De online schadedossiers van het IMG zijn weer volledig toegankelijk voor schademelders. De documenten die er niet in thuishoorden, zijn verwijderd.
Voorzorgsmaatregel
Uit voorzorg waren alle documenten in het online ‘Mijn dossier’ (specifiek het deel voor fysieke schade) sinds gistermiddag geblokkeerd. Nu alle verkeerd geplaatste documenten zijn verwijderd, zijn de dossiers weer volledig zichtbaar en toegankelijk voor de individuele aanvragers.
Omvang datalek
Het onderzoek naar het datalek heeft meer nieuwe inzichten opgeleverd. De 2.639 documenten die afkomstig waren van RVO-regelingen en zichtbaar waren in IMG-dossiers van aanvragers, waren verdeeld over 2.023 online dossiers.
Er is door 574 aanvragers daadwerkelijk ingelogd. In de betreffende dossiers van deze aanvragers waren 761 documenten verkeerd geplaatst. Het aantal documenten dat daarmee ten onrechte kan zijn ingezien, is daarmee nog verder teruggebracht.
Het is technisch niet mogelijk om ook nog na te gaan of deze documenten zijn geopend en ingezien of gedownload. Er moet vanuit worden gegaan dat hier sprake van kan zijn geweest. Het IMG en de RVO bereiden daarom vervolgstappen voor. Dit is afhankelijk van de inhoud van de betreffende documenten. Hier wordt nog onderzoek naar gedaan.
--[Hieronder volgt het bericht van 18 maart, 11.50 uur]--
[UPDATE DATALEK] Veel minder documenten zichtbaar
Het onderzoek naar het datalek van 40.000 documenten bij het IMG wijst nu uit dat ten hoogste 2.639 van die onjuist geplaatste documenten zichtbaar waren in de dossiers van schademelders in Groningen.
Er wordt nog onderzocht hoe deze documenten waren verdeeld over dossiers van het IMG en hoeveel schademelders daadwerkelijk hebben ingelogd in hun online ‘Mijn dossier’ en daarmee de betreffende documenten zouden kunnen hebben gezien.
Verklaring
De 40.000 documenten van geheel andere regelingen van RVO die per ongeluk zijn meeverhuisd, blijken in verreweg de meerderheid van de gevallen aangemerkt te zijn als ‘intern document’. Het online dossier van het IMG toont dat soort documenten niet aan aanvragers die inloggen in hun eigen online omgeving.
-- [Hieronder volgt het bericht van 17 maart, 18.30 uur] --
Onderzoek naar datalek bij IMG
Het IMG is een onderzoek gestart naar een datalek. Momenteel wordt er overgestapt naar een nieuw administratiesysteem voor schadeafhandeling. Bij het overzetten van documenten van het oude naar het nieuwe systeem is iets misgegaan waardoor er een datalek is ontstaan. Het gaat om 40.000 documenten.
Er is afgelopen week één melding gedaan door een aanvrager die ineens inzage kreeg in een online document van iemand anders dat in zijn online dossier was beland. Dit zogenoemde ‘Mijn dossier’ is alleen voor die specifieke aanvrager in te zien (na inlog met DigiD). Het IMG is daarop een onderzoek gestart en heeft het lek gemeld bij de Autoriteit Persoonsgegevens.
Achtergrond
Met de overgang naar het nieuwe administratiesysteem eind januari is bij het overzetten van circa 55.000 dossiers voor fysieke schade gemoeid. Voor die dossiers moesten er circa 2 miljoen documenten (brieven en adviesrapporten bijvoorbeeld) worden overgezet. Dat lijkt allemaal goed te zijn gegaan voor zover het documenten betreft die afkomstig zijn van het IMG.
Wij hebben vastgesteld dat er ook circa 40.000 documenten van andere regelingen van de Rijksdienst voor Ondernemend Nederland (RVO) ten onrechte zijn gekopieerd en geplaatst in de schadedossiers bij het IMG. Deze documenten zijn zichtbaar geweest voor aanvragers. In de eerdergenoemde melding ging het om een subsidieaanvraag voor energiebesparing in het eigen huis.
IMG en RVO maken gebruik van hetzelfde soort administratiesysteem waarin verschillende regelingen worden geadministreerd.
Voorzorgsmaatregel
Uit voorzorg is vandaag (17 maart) om 12.30 uur voor aanvragers in hun online dossier de inzage tijdelijk onmogelijk gemaakt in documenten voor de afhandeling van dossiers van fysieke schade (zoals scheuren in muren). De documenten voor een eventuele aanvraag voor vergoeding van waardedaling zijn online nog wel te zien voor de betreffende aanvragers. In dat deel van het online dossiers zijn geen verkeerde documenten geplaatst.
Vervolg
Het verwijderen van de betreffende documenten is inmiddels opgestart. Naar verwachting zal het verwijderen ten hoogste een dag duren. Zodra dat afgerond is zijn de documenten voor fysieke schade weer beschikbaar in de online dossiers van individuele aanvragers. Ondertussen wordt ook onderzocht of naast de ene aanvrager die aangaf inzage te hebben gehad, er meer schademelders zijn die de verkeerd geplaatste documenten daadwerkelijk hebben ingezien. Zo gauw daar meer inzicht in is, kan ook worden bepaald welke vervolgmaatregelen er nodig zijn.