Provincie Zuid-Holland onder geïntensiveerd toezicht AP

Provincie Zuid-Holland meldt op zijn website: 'De AP heeft zorgen over de bescherming van persoonsgegevens binnen de provincie en wil dat de provincie sneller actie gaat ondernemen op signalen die eerder zijn afgegeven over de vertrouwelijkheid van persoonsgegevens die we binnen de provincie verwerken en opslaan.

Aanleiding: datalek

Concrete aanleiding vormt onder meer de melding van een datalek op 8 september 2023. Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is, waarbij de oorzaak een inbreuk op de beveiliging van deze gegevens is. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens door zo’n inbreuk valt onder een datalek.

Wat is er gebeurd?

Het datalek waar vorig jaar melding van is gemaakt betrof persoonsgegevens in een intern systeem dat de provincie gebruikt voor archivering, opslag van en intern samenwerken aan documenten. Onze teams Privacy en Informatieveiligheid kwamen in het systeem persoonsgegevens tegen die voor te veel medewerkers van de provincie toegankelijk waren. Nader onderzoek heeft uitgewezen dat nog meer persoonsgegevens toegankelijk zijn geweest voor medewerkers die voor de uitoefening van hun functie geen toegang nodig hadden tot deze gegevens.

De betrokken persoonsgegevens zijn per definitie alleen toegankelijk voor medewerkers van de provincie. Het is daarom niet aannemelijk dat andere personen dan (oud-)medewerkers de persoonsgegevens hebben ingezien.

Wat zijn de waarschijnlijke gevolgen van dit datalek voor betrokkenen?

Wij verwachten dat dit datalek weinig tot geen gevolgen heeft voor burgers en bedrijven van de Provincie Zuid-Holland. Het datalek heeft plaatsgevonden in een intern systeem. We hebben geen signalen ontvangen dat andere personen dan eigen medewerkers documenten hebben kunnen inzien. Onze medewerkers hebben als ambtenaar allen een eed of belofte afgelegd of een geheimhoudingsverklaring getekend voor het uitvoeren van werkzaamheden voor de provincie en zijn bekend met het onderwerp integriteit en het omgaan met (privacy)gevoelige informatie.

Welke maatregelen heeft de provincie genomen of gaat de provincie nemen?

Direct na melding van het datalek is er actie ondernomen, waaronder het identificeren en isoleren van documenten, het afsluiten van bepaalde mappen en het opnieuw instellen van bepaalde autorisaties. Om maatregelen op langere termijn te identificeren en de veiligheid van de systemen te kunnen waarborgen is binnen het domein Bedrijfsvoering een opdracht gestart: ‘Bescherming persoonsgegevens provincie Zuid-Holland: Privacyvolwassenheid 3 en datalek IDMS’. Binnen deze opdracht zijn diverse teams betrokken, ieder met hun eigen expertise.

Investeren in systemen en mensen

De provincie herkent zich in de brief van de AP dat het omgaan met informatie die de provincie is toevertrouwd essentieel is. Al vóór deze melding heeft de provincie €23 miljoen uitgetrokken voor de groei en transitie van de provinciale informatiehuishouding. Bovendien investeren we onder andere met een langlopende campagne en trainingen in het data-vaardiger maken van collega’s want zorgvuldig omgaan met data is ook mensenwerk. We zien het verscherpte toezicht van de Autoriteit Persoonsgegevens als een kans om deze transitie samen te versnellen.'