Beheer

IT beheer
datalek

CBR neemt maatregelen na lekken medische klantformulieren

Extra controles, steekproeven en meer voorlichting moeten toekomstige datalekken voorkomen.

© CC BY 2.0 - Flickr Blue Coat Photos
16 augustus 2019

Extra controles, steekproeven en meer voorlichting moeten toekomstige datalekken voorkomen.

Het Centraal Bureau Rijvaardigheidsbewijzen (CBR) neemt maatregelen om te voorkomen dat er nog meer medische klantgegevens in verkeerde dossiers belanden. Er vinden extra controles plaats, de betreffende formulieren zijn aangepast en er vindt meer voorlichting plaats. Het CBR treft de maatregelen omdat er de afgelopen maanden tientallen dossierfouten zijn gemaakt.

Bij minstens 71 mensen die hun rijbewijs willen verlengen, zijn hun medische gegevens aan een verkeerd dossier toegevoegd. Dit bevestigde het CBR gisteren na berichtgeving van het AD. De gelekte gegevens omvatten onder meer gezondheidsverklaringen van de huisarts, formulieren van specialisten en burgerservicenummers en adresgegevens van de aanvragers. Het CBR, dat verantwoordelijk is voor de uitgifte en verlenging van rijbewijzen, kan de gegevens van deze cliënten niet meer terugvinden.

Volgens de organisatie komen de fouten door het digitaliseren van handmatig ingevulde formulieren die per post binnenkomen. Een kwart van de 600 duizend medische dossiers arriveert op deze manier bij het CBR, dat de formulieren scant en de gegevens vervolgens in de online omgeving verwerkt. Dat gaat heel soms fout, legt een woordvoerder uit. Bijvoorbeeld omdat de speciale barcodes op formulieren niet leesbaar zijn of omdat huisartsen gecodeerde papieren van andere klanten kopieerden en instuurden.

Niet software maar handschrift de boosdoener

Het verwerken van de met de hand ingevulde formulieren gaat ook niet altijd goed. Het CBR gebruikt naar eigen zeggen een ‘beproefde software-oplossing die onder meer bij ziekenhuizen en nutsbedrijven gebruikt wordt.’ Deze scansoftware herkent de tekst en cijfers en is volgens de woordvoerder ‘niet foutgevoelig’. Een handschrift is en blijft dat wel, benadrukt ze. Een i, 1, I en L lijken soms wel erg veel op elkaar, bijvoorbeeld. Dit kan problemen opleveren bij de dossiers van aanvragers.

Maatregelen

Om problemen in de toekomst te voorkomen, heeft het CBR extra controles ingebouwd. De scansoftware checkt nu aan de hand van iemands burgerservicenummer en geboortedatum of het betreffende document aan het klantdossier kan worden toegevoegd. Formulieren met slecht leesbare barcodes belanden bij medewerkers die handmatig de juiste dossier- en persoonsgegevens opzoeken.

En losse documenten die digitaal bij het CBR binnenkomen, worden per pagina automatisch gecontroleerd op het burgerservicenummer en de geboortedatum van de klant. Zo checkt de organisatie of bijlagen bij elkaar en bij het geretourneerde rapport of formulier horen, legt de woordvoerder uit. De formulieren zijn ook aangepast en artsen zijn erop gewezen dat ze geen unieke klantformulieren moet hergebruiken. De organisatie voert ook meer steekproeven uit.

Het CBR onderzoekt daarnaast of het alle formulieren en bijlagen uniek en persoonlijk herleidbaar kan maken. Eén van de mogelijkheden is door geen algemene downloads via de website meer toe te staan. “Minder klantvriendelijk, maar wel veiliger”, aldus de woordvoerder.

Geen garanties

Ondanks al deze maatregelen kan het CBR niet garanderen dat dit soort fouten met papieren formulieren nu verleden tijd zijn. “Het blijft mensenwerk.” De organisatie ziet daarom graag dat alle artsen en klanten hun CBR-zaken digitaal regelen. “De online methode is foutloos en snel”, aldus de woordvoerder.  

Datalek gemeld, mogelijk meer gedupeerden

Het datalek is – zoals het moet – gemeld bij de Autoriteit Persoonsgegevens (AP), laat de woordvoerder van het CBR desgevraagd weten. De AP zegt geen mededelingen te doen of een partij wel of niet melding gemaakt heeft. Mogelijk treft het CBR-datalek meer Nederlanders dan op dit moment bekend is. De 71 bekende gevallen zijn van januari tot en met juni dit jaar en zijn aan het licht gekomen door telefoontjes van gedupeerden, onderzoek van CBR-medewerkers en een steekproef van de organisatie. De woordvoerder van het CBR kan vrijdag niet zeggen hoe groot die steekproef was en of er vóór januari mogelijk ook dossiers verwisseld zijn. De organisatie komt binnenkort met meer informatie.

Eerder dit jaar schreef de verantwoordelijke minister dat het CBR pas eind dit jaar aan de Algemene Verordening Gegevensbescherming (AVG) kan voldoen. Een woordvoerder van het CBR kan vrijdag niet zeggen of de organisatie nu niet aan de privacywet voldoet en zo niet of eind dit jaar wel lukt. 

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.