analysekamerdebat ggd-datalek

Deskundigen: uitspraken De Jonge over GGD-datalek aantoonbaar onjuist

Minister Hugo de Jonge (Volksgezondheid, CDA) gaf dinsdagmiddag tijdens het vragenuurtje tekst en uitleg over het gigantische datalek via de test- en uitslagensystemen van de GGD’s. Deskundigen zijn verbijsterd over de uitleg van de minister over de beveiliging en controle. Sommige uitspraken zijn aantoonbaar onjuist.

‘Sinds de start van de pandemie controleert de GGD uiteraard continu op het gebruik van de systemen.’

Minister De Jonge stelt diverse malen dat er ‘volcontinu’ en ‘volautomatisch’ wordt gecontroleerd op het gebruik van de GGD-systemen waaruit data zijn gestolen. De GGD zegt daarentegen dat er wordt gelogd wie wat bekijkt en dat er ‘steekproefsgewijze controles’ zijn. Dat is fundamenteel verschillend. Jaap-Henk Hoepman, universitair hoofddocent privacy aan de Radboud Universiteit en Rijksuniversiteit Groningen: ‘Er wordt kennelijk niet streng gecontroleerd wie welke gegevens opvraagt. Dat is voor een systeem met zulke gevoelige gegevens echt waanzin.’

De Volkskrant heeft donderdag het systeem CoronIT – het administratiesysteem voor het testen en verwerken van uitslagen – zelf getoetst. Het was mogelijk om een willekeurige naam of geboortedatum in te voeren waarna alle testafspraken en uitslagen, adresgegevens en BSN-nummer van die persoon verschenen. De medewerkers die de namen invoeren, krijgen geen waarschuwing dat ze niet bij die data mogen komen. Ook kunnen ze vanaf verschillende plekken inloggen. HPZone, het systeem voor bron- en contactonderzoek, is regionaal beperