Demissionair minister Grapperhaus van Justitie en Veiligheid heeft opheldering gegeven over het datalek binnen het Justitieel Documentatie Systeem (JDS) dat eind vorig jaar aan het licht kwam. Door het datalek waren persoonsdossiers, met daarin rapporten van psychiatrisch en reclasseringsonderzoek van verdachten en veroordeelden, voor onbevoegden toegankelijk.

Het datalek werd op 28 oktober vorig jaar geconstateerd, maar was al sinds 1 januari van dat jaar aanwezig. Volgens Grapperhaus kon het datalek ontstaan doordat het OM-advies aan het Justitieel Documentatie Systeem werd toegevoegd. Het OM-advies, voorheen executie-indicator, is een advies van het Openbaar Ministerie aan de minister over besluiten die tijdens de uitvoering van een straf of maatregel worden genomen.

Bij het toevoegen van het OM-advies is het autorisatiesysteem niet aangepast. Medewerkers die toegang tot het OM-advies hadden kregen zo automatisch ook toegang tot de persoonsdossiers. Uit de logbestanden blijkt dat 24 medewerkers op deze manier toegang tot dossiers hadden kunnen krijgen. Tien daarvan hebben ook daadwerkelijk toegang gekregen.

“Deze tien personen zouden deze informatie ook via een andere weg tot zich kunnen nemen en waren op dat moment bevoegd om de informatie in te zien voor de uitoefening van de functie. Het datalek heeft er dus niet toe geleid dat personen toegang hebben verkregen tot informatie waartoe men niet bevoegd was”, aldus Grapperhaus.

Oorzaak

De minister stelt dat het datalek is ontstaan door een samenloop van drietal factoren. Als eerst was het risico op onbevoegde toegang tot de dossiers in kaart gebracht en aanvaardbaar gevonden, mits er maatregelen getroffen zouden worden. Die maatregelen zijn echter nooit genomen. Ten tweede heeft het te lang geduurd nadat op operationeel niveau bekend was geworden dat de autorisatie na het toevoegen van het OM-advies mogelijk onjuist was geïmplementeerd.

“De verklaring hiervoor is een onderschatting van de impact van deze mogelijk onjuiste implementatie in
combinatie met de complexiteit om hiervoor een oplossing te vinden”, schrijft Grapperhaus in een brief aan de Tweede Kamer. Ten derde is in het gehele traject de verwerkingsverantwoordelijke van de persoonsdossiers tot aan de ontdekking van het datalek op 28 oktober vorig jaar ten onrechte niet betrokken geweest.

Volgens Grapperhaus zullen de bevindingen en aanbevelingen uit de evaluatie breed binnen de Strafrechtketen worden verspreid en als basis dienen om processen en procedures aan te passen.

Source