Welk datalek? Er zijn zeer waarschijnlijk 2 schijfjes voortijdig vernietigd.
Geen datalek want die gegevens werden niet gebruikt, alles werd via papieren dossiers afgehandeld (wel lek, niemand kon het volgen wie wat bekeek). Geen datalek omdat met de vernietiging van die schijfjes niemand wat gezien heeft.
.
Als alle wat een ander mogelijk zou hebben kunnen zien of gehoord hebben als datalek gaan bestempelen dan wordt de toezichthouder voor privacy de grote Big Brothers de iedereen zijn privacy schend. Dat is de 1984 handleiding.

Het donorregister had goede procedures voor de omgang met en vernietiging van data, maar deze stonden op een van de twee schrijven en de andere was een backup.

LMFAO

Jij noemt het waarschijnlijk dat de schijven vernietigd zijn, maar het punt is dat dat niet is na te gaan en dat niemand een idee heeft wat ermee is gebeurd. Het is dus mogelijk dat iemand die schijven heeft meegenomen, wat een duidelijk datalek zou zijn. Als je dat niet kan uitsluiten moet moet men het wel als datalek behandelen, het zou nalatig zijn om dat niet te doen.

Nee, het punt is dat je het beheer van persoonsgegevens zo goed moet regelen dat duidelijk is wat ermee gebeurt. Dat heeft men hier nagelaten.

Bij menig ander onderwerp wijs je erop dat procedures, ISO-richtlijnen en dergelijke gevolgd horen te worden. Als het op beheer van persoonsgegevens gaat vind je dat kennelijk opeens maar overbodig geneuzel. Da's nogal inconsistent.

Niet weer die misinformatie Karma4, jij weet ook niet wat er met die schijven gebeurd is dus moet het beschouwd worden als een data lek.

Beste IT'er, juridisch is er wel degelijk sprake van een datalek, zie hier:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken#wat-is-een-datalek-precies-7964

Dit is duidelijk een gevalletje van ongewenst verliezen, het maakt daarbij niet uit of de gegevens wel of niet onbevoegd zijn ingezien.

Er lekt mij teveel data de laatste tijd. Hoe mooi is het als je gehacked bent en vervolgens de beschikking hebt over alle data en er mee doet wat je wilt en dat aan de voorkant afvangen met het is door bad guys verhandeld op darkweb.

2021 wordt het jaar van de datalekken. Van iedere nederlander zal de info op straat komen.. gewoon omdat de gebruikers niet om kunnen gaan met verantwoordelijkheid, hun bazen het nut er niet van inzien en dat it-ers niet op 2 fronten kunnen vechten.

De correcte omschrijving zou zijn: een onder artikel 33/34 meldplichtige inbreuk op de beveiliging van persoonsgegevens. Daarvoor is het niet noodzakelijk dat iemand onbevoegd de gegevens heeft kunnen inzien. Maar bijna iedereen noemt het toch "datalek", inclusief de AP zelf.

Volgens mij niet. De gegevens stonden namelijk allang in de database en die zijn niet verloren gegaan.

De schijven bevatten een backup van de scans die tijdens het proces van digitaliseren van de gegevens waren gemaakt, in 2016. In 2020 werden de papieren formulieren volgens de procedure vernietigd en moesten ook die schijven vernietigd worden, en toen ontdekte men dat ze ontbraken.
https://www.donorregister.nl/actueel/nieuws/2020/03/10/bericht-vanuit-het-donorregister

Er is dus geen inbreuk op de beschikbaarheid van de gegevens, en dat is waar dat ongewenst verliezen op slaat.

Het probleem hier is dat niemand weet wat er met die schijven is gebeurd, dat ze niet versleuteld zijn, en dat dus niet valt uit te sluiten dat de gegevens in handen van onbevoegden zijn gevallen. Het moet als datalek worden behandeld omdat niet valt uit te sluiten dat het er een is.

De fout die karma4 maakt is dat hij redeneert alsof je kan doen of er niets aan de hand is als je niet kan aantonen dat er wel iets aan de hand is. Bij datalekken werkt de bewijslast andersom, je moet met goede onderbouwing aannemelijk kunnen maken dat het goed zit. Dat is hier niet mogelijk omdat men geen procedures ervoor had, laat staan dat men die goed toepaste.

Iemand al de zogenaamde gelekte gegevens gevonden of gepubliceerd gezien op een of ander hackers platform ?

Wat ik niet lees is dat behalve melding aan de AP er geen recherche onderzoek heeft plaatsgevonden bij het donorregister in Kerkrade. Misschien was dan helder geworden wat er met de schijven was gebeurt.

