CBR klunst met gevoelige gegevens

Het CBR heeft medische gegevens van tientallen mensen aan digitale dossiers gekoppeld die niet van hen waren. Het gaat om mensen die hun rijbewijzen wilden verlengen. Het verkeerd koppelen van deze medische gegevens gebeurde in zeker 71 gevallen.

Wel vaker mis
Het CBR laat het AD weten dat het niet uit te sluiten is dat het vaker is misgegaan dan de genoemde 71 keer. Bij de getroffen groep, mensen die hun rijbewijs wilden verlengen, werden gevoelige gegevens zoals onderzoeken van specialisten, huisartsformulieren, adresgegevens en burgerservicenummers gekoppeld aan de verkeerde dossiers. De 71 verkeerde plaatsingen vonden plaats tussen januari en juni. De fouten kwamen aan het licht door steekproeven, klagende cliënten en CBR-medewerkers zelf. In het merendeel van de fouten constateerde het CBR zelf de fout, maar in zeker 21 van de 71 gevallen waren het derden die melding maakten van het feit dat ze persoonsgegevens inzagen die niet van hen waren.

Gescand
De fout is te wijten aan het nog steeds handmatig verwerken van medische dossiers. Hiervoor zouden nog steeds papieren invulformulieren worden gebruikt. Deze worden vervolgens opgestuurd en gescand. Deze procedure wordt nog toegepast bij een kwart van alle medische dossiers. De overige driekwart wordt inmiddels digitaal verwerkt. Bij de digitale procedure zijn overigens geen fouten geconstateerd. De papieren medische dossiers worden ook door artsen hergebruikt, waardoor identificatienummers op de formulieren niet meer overeenkomen met één enkele patiënt. Daarnaast schijnt de scansoftware ook foutgevoelig te zijn. Deze weet namelijk niet altijd burgerservicenummers en geboortedata te herkennen.

Gevoelige groep
Wat de fout extra pijnlijk maakt, is dat de groep waarbij het mis ging veelal een kwetsbare groep betreft. Verreweg de meeste mensen wiens persoonsgegevens zijn gedeeld met andere burgers, betreffen ouderen of mensen met een handicap. Deze groep mensen kunnen niet zelf naar het gemeentehuis voor een verlenging. Zij moeten eerst een gezondheidsverklaring invullen en laten keuren door een arts. Dat moet bijvoorbeeld voor de groep bestuurders ouder dan 75 jaar. De wachtrijen voor dergelijke verlengingen lopen al jaren op. In 2018 werden er alleen al 650.000 gezondheidsverklaringen ingediend bij het CBR. Er zijn echter te weinig artsen om deze te controleren binnen de normaal gestelde termijn van vier maanden.

Consequenties
Het is nog niet duidelijk of de Autoriteit Persoonsgegevens het incident gaat onderzoeken. Het stelselmatig lekken van persoonsgegevens op deze manier duidt op een structureel gebrek aan deugdelijk beleid. Onder de AVG is het hebben van adequate beveiligingsmaatregelen om verlies van persoonsgegevens tegen te gaan een vereiste. Zeker wanneer het medische persoonsgegevens betreft. Blijkbaar waren er niet genoeg ‘checks’ om te voorkomen dat persoonsgegevens aan de verkeerde dossiers worden gekoppeld. Overigens moet het geval wel in enig perspectief worden geplaatst. Gezien de 650.000 aanvragen per jaar, zijn 71 incidenten relatief beperkt te noemen. Toch is er genoeg werk aan de winkel voor het CBR.

Terug naar overzicht