De overheid wijst vaak naar Big Tech, maar vergeet data van haar eigen burgers te beschermen

Minister Hugo de Jonge zei het deze week tijdens het vragenuurtje nog maar eens, en nog eens en nog eens: de systemen waarmee de GGD’s werken voldoen aan de laatste normen wat betreft beveiliging. Hij reageerde op het nieuws dat via RTL Nieuws naar buiten kwam: er blijkt een levendige handel te bestaan in de gevoelige privégegevens van Nederlanders die in de databases staan. Adresgegevens, telefoonnummers, BSN’s en ook testuitslagen en informatie over bron- en contactonderzoek.

De Jonges boodschap: we doen alles wat mogelijk is om de boel zo veilig mogelijk te maken, maar op een gegeven moment houdt het op: ‘Uiteindelijk is tegen dit type misdaad natuurlijk geen kruid gewassen.’ Een dag eerder wierp André Rouvoet, voorzitter van de GGD-koepel GHOR, een vergelijkbare verdedigingslinie op: ‘Dat er dan mensen zijn die over de rug van al deze mensen geld willen verdienen is ongehoord.’

Welkom in 2021.

Zowel Rouvoet als De Jonge gaan voorbij aan het feit dat ze juist níét alles hebben gedaan om deze gigantische privacyramp te voorkomen. Deze ramp is geen incident, maar een direct en logisch gevolg van de rammelende systemen waarmee de GGD’s werken, die nooit zijn ontworpen met het idee de privacy van Nederlanders te beschermen.

De aanwijzingen dat het fout kon gaan waren levensgroot aanwezig. Al in augustus vroeg een redacteur van Nieuwsuur aan de GGD of er een analyse van de risico’s van dataverwerking was gemaakt. Neuh, niet echt, was het antwoord. In alle hectiek was dat erbij ingeschoten. Maar privacy is echt heel belangrijk, hoor.

Een maand later ging Volkskrant-journalist Jeroen van Bergeijk als vrijwilliger aan de slag bij een coronateststraat. ‘Ben jij handig met computers?’, wordt hem op zijn tweede dag gevraagd. Niet veel later werkt hij met het CoronIT-systeem. Precies, het systeem waar nu zoveel om te doen is. De journalist is verrast dat hij als vrijwilliger zonder enige training of screening met deze privacygevoelige gegevens mag werken. Hij zoekt in CoronIT het dossier van een vriend op die zich onlangs heeft laten testen. ‘Ik kan zonder moeite zijn gegevens inzien’, verbaast hij zich.

Dat was meer dan vier maanden geleden. En toch wijzen zowel Rouvoet als De Jonge naar de criminelen: zíj zijn de echte schuldigen. Die criminelen doen hun werk in ieder geval beter dan de minister en de voorzitter van de GGD-koepel, die bewust moeten zijn geweest van de privacyrisico’s van de gare GGD-systemen.

De overheid wijst de laatste jaren vaak naar de grijpgrage handjes van Big Tech, maar vergeet de data van haar eigen burgers te beschermen. Van Big Tech kun je zeggen dat die weet wat ze doet, van de overheid in dit geval niet. Misschien is het een idee om de club die verantwoordelijk was voor de corona-app, waar privacy vanaf het begin wél het uitgangspunt was, zich ook te laten ontfermen over CoronIT.