De provincie Zuid-Holland denkt nog zo’n anderhalf jaar nodig te hebben om de interne informatiebeveiliging op orde te hebben. Dit meldt Omroep West. Zuid-Holland staat onder verscherpt toezicht van de Autoriteit Persoonsgegevens (AP) na een fors datalek.
Het incident werd al vorig jaar september ontdekt door een medewerker. Het interne systeem waar het om gaat, bevat circa 50 miljoen documenten. “De provincie gebruikt voor de archivering en opslag van documenten en het intern samenwerken aan documenten een document management systeem,” legt de provincie uit in een eigen bericht. Hun teams Privacy en Informatieveiligheid kwamen in dat systeem (bijzondere) persoonsgegevens tegen die toegankelijk waren voor vrijwel alle medewerkers van de provincie.
Veel persoonlijke gegevens
“Categorieën van persoonsgegevens die zijn aangetroffen zijn onder meer NAW-gegevens, contactgegevens, geboortedata, kopieën van identiteitsdocumenten, BSN-nummers en gegevens over opleiding- en werkervaring. Veel medewerkers hadden geen toegang tot deze gegevens nodig om hun functie uit te oefenen. Dat betekent dat er sprake is van een datalek.”
Het is volgens de provincie ‘een enorme opgave’ en ‘een arbeidsintensief proces’ om het datalek te dichten en om te zorgen dat de cyberbeveiliging op het minimaal vereiste niveau komt.
Vragen over datalek
De ChristenUnie stelde schriftelijke vragen gesteld over het datalek. In de antwoorden meldt de provincie ernaar te streven om op 1 januari 2026 te voldoen aan de eis van AP, namelijk dat Zuid-Holland op stap 3 (van de 5) van het ‘AVG-volwassenheidsniveau’ komt. Tot die tijd staat Zuid-Holland onder verscherpt toezicht.
Snel vooruitgang tonen
‘AP begrijpt dat een organisatie misschien enige tijd nodig heeft om op een adequaat privacy-volwassenheidsniveau te komen. Tegelijkertijd zal de AP het niet accepteren als er niet op korte termijn vooruitgang wordt getoond’, zegt een woordvoerder van de privacywaakhond tegen Omroep West over het datalek.
Steven Datema van de ChristenUnie in Zuid-Holland zegt ‘allerminst gerustgesteld’ te zijn. ‘Ik begrijp dat men geen ijzer met handen kan breken. Maar nog anderhalf jaar wachten voordat gegevensbescherming op het aanvaardbare minimumniveau is, is wel erg lang. Mensen moeten erop kunnen vertrouwen dat hun persoonlijke gegevens bij de provincie veilig zijn’
Adviezen niet opgevolgd
AP adviseerde de provincie eerder al om te zorgen dat de ‘rollen en rechten’ in het verouderde systeem op orde zijn en dit systeem op termijn te vervangen.
Zuid-Holland erkent dat veel adviezen op dit vlak de afgelopen jaren niet adequaat zijn opgevolgd. De provincie heeft wel 23 miljoen euro gereserveerd voor een ‘informatietransitie’.