Datalek bij het CBR
Een opvallende melding in TOP eind juli: het CBR heeft te maken met een datalek op het moment dat een rijschool een verkeerde naam voor een examen selecteert in het systeem. In zo’n geval kan het voorkomen dat iemand examen komt doen onder de naam van die geselecteerde persoon. De gevolgen: het examen gaat niet door én er is sprake van een datalek, waarvan het CBR melding moet maken bij de Autoriteit Persoonsgegevens.
Het CBR verzoekt alle rjischolen via TOP Internet om zorgvuldig om te gaan met examenreserveringen om zo datalekken te voorkomen. TOP is het online systeem waarmee rijscholen al hun theorie-examens, toetsen, praktijkexamens en nader onderzoeken rijvaardigheid reserveren. In een toelichting op de melding over een datalek legt een woordvoerster uit: “het is uitzonderlijk, maar het kan voorkomen dat wanneer de rijschool een fout maakt bij het zoeken van een kandidaat in TOP, bijvoorbeeld door een verkeerde geboortedatum in te voeren, er toevallig een kandidaat verschijnt met dezelfde naam.”
Het gaat tot nu toe om enkele meldingen, op een totaal van een kleine 800.000 theorie-examens, laat de woordvoerster weten.
Voorkomen
Deze situatie kan worden voorkomen, waarschuwt het CBR. Vandaar de oproep tot zorgvuldigheid. In TOP kan een kandidaat gezocht worden op kandidaatsnummer, geboortedatum of op voornaam, achternaam en geboortedatum. “Als het toch voorkomt dat de verkeerde kandidaat gekozen wordt, dan kan dit dus leiden tot een datalek.”
Er is sprake van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Dat is de definitie die door de Autoriteit Persoonsgegevens wordt gehanteerd. In het geval van het lek bij het CBR komen de persoonsgegevens van de verkeerde kandidaat terecht bij de kandidaat die examen komt doen. Het niet melden van een datalek vormt een overtreding van de AVG. De toezichthouder, in Nederland de Autoriteit Persoonsgegevens (AP), kan in dat geval een boete opleggen van maximaal 10 miljoen euro of 2 procent van de jaarlijkse omzet. De melding bij de toezichthouder moet in principe binnen 72 uur na ontdekking plaatsvinden.
Maatregelen
Het CBR heeft meerdere maatregelen getroffen om dit te voorkomen. Een van die maatregelen was het bericht in TOP aan de opleiders waarin gewezen wordt op het belang van het zorgvuldig selecteren. Om fouten bij het selecteren van de kandidaat te voorkomen, neemt het CBR per eind september ook de geboorteplaats als zoekcriterium op.