Gerommel met het Donorregister

Het Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG) is een uitvoeringsorganisatie van het ministerie van Volksgezondheid, Welzijn en Sport. Een van de taken van het CIBG betreft het beheer van het Donorregister. Onlangs bleek dat een digitale back-up van donorformulieren over de periode 1998-2010 is verdwenen.

Het Donorregister is in 1998 opgericht om de Wet op de orgaandonatie (Wod) uit te voeren. Deze wet bepaalt dat iedereen van 12 jaar of ouder die is ingeschreven bij een Nederlandse gemeente een keuze kan maken over orgaandonatie en deze keuze kan vastleggen in het Donorregister. In het begin gebeurde dat met het invullen van een papieren formulier. Tegenwoordig kan dat ook digitaal. Het register zelf was al digitaal. Vanaf juli 2020 staat iedereen automatisch in het Donorregister.

In eerste instantie bestond het Donorregister uit een database met gegevens en een enorm papieren archief. Dozen vol netjes opgestapelde formulieren, opgeborgen op registratienummer. De formulieren waren alleen toegankelijk via de registratiegegevens uit de database. Stel je eens voor: planken vol papier. Een enorm archief van duizenden dozen waarvan de inhoud een aantal jaren geleden is gedigitaliseerd. Dit leverde miljoenen scans op. Een enorm bestand aan digitale donorformulieren met gegevens van burgers.

De formulieren uit de periode 1998-2010 zijn gedigitaliseerd bij de Belastingdienst. Van de gedigitaliseerde formulieren is tevens een reservekopie gemaakt in de vorm van twee harde schijven. Deze schijven zijn in 2016 voor het laatst gebruikt. Zo staat vermeld op de site van het Donorregister. De papieren formulieren zijn in 2020 vernietigd. Dit had men ook willen doen met de digitale back-up daarvan, echter deze blijkt onvindbaar. De schijven zijn verdwenen uit de kluis. Niemand weet wanneer en door wie de schijven zijn meegenomen. De gegevens zijn echter niet verdwenen. Deze staan nog in het Donorregister. Het gaat dus alleen om een extra digitale versie van de destijds gedigitaliseerde formulieren.

Toch een zorgelijke situatie. De gegevens mogen dan wel niet zijn verdwenen uit het Donorregister, de formulieren vormen wel de bron waaruit alle gegevens voor het Donorregister afkomstig zijn. Volgens het Donorregister gaat het om de volgende gegevens:

•    voor- en achternaam;
•    geslacht;
•    geboortedatum;
•    toenmalige adresgegevens;
•    toenmalige keuze over orgaandonatie;
•    handtekening;
•    burgerservicenummer of administratief nummer van de basisregistratie van de gemeente.

Is er sprake opzet? Het CIBG denkt van niet. Wel is er sprake van een datalek. Dat is inmiddels gemeld bij de Autoriteit Persoonsgegevens. De kans op identiteitsfraude op basis van de gegevens wordt als ‘beperkt’ ingeschat. Daarnaast heeft men op dit moment geen signaal dat de gegevens in verkeerde handen zijn. Toch verwacht je dat een combinatie van deze gegevens zeer interessant is voor personen met kwaadwillende bedoelingen. In hoeverre de miljoenen formulieren ook echt toegankelijk zijn, is nog de vraag. Dat zal mede afhangen van de wijze van scannen en de kwaliteit daarvan.

Met een zeer korte brief heeft minister Hugo de Jonge van Volksgezondheid de Tweede Kamer inmiddels geïnformeerd over het voorval. De zoektocht naar de harde schijven gaat verder. Misschien ook maar eens bij de Belastingdienst navragen? Deze dienst was immers betrokken bij het scannen van de formulieren uit die tijd. Hoewel, is het daar nu niet ook een rommeltje op het gebied van ICT? Daarnaast zal er een onafhankelijk onderzoek worden verricht door de Auditdienst Rijk (ADR). De bestaande beveiligingsprotocollen en werkinstructies worden geëvalueerd en waar nodig herzien en aangescherpt.

Een gelukkig moment is het zeker niet. Met het vooruitzicht naar een nieuw donorstelsel is de aandacht ook gericht op het beheer van persoonsinformatie van donoren en het vertrouwen in de dienst die deze gegevens beheert. Zeker als de gegevens van alle Nederlanders straks in het register zijn opgenomen.

Verder vraag ik me af wat er is gebeurd met het originele scanbestand en de (oudere) database? Als de schijven met de back-up hadden moeten worden vernietigd en ook het papieren archief is vernietigd, wordt het originele scanbestand dan nog wel ergens bewaard? Of is dat ook al vernietigd? En de bijbehorende registraties? Daarover is verder niets vermeld.