?
Vraag 5
Wat was de reactie van de AP op het datalek? Heeft de AP aanbevelingen gedaan over mogelijke vervolgstappen en worden deze opgevolgd? Zo ja, wat waren deze aanbevelingen precies en hoe wordt hier gevolg aan gegeven? Zo nee, waarom niet?
Vraag 6
Van hoeveel unieke personen stonden hun persoonsgegevens op de twee vermiste harde schijven? Worden deze mensen persoonlijk van het datalek op de hoogte gesteld?
Vraag 7
Kunt u toelichten wat precies bedoeld wordt met de passage «hoogstwaarschijnlijk niet zijn beveiligd»? Waarom is het niet bekend of deze externe harde schijven beveiligd zijn?
Vraag 8
Kunt u aangeven wanneer precies de twee verhuizingen van het Donorregister, waarover gesproken wordt in de brief, plaatsvonden? Is de kluis waarin de externe harde schijven zich bevonden tijdens beide verhuizingen meeverhuisd?
Vraag 9
Hoeveel beveiligingsprotocollen en werkinstructies zijn er precies? Kunt u per protocol en instructie aangeven wanneer deze voor het laatst geëvalueerd zijn en welk proces is ingericht om deze instructies en protocol bijgewerkt te houden?
Vraag 10
Klopt het, gezien het feit dat geschreven wordt dat «aanwezige beveiligingsprotocollen en (werk)instructies onvoldoende zijn nageleefd», dat het datalek niet plaats had kunnen vinden indien de beveiligingsprotocollen en (werk)instructies wel waren nageleefd? Zo ja, waarom wordt dan ook gesproken over een herziening en aanscherping van deze instructies en protocollen?
Vraag 11
Kunt u aangeven wanneer de eventuele aanscherping en herziening van de beveiligingsprotocollen en (werk)instructies gereed is?
Vraag 13
Was de kluis waarin de externe harde schijven zich bevonden afgesloten of had iedereen toegang tot deze kluis?
Vraag 14
Kunt u toelichten wat wordt bedoeld met de passage «de zoektocht naar de externe schijven wordt voortgezet»? Wie voert deze zoektocht uit en is er aangifte gedaan bij de politie?
Vraag 15
Bent u bereid de Kamer te informeren op het moment dat u meer weet over hoe deze datalek precies heeft kunnen gebeuren?
Vraag 16
Kunt u toelichten wat u bedoelt met het feit dat u «geen signaal ontvangen van onbevoegde kennisname van de gegevens op de externe harde schijven»? Op welke wijze zou u hiervan signalen ontvangen?
Vraag 17
Wat is de precieze onderzoeksvraag die aan de Auditdienst Rijk (ADR) is meegegeven voor hun onderzoek? Is al bekend wanneer dit ADR-onderzoek gereed is?
Vraag 18
Welke stappen wilt u en/of het CIBG zetten om het geschade vertrouwen in het Donorregister en de zorgvuldige omgang van persoonlijke gegevens van mensen te herstellen, aanvullend aan de stappen die reeds in de brief staan?
Vraag 19
Kunt u deze vragen voor de inbrengdatum van het door de commissie Volksgezondheid, Welzijn en Sport afgesproken schriftelijke overleg apart beantwoorden?
X Noot
1Brief van het agentschap CIBG «Onvindbare externe gegevensdrager Donorregister», 9 maart 2020. Bijlage bij Kamerbrief 2020Z04660, 10 maart 2020.
