De provincie Zuid-Holland heeft na bijna twee jaar een datalek zo goed als gedicht. Het gaat om een intern systeem met ongeveer 50 miljoen documenten die privacygevoelige informatie bevatten. De provincie werd er in september 2023 op geattendeerd dat medewerkers bij gegevens konden komen waar ze geen toegang toe hadden moeten krijgen, zoals persoonsinformatie, salarisspecificaties en strafrechtelijke gegevens.
Zuid-Holland heeft datalek na bijna twee jaar gedicht
De provincie staat sinds september 2023 onder verscherpt toezicht bij de Autoriteit Persoonsgegevens
Privacywaakhond
Zuid-Holland staat sindsdien onder verscherpt toezicht bij de Autoriteit Persoonsgegevens (AP). Dat betekent onder meer dat de provincie elk kwartaal een update moet geven over de verbeteringen. De privacywaakhond dreigde eind vorig jaar met sancties, omdat de provincie niet genoeg tempo maakte met de aanpak. ‘Hoe langer het datalek voortduurt, hoe groter het risico dat persoonsgegevens in verkeerde handen komen’, meldde de AP toen.
Opschoning
De provincie heeft nu voor ‘het overgrote deel’ van de documenten de autorisatie aangepast, zodat alleen medewerkers voor wie dat relevant is nog toegang hebben. ‘Er zijn een aantal laatste, beperkte restpunten bij de opschoning die de komende weken worden afgehandeld’, aldus het college van Gedeputeerde Staten.
Inzien
Zuid-Holland zegt geen signalen te hebben dat ‘andere personen dan eigen medewerkers’ documenten konden inzien. Het college meldde eerder al te verwachten dat het datalek ‘weinig tot geen gevolgen’ heeft voor bewoners en bedrijven.
Verouderd informatiesysteem
In 2019 had Zuid-Holland ook te maken met een datalek. Het provinciebestuur besloot daarna om 23 miljoen euro uit te trekken voor een ‘informatietransitie’, maar het doorvoeren daarvan is pas net op gang gekomen. Zuid-Holland wil onder meer het verouderde informatiesysteem, waarin het lek zat, vervangen door een modern systeem.
Cursus
De AP heeft Zuid-Holland ook opgedragen het zogeheten privacy-volwassenheidsniveau te verhogen. Dat geeft aan hoe een organisatie omgaat met persoonsgegevens en privacy. Op een schaal van 1 tot 5 zit de provincie op 1 à 1,5, terwijl het minimaal op 3 moet zitten. Alle ambtenaren zijn daarom verplicht e-learning te volgen. Zo’n 25 procent van de 2500 medewerkers heeft die cursus nog niet gedaan. Bij ‘blijvende weigering’ moet de provincie daar gevolgen aan verbinden, adviseert de functionaris die toezicht houdt op naleving van de privacywetgeving.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.