Zuid-Holland heeft nog 1,5 jaar nodig om datalek volledig te dichten

De provincie Zuid-Holland denkt nog zo'n anderhalf jaar nodig te hebben om de interne informatiebeveiliging op orde te hebben. Zuid-Holland staat onder verscherpt toezicht van de Autoriteit Persoonsgegevens (AP), nadat vorig jaar september een datalek in een intern systeem was ontdekt door een medewerker. Het is volgens de provincie ‘een enorme opgave’ en ‘een arbeidsintensief proces’ om het datalek te dichten en om te zorgen dat de cyberbeveiliging op het minimaal vereiste niveau komt.

50 miljoen documenten

Het systeem waar het om gaat, bevat circa 50 miljoen documenten. De provincie kwam er achter dat medewerkers bij privacygevoelige gegevens konden komen waar ze geen toegang toe hadden moeten krijgen, zoals persoonsinformatie, salarisspecificaties en strafrechtelijke gegevens. Direct na de melding van het datalek zijn al enkele documenten en bepaalde mappen afgesloten. Een onderzoeksteam is sindsdien bezig om van alle documenten de risico's te bepalen.

Eis 

De ChristenUnie had schriftelijke vragen gesteld over de zaak, die dit voorjaar naar buiten kwam. In de antwoorden meldt de provincie ernaar te streven op 1 januari 2026 te voldoen aan de eis van AP, namelijk dat Zuid-Holland op stap 3 (van de 5) van het AVG-volwassenheidsniveau komt.

Vooruitgang

‘AP begrijpt dat een organisatie misschien enige tijd nodig heeft om op een adequaat niveau te komen. Tegelijkertijd zal de AP het niet accepteren als er niet op korte termijn vooruitgang wordt getoond’, zegt een woordvoerder van de privacywaakhond. ‘Schiet de provincie tekort, dan kan de AP op elk moment besluiten over te gaan tot handhavend optreden.’ Dat kan een berisping zijn, maar ook een boete of een last onder dwangsom.

‘Allerminst gerustgesteld’

Steven Datema van de ChristenUnie in Zuid-Holland zegt ‘allerminst gerustgesteld’ te zijn. ‘Ik begrijp dat men geen ijzer met handen kan breken. Maar nog anderhalf jaar wachten voordat gegevensbescherming op het aanvaardbare minimumniveau is, is wel erg lang. Mensen moeten erop kunnen vertrouwen dat hun persoonlijke gegevens bij de provincie veilig zijn.’

Rollen en rechten

De functionaris die toeziet op de AVG-naleving, had al in 2019 geadviseerd om te zorgen dat de ‘rollen en rechten’ in het verouderde systeem op orde zijn en dit systeem op termijn te vervangen. Zuid-Holland erkent dat veel adviezen op dit vlak de afgelopen jaren niet adequaat zijn opgevolgd. De provincie heeft wel 23 miljoen euro gereserveerd voor een 'informatietransitie'.