Het CBR (Centraal Bureau Rijvaardigheidsbewijzen) is voor tientallen miljoenen extra het schip in gegaan met een ICT-project. Bovendien zijn de overschrijdingen wel gemeld maat dat is te laat gebeurd. Minister Cora Van Nieuwenhuizen van Infrastructuur schrijft dit deze week in een brief aan de Tweede Kamer.
Verder komt er ook op korte termijn onderzoek naar de manier waarop dat zelfde CBR medische gegevens beveiligt. De problemen werden ontdekt door het TV-programma ZEMBLA.
Naar aanleiding van de uitzending vorige maand over de slechte beveiliging van gegevens rond medische keuringen startte het ministerie een onderzoek. Binnenkort is er ook een Kamerdebat.
Overschrijdingen
Het ICT-project van het CBR was oorspronkelijk begroot op 7 miljoen euro. Nu blijkt dat dit is opgelopen naar zeker 34 miljoen euro. Overschrijdingen moeten aan de Kamer worden gemeld via het RijksICT dashboard. Op deze website worden met name de kosten van ICT-projecten van overheden in de gaten gehouden.
De minister Van Nieuwenhuizen erkent in de Kamerbrief dat de informatie over het project te laat en bovendien niet correct was. “De publicatie op het Rijks ICT-dashboard had een jaar eerder kunnen plaatsvinden.” zo valt in de brief te lezen.
Windows XP
In de uitzending van ZEMBLA kwam een voormalige ICT-manager van het CBR aan het woord. Deze klokkenluider vertelde dat medische gegevens van een miljoen Nederlanders onveilig worden opgeslagen. Dat komt met name door computers met verouderde systemen. Volgens de klokkenluider is het gebruik van Windows XP, dat al zeker vijf jaar geen beveiligingsupdate meer krijgt, nog redelijk gewoon en geen uitzondering zoals het CBR stelt.
In haar brief erkent de minister dit ook: “Ik vind het zeer belangrijk dat de relevante technische maatregelen zijn getroffen om de risico’s op het lekken van medische en andere klantgegevens tot een absoluut minimum te beperken. Daarom heb ik het CBR gevraagd om een externe partij een second opinion te laten geven op de technische beveiligingsmaatregelen om ongewenste toegang van buitenaf te voorkomen.”
De hoofdmoot van het probleem zou zitten in het volledig afsluiten van Windows XP op bedrijfsnetwerken. Dit zou onder andere verklaren waarom bedrijfsnetwerken moeite hebben om over te schakelen op modernere en veiligere systemen.
Eerste resultaten
Het CBR-programma RGahSis is inmiddels al wel in gebruik. In april 2019 nam het CBR 75% van de besluiten met het nieuwe systeem. Rond de zomer moeten alle nieuwe medische aanvragen in het nieuwe systeem worden gedaan. Eind dit jaar moet het hele systeem voldoen aan de eisen van de AVG.