Het juiste woord is inbreuk. Artikel 4 lid 12 AVG:

Juridisch gezien heet het een datalek. Ik vind alleen de benaming 'datalek' verkeerd. Überhaupt zou de term vanuit de wetgeving duidelijk moeten maken dat het om persoonsgegevens gaat (dat is dus smaller dan 'data') en daarnaast valt veel meer onder de definitie 'lek' dan het woord doet vermoeden.
Op dit moment valt onder de definitie van 'datalek' ook dat iemand bv te vroeg bepaalde persoonsgegevens heeft vernietigd (en dat keurig geregistreerd heeft, conform de eisen). Er is hierbij geen sprake van een 'lek' zoals in de Dikke van Dale staat beschreven.

Ik weet dat ze in een kluis gelegd zijn, dat is een omgeving waar niemand zo maar bij komt en wat er uit gaat naar vernietigers gaat. Dt is heel wat anders dan een reparatie afdeling of iets waar doorverkoop van afgedankte spullen plaatsvindt.

Als je alle wat iemand zich niet meer kan herinneren als een datalek gaat positioneren heb je big brother / minority report.
Alle makke schapen volgen het idee van een ideaal (orwell -> AF).

Nee de gegevens zelf zijn nooit verloren gegaan, ook dat kun je niet zomaar toepassen, in dit geval waren het kopieën van originelen (papier) welke niet voor de verwerking ingezet werden. Die papieren dossiers zijn niet verloren gegaan.
Als je bij een grote brand niet direct kan uitwijken naar een andere locatie is dat niet iets voor de GDPR.

In de verhandelingen rondom de AVG stond de minister nou juist ook stil bij deze definitie kwestie die u (mogelijk onbedoeld) napluist met anderen.
De werkingssfeer van datalek was nou juist beperkt tot datgeen dat dat met specifieke handelingen - niet beperkt tot een stomme cc keus bij het verzenden van een email naar breder publiek - waarmee actief gegevens lekken, maar niet zozeer de volledige lading van fouten in organisatorische aansturing zou moeten vervangen zoals het nalaten een oude of afgeschreven harddisk voor de volledigheid door de shredder te halen zoals overheden ook moeten doen bij gevoelige analoge gegevens waarvan je niet wilt dat ze via een vuilnis leesbaar op een vuilnisbelt belanden.

Er werd in beginsel de volgende aanleiding gemeld:


Daarnaast lijkt de inbedding, de hiërarchische verdeling van verantwoordelijkheden en geven van opdrachten(mandatering) rondom de informatie opslag van de donorformulieren me hier toch ietwat apart.

Het oorspronkelijke donorregister is in verband met de wetten rondom begrafenissen en dergelijke netjes ingebed in de wet per 26 januari 1998.
Zie daarvoor https://wetten.overheid.nl/BWBR0009352/2016-07-01.
Deze wet kwam tot stand onder Els Borst en Winnie Sorgdrager (paarse kabinetten / kabinet Kok).
Primair ging het om een kader waardoor de registratie doel van transplantatie toestemming en archivering van de kenbaar gemaakte toestemming middels formulier als specifiek proces werd geborgd.
Het ministerieel besluit is per 01-07-2020 vervallen.
Hetgeen ook al opmerkelijk is omdat staatsrechtelijk dat al in 2008 zou moeten zijn vervallen, hernieuwen van ministeriele regelingen is staatsrechtelijk namelijk taboe.
Maar in elk geval gold in 2020 dus die ministeriële passieve regeling niet meer.
Toen werd werd een actieve dwingende registratie bepaling van kracht.
Met die regeling stemde de eerste kamer op 13-02-2018 in.

Daarvoor is een vervangingbesluit opgesteld.
Genaamd "Vervangingsbesluit Donor archief 1998–2010 CIBG", Den Haag, 4 juli 2019.
Alleen is daarbij de directeur het agentschap CIBG te Heerlen namens de minister als vervangend ondertekenaar van dat besluit tekstueel opgenomen.
Het CIBG is volgens haar website een uitvoeringsorganisatie
(naar eigen zeggen onderdeel van het ministerie van Volksgezondheid, Welzijn en Sport).
Dit terwijl een directeur van een uitvoeringorganisatie staatsrechtelijk sowieso GEEN besluiten bekrachtigd die zijn bedoeld om te worden opgenomen in de wet te zoals bedoeld in de Algemene Bestuurswet.
Een directeur bij een uitvoeringsorganisatie voert enkel uit.
Namelijk de taken en opdracht(en) uit die vanuit de opdrachtgever / eigenaar formeel worden opgedragen.
Maar stelt zelf geen wettelijk beleid vast.

