Het datalek van het Donorregister

Vragen

1. V1Klopt het dat u op 9 maart 2020 op de hoogte bent gesteld over het datalek dat zich heeft voorgedaan bij het Donorregister, of was u hierover al eerder geïnformeerd? 1

2. V2Op welk moment zijn precies de persoonsgegevens overgezet naar de twee harde schijven?

3. V3Op welk moment was het CIBG voor het eerst op de hoogte van de vermissing van de twee externe harde schijven? Was deze ontdekking al begin 2020 gedaan, op het moment dat begonnen werd met de vernietiging van het papieren archief?

4. V4Klopt het dat, na aanmerking van de vermissing als een datalek door de privacy officer van het CIBG, dit direct gemeld is aan de Autoriteit Persoonsgegevens (AP) en dit dus op 6 maart 2020 plaatsvond?

5. V5Wat was de reactie van de AP op het datalek? Heeft de AP aanbevelingen gedaan over mogelijke vervolgstappen en worden deze opgevolgd? Zo ja, wat waren deze aanbevelingen precies en hoe wordt hier gevolg aan gegeven? Zo nee, waarom niet?

6. V6Van hoeveel unieke personen stonden hun persoonsgegevens op de twee vermiste harde schijven? Worden deze mensen persoonlijk van het datalek op de hoogte gesteld?

7. V7Kunt u toelichten wat precies bedoeld wordt met de passage «hoogstwaarschijnlijk niet zijn beveiligd»? Waarom is het niet bekend of deze externe harde schijven beveiligd zijn?

8. V8Kunt u aangeven wanneer precies de twee verhuizingen van het Donorregister, waarover gesproken wordt in de brief, plaatsvonden? Is de kluis waarin de externe harde schijven zich bevonden tijdens beide verhuizingen meeverhuisd?

9. Hoeveel beveiligingsprotocollen en werkinstructies zijn er precies? Kunt u per protocol en instructie aangeven wanneer deze voor het laatst geëvalueerd zijn en welk proces is ingericht om deze instructies en protocol bijgewerkt te houden?