AP stelt de provincie Zuid-Holland onder toezicht

 

Brief van de AP van 11 april 2024

De AP heeft op 23 januari jl. een gesprek gevoerd met een ambtelijke afvaardiging van de provincie Zuid-Holland en met de Functionaris voor Gegegevensbescherming (hierna te noemen: FG). Tijdens dit gesprek zijn de volgende specifieke zorgen aan bod gekomen:
- de opvolging van aanbevelingen van de FG;
- de staat van de loggingsystemen;
- de toegankelijkheid van documentsystemen;
- de afhandeling van het datalek zoals dat op 8 september 2023 bij de AP is gemeld en dat nog niet volledig
gedicht is.

Daarnaast is in zijn algemeenheid gesproken over de volwassenheid van de informatiehuishouding van de
provincie Zuid-Holland. De conclusie van de AP is dat de provincie Zuid-Holland op dit moment onvoldoende AVG-compliant is.

Het datalek - wat is er gebeurd?

Het datalek waar vorig jaar melding van is gemaakt betrof persoonsgegevens in een intern systeem dat de provincie gebruikt voor archivering, opslag van en intern samenwerken aan documenten. De teams Privacy en Informatieveiligheid kwamen in het systeem persoonsgegevens tegen die voor te veel medewerkers van de provincie toegankelijk waren. Nader onderzoek heeft uitgewezen dat nog meer persoonsgegevens toegankelijk zijn geweest voor medewerkers die voor de uitoefening van hun functie geen toegang nodig hadden tot deze gegevens.

De betrokken persoonsgegevens zijn per definitie alleen toegankelijk voor medewerkers van de provincie. Het is daarom niet aannemelijk dat andere personen dan (oud-)medewerkers de persoonsgegevens hebben ingezien.

Wat zijn de waarschijnlijke gevolgen van dit datalek voor betrokkenen?

De Provincie verwacht dat dit datalek weinig tot geen gevolgen heeft voor burgers en bedrijven van de Provincie Zuid-Holland. Het datalek heeft plaatsgevonden in een intern systeem. Er zijn geen signalen ontvangen dat andere personen dan eigen medewerkers documenten hebben kunnen inzien. De medewerkers van de Provincie hebben als ambtenaar allen een eed of belofte afgelegd of een geheimhoudingsverklaring getekend voor het uitvoeren van werkzaamheden voor de provincie en zijn bekend met het onderwerp integriteit en het omgaan met (privacy)gevoelige informatie.

Welke maatregelen heeft de provincie genomen of gaat de provincie nemen?

Direct na melding van het datalek is er actie ondernomen, waaronder het identificeren en isoleren van documenten, het afsluiten van bepaalde mappen en het opnieuw instellen van bepaalde autorisaties. Om maatregelen op langere termijn te identificeren en de veiligheid van de systemen te kunnen waarborgen is binnen het domein Bedrijfsvoering een opdracht gestart: ‘Bescherming persoonsgegevens provincie Zuid-Holland: Privacyvolwassenheid 3 en datalek IDMS’. Binnen deze opdracht zijn diverse teams betrokken, ieder met hun eigen expertise.

Investeren in systemen en mensen

De Provincie zegt zicht te herkennen in de brief van de AP dat het omgaan met informatie die de provincie is toevertrouwd essentieel is. Al vóór deze melding heeft de provincie €23 miljoen uitgetrokken voor de groei en transitie  van de provinciale informatiehuishouding. Bovendien investeert de Provincie onder andere met een langlopende campagne en trainingen in het data-vaardiger maken van collega’s want zorgvuldig omgaan met data is ook mensenwerk. De Provincie vindt het verscherpte toezicht van de Autoriteit Persoonsgegevens een kans om deze transitie samen te versnellen.

Bron: Provincie onder geïntensiveerd toezicht Autoriteit Persoonsgegevens - Provincie Zuid-Holland
Bron: Brief AP aan Provincie Zuid-Holland