In 2019 was het datalek bij de Rijksdienst voor het Wegverkeer (RDW) een grote rel. Op dit blog besteedde ik er meerdere keren aandacht aan en constateerde in augustus 2020 en april 2021 dat er nog steeds geen informatie is over de omvang van dit lek. In 2021 werd een ander datalek in de automobielsector bekend, namelijk bij RDC, een dienstverlener voor autobedrijven, waarover de RDW schrijft.

Onlangs heb ik weer gekeken, maar over de uitkomsten van het onderzoek naar het eigen datalek zwijgt de RDW nog steeds. In de enquête op de site heb ik in de toelichting deze vraag vermeld:

In 2019 is het grote datalek bij RDW bekend geworden. U schrijft op de site wel dat u veiligheidsmaatregelen heeft genomen. Over de uitkomsten van het onderzoek naar de omvang van het datalek schrijft u niet en ook niet over het informeren van de slachtoffers van het datalek. Kunt u alsnog volledige openheid van zaken geven over het datalek?

Nu in de automobielsector grote automatiseringsprojecten gaande zijn, is het van groot belang dat de cybersecurity krachtig wordt aangepakt en dat de consequenties van datalekken openbaar worden gemaakt.

—

NB In kamervragen die in juli 2021 zijn beantwoord, wordt namens de verantwoordelijke bewindspersonen gezegd dat er maatregelen zouden zijn genomen, zie hierna. Over de omvang van het datalek uit 2019 is hier niets vermeld.

Vraag 8
Kunt u toelichten of (uitvoerings)instantie Rijksdienst Wegverkeer (RDW) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 8
De Dienst Wegverkeer (RDW) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Er is binnen de RDW een goed functionerende privacyorganisatie ingericht, bestaande uit een team van privacyprofessionals, waaronder een functionaris gegevensbescherming. Samen dragen zij er zorg voor dat zorgvuldig wordt omgegaan met persoonsgegevens. Vast element in de werkwijze van de RDW is het periodiek onderwerpen van verwerkingen aan privacyquickscans en Data Protection Impact Assessments om ervoor te zorgen dat de AVG wordt nageleefd. Er is in de organisatie structureel aandacht voor privacy en transparantie. De rechten van burgers op inzage van eigen gegevens wordt gewaarborgd en gefaciliteerd door bijvoorbeeld het vergemakkelijken van het inzagerecht middels een burgerportaal.

De RDW laat jaarlijks een onderzoek uitvoeren door een onafhankelijke externe organisatie om vast te stellen of de RDW (nog steeds) voldoet aan de wettelijke privacyregelgeving. Deze externe organisatie heeft recent voor het Basiskentekenregister (BKR), het Centrale Rijbewijzen en Bromfietscertificatenregister (CRB) en het Nationaal Parkeer Register (NPR) geoordeeld dat de RDW opnieuw het keurmerk «Privacy-audit-proof» zal worden verstrekt.