Onderzoek Donorregister; aanbevelingen t.a.v. informatiebeveiliging en DPIA proces
Op 2 september 2021 heeft de Audit Dienst Rijk (ADR) het onderzoeksrapport Informatiebeveiliging Donorregister naar buiten gebracht. Vanaf juni 2020 heeft CIBG (de uitvoeringsorganisatie van het ministerie van VWS verantwoordelijk voor het Donorregister) zijn Quickscan, Data Protection Impact Assessment (DPIA) (de risicoanalyse naar de bescherming van de persoonsgegevens van de betrokkene) en het zeer verouderde Informatiebeveiligingsplan Donorregister grondig bijgewerkt. Ook heeft het CIBG zelf in februari 2021 een ‘Eerste Vervolgonderzoek Informatieveiligheid Donorregister’ uitgevoerd. De bevindingen daarvan zijn vertaald en opgenomen in het ‘Programma Doorontwikkeling Informatieveiligheid’. Dit programma verkeert ten tijde van het onderzoek (juli 2021) nog in conceptstadium.
Op basis van het onderzoek beveelt ADR CIBG aan om:
- het IB-beleid te actualiseren en het Privacybeleid daarin te integreren,
- de uitvoering, vastlegging en uitwerking van de risicoanalyses te verbeteren,
- alle relevante bedrijfsmiddelen van belang voor het Donorregister te inventariseren en vervolgens een passend autorisatiebeheer in te richten,
- het IB-plan te verbeteren door alle maatregelen die van belang zijn voor het Donorregister daarin op te nemen,
- de huidige beschrijvingen, procedures en werkinstructies in kaart te brengen, te actualiseren en daarbij aandacht te schenken aan de onderlinge consistentie van documenten,
- toezicht in te regelen op de uitvoering van de maatregelen
De aanleiding voor het onderzoek was het zoekraken van twee externe hardeschijven in maart 2020 en het naar aanleiding daarvan in november 2020 door de ADR uitgevoerde onderzoek:‘Inventarisatie maatregelen t.a.v. beheer externe gegevensdragers Donorregister’. Het Kamerlid Dijkstra c.s. heeft daarna de Minister gevraagd de gehele informatiebeveiliging van het nieuwe Donorregister te beoordelen.
Download hier het volledige onderzoeksrapport