Het vervangingsbesluit Donor archief 1998–2010 CIBG meldt hierover:
Dit besluit zal met toelichting in de Staatscourant worden geplaatst met uitzondering van het Handboek substitutie Donorregister 1998–2010. Het handboek ligt ter inzage bij het CIBG.
Den Haag, 4 juli 2019
De Minister van Volksgezondheid, Welzijn en Sport, namens deze, N.A. Laagland - Directeur CIBG


Hoe omschrijft het Centraal Informatiepunt Beroepen Gezondheidszorg zichzelf?
(de organisatie waar het donorregister van de fout onder valt)


De vraag is vervolgens, wie gaf opdracht waarvoor?
In beginsel worden er vervolgens rondom het donor register een aantal ernstige misduidingen door de minister aan de tweede kamer gedaan c.q. verkeerde schijn gewekt met betrekking tot waar de gemaakte fouten aan toe te schrijven zouden zijn:

1. Je vernietigt NOOIT originelen.
Tenzij daarom wordt verzocht door de eigenaar - in dit geval de burger - of door de rechter de overheid daartoe gedwongen wordt.
Op de een of andere wijze lijkt de minister hier aan voorbij te gaan met diens digitalisering actie van de formulieren.
Zoals je als overheid ook geen originele (historische) kunstwerken in opslag vernietigt.
Om te voorkomen dat die overheidsarchieven beschadigd raken of zelfs verloren gaan, stelt de archiefwet 1995 eisen aan goed informatie- en archiefbeheer.

Bijkomend heeft de minister bij de verhandelingen over datalekken nog specifiek benadrukt dat het begrip datalek in kader van de AVG en de AP in de vorm van "fouten in omgang met gevoelige en/of belangrijke informatie niet mogen leiden tot afzwakking of verwatering van wettelijke vereisten voor omgang met informatie".
Daarbij lichtte de minister nader toe dat als er geen specifieke bepaling is vastgesteld voor "specifiek die ene digitale informatie of anderszins digitale informatie dat daarmee de verplichtingen die op de informatie beheerder rusten vanuit de hele wet daarmee onverkort, dus altijd, van kracht zijn."

2. Je vernietigt alleen originelen bij verstrijken van vereiste WETTELIJKE en functionele bewaar termijn.
Tenzij de aard of doel dat de gegevens worden bewaard zich daartegen verzet.
Voor veel gegevens noemde de betreffende minister bij de verhandelingen de bewaartermijnen van officiële documenten en dossier-stukken die gelden voor het Rijk.
Veelal 15 jaar, volgens de minister bij de verhandelingen.
Maar geenzins, benadrukte de minister bij de verhandelingen (Grapperhaus), moeten er dubbele of grijze archieven worden aangehouden door overheden.
Waarbij de minister bij de verhandelingen (Grapperhaus) verwees naar de ernstige fraude van personen van wie door derden pogingen werden ondernomen hun indentiteit te misbruiken om zich heimelijk als ander persoon voor te doen.
De betreffende gegevens dateren van de periode februari 1998 tot juni 2010,

3. In geval van verstrijken administratieve termijn voor formele afhandeling van individuele overlijdens, dan is het doel van opslag van de Donorformulieren gewoonlijk wel vervallen.
Tenzij het stoffelijk overschot volgens de minister door de persoon bij leven nadrukkelijk toestemming gaf voor specifiek en langduriger gebruik is er dan geen reden meer dat ook de de corresponderende donorformulieren blijven bewaard.

Het ging in bovenstaande kwestie volgens de minister om kopieën van de donor-formulieren (digitale versie, in tweevoud).
De originelen daterend van februari 1998 tot juni 2010 werden als vervanging beschouwd en daarmee dus primair al door de minister in afwijking van de wetgeving op archieven en bewaartermijnen behandeld.
Bijkomend zijn de kopieën kwijt geraakt.

Op basis van het bovenstaande golden er natuurlijk wel degelijk duidelijke richtlijnen voor omgang met de gegevens.
De aard en doel van de formulieren verandert in beginsel natuurlijk niet.
De originelen blijven de originelen.
Kopieën van de originelen blijven wettelijk kopieën.
Met even zware verplichtingen.
Anders wordt het een merkwaardige voorstelling van zaken.
Ook kan je dan intern door opeenvolgende handelingen natuurlijk niet de strekking van de archiefwet verwateren/verdunnen.
Enkel als je de voorstelling van zaken van doel en verspreidinggeschiedenis van de donor-gegevens zelf verhaspelt / anders voorspiegelt / je je laat voorspiegelen dan doe je als Audit Dienst Rijk deels oneigenlijke uitspraken!!

