Het Instituut Mijnbouwschade Groningen (IMG) heeft stappen ondernomen om de bescherming van persoonsgegevens te verbeteren, maar nog niet genoeg. Volgens Auditdienst Rijk veranderde het IMG vooral veel op papier, maar nog te weinig in de praktijk.
De Auditdienst Rijk (ADR) bracht twee maanden geleden een onderzoek naar buiten over de bescherming van persoonsgegevens bij het IMG, naar aanleiding van datalekken in 2021 en 2022. In 2021 konden mensen met een schadedossier bij het IMG onterecht duizenden documenten van anderen inzien. Een jaar later bleek dat louche bemiddelingsbureaus (illegaal) inzicht konden krijgen in welke adressen wel of niet schadevergoeding hadden aangevraagd.
Vervolgens bracht het IMG, sinds de twee lekken zijn gedicht, vooral nieuwe beleidsstukken naar buiten over aangekondigde maatregelen rond privacy, zo stelt de ADR. Maar deze maatregelen zijn in de ‘operationele uitvoering’ nog niet altijd doorgevoerd, aldus de Auditdienst. Vooral op het gebied van controle en monitoring van privacyrisico’s ontbreekt het er nog aan bij het IMG, schrijft de ADR. Veel controle- en beveiligingsmaatregelen worden ad hoc genomen. De verbinding tussen beveiliging en privacy, zoals bij toegangsbeheer en gegevensversleuteling, is nog niet altijd duidelijk in de praktijk.
Voor de lange termijn is er volgens de Auditdienst verbetering nodig, vooral omdat het IMG gebruik maakt van veel tijdelijke medewerkers. Dit kan er volgens de ADR toe leiden dat kennis verdwijnt als hun contracten aflopen, waardoor de bescherming van persoonsgegevens in gevaar komt.
Het IMG heeft inmiddels laten weten zich grotendeels te kunnen vinden in de aanbevelingen van de ADR en deze over te nemen.
