Het Centraal Bureau Rijvaardigheidsbewijzen (CBR) voegde in de periode januari tot en met juni van dit jaar medische data van burgers die hun rijbewijs willen verlengen toe aan digitale dossiers van anderen. De betreffende data zijn nu onvindbaar. Het is nog onbekend of de blunder gemeld is bij de Autoriteit Persoonsgegevens.
Het lek wordt gemeld door verschillende media. Het zou gaan om 71 gevallen waarbij medische gegevens zijn toegevoegd aan verkeerde dossiers. Het gaat om onderzoeken van specialisten, formulieren van huisartsen, adresgegevens en burgerservicenummers. Via steekproeven, meldingen van cliënten en CBR-personeel zelf is het grootschalige datalek aan het licht gekomen.
In 21 gevallen kreeg het CBR verontruste telefoontjes van personen die andermans persoonlijke en medische gegevens konden inzien als ze inlogden op Mijn CBR. In vijftig gevallen ontdekte het CBR zelf de fout.
Foutgevoelige scansoftware
Het CBR roept op om bij medische gegevens alleen de digitale procedure te volgen. Die zou foutloos zijn. Het ging vaak mis wanneer de medische dossier via een oude methode werden verwerkt: met de hand ingevulde formulieren die op de post gaan en vervolgens worden gedigitaliseerd door ze te scannen. Vervolgens kopieerden artsen deze formulieren om ze voor andere patiënten te gebruiken waardoor de identificatiecode niet meer klopte. Bovendien blijkt de scansoftware die de burgerservicenummers en geboortedata moet herkennen foutgevoelig.
Ict bij CBR al langer heikel punt
De fout met medische data bij de verstrekker van rijbewijzen is geen incident. Het rommelt al jaren op ict-gebied bij het CBR. Zo bleek afgelopen voorjaar dat het CBR kosten verzweeg rond een falend ict-project dat als doel had de verstrekking van de Verklaring van Geschiktheid aan rijbewijshouders te stroomlijnen en nieuwe werkprocessen en nieuwe ict-systemen te introduceren. De instelling gaf alleen de toegenomen kosten van 2017 door, die twintig procent van de daadwerkelijke kosten vertegenwoordigden.
In 2014 werd het project, dat in 2016 zijn afronding moest beleven, begroot op zeven miljoen euro. Inmiddels is het systeem nog steeds niet klaar en zijn de kosten opgelopen tot ruim 34 miljoen euro, zo meldde Zembla destijds.
AVG
Het is niet bekend of het CBR een melding van het datalek heeft gedaan bij de Autoriteit Persoonsgegevens. Wel meldde minister Cora van Nieuwenhoven van Infrastructuur en Waterstaat in mei van dit jaar dat het CBR nog niet voldoet aan de Algemene Verordening Gegevensbescherming (AVG). Dit zou eind dit jaar op orde moeten zijn.