Natuurlijk had het Donorregister wel degelijk te maken met regelingen, namelijk die van de archiveringwet en de AWB.
Volgend vanuit de donorformulieren en het beheren daarvan als een overheidtaak.
Dus waren er vanzelfsprekend regelingen van kracht voor "het omgaan" "met informatie"!!!!!
Dat had in elk geval de Audit Dienst Rijk zelf wel moeten weten en door moeten hebben en rapporteren.

Dat kopieën van de donor informatie (digitaal opgeslagen) in elk geval per 20 februari 2020 uit de kluis zoek waren kan enkel een specifieke opdracht of van rechtswege vernietiging besluit van een bestuurlijk gemandateerde zijn geweest, zonder dat een bewijs van vernietiging van de digitale gegevensdragers is aangeleverd.
Anders is naast het niet toepassen van de archiefwet 1995 en wat daarna volgt OOK nog eens de bestuurswet overtreden, namelijk het niet toepassen van zorgvuldigheid.

Dat had het CIBG natuurlijk al 4 maart 2020 (conclusie van vermissing) moeten melden bij de ADR.
De vermissing had in die zin niet enkel tot melding bij de AP moeten leiden.
Ook tot melding van ernstig verzuim bij de ADR en bij minister de Jonge.
De Jonge meldt dat zijn ministerie op vrijdag 6 maart mondeling door de algemeen directeur van het CIBG is geïnformeerd.
"over een waarschijnlijk datalek" meldt de Jonge in zien beantwoording Verslag_van_een_schriftelijk_overleg_over_Datalek_Donorregister_(Kamerstuk_32761-160).pdf.
Dat is dus puur een aanname, een gerichte gok wellicht.

Feitelijk gezien misschien niet per se een lek als die gegevens - zoals Karma4 aanhaalt - niet zijn ingezien.
Voor de wet waar de overheid mee te maken heeft, onder andere de AVG maar ook de archiefwet en AWB, betreft het in eerste instantie oneigenlijk verdwijnen of kwijtraken van belangrijke en/of gevoelige gegevens, met onzorgvuldig handelen en/of behandelen.
Het is vervolgens wel informatief dat de Jonge gaat schermen met de Baseline Informatiebeveiliging Overheid 2019 maar dat is secundair aan het niveau en ernst van de ontstane tekortkomingen in het geheel.

Verder reageert de minister met de beantwoording:
De vraag is natuurlijk ook, heeft de minister gecontroleerd met diens collega van Binnenlandse Zaken of betreffende gegevens matchen aan wie ten onrechte en foutief stemformulieren werden toegezonden?
Hetgeen recentelijk ook nog in het nieuws kwam en tientallen stemformulieren voor de tweede kamer verkiezingen in maart 2021 betrof.
Als een een of andere grapjas - interne geheime controle van een Rijksdienst - iets met de digitale formulieren dacht te doen om te kijken hoe wakker minister de Jonge en Ollongren zijn, dan is dat natuurlijk wel een van de stunts om uit te halen.

Minister de Jonge stelt:
Burgers hebben inmiddels natuurlijk ook gegronde reden om eventueel geen vertrouwen in de zorgvuldigheid in omgang met gegevens te hebben.
De wet geldt natuurlijk ook voor Hugo de Jonge en zijn ministerie, maar het verprutsen ervan lukt aardig.
Ook is diens haast en data-honger verre van geruststellend.
Dat compenseer je niet met verwijzing naar procedures en baselines.

De moraal van dit verhaal is, originelen zijn ONVERVANGBAAR!!
Vernietig die dus niet als je kopieën ervan maakt!!!!!

Je weet het natuurlijk niet zeker, maar karma4 wekt de indruk dat hij weet waar die schijfjes nu zijn. Waarschijnlijk gered van vernietiging, nu keurig bij (de broer, van de neef van) karma4 thuis, opnieuw geformatteert en daarna gebruikt voor een backup van een oude foto archief, dat bij de yahoo fotodienst niet meer veilig stond.

....Tevens bleek het informatiebeveiligingsplan sinds 2011 niet meer te zijn bijgewerkt.....

Hiervoor zijn in meerdere hiërarchische lagen koppen af gehakt mag ik hopen..!?
Wat een vuilnisbelt daar!

Komt zo vaak voor joh. En dat bij bedrijven waarvan je denkt WATTT zij????

En dan word je stiekem door een manager benaderd want ze zitten met een probleem en je moet het absoluut geheim houden.

jup anders gaan de ba**en eraf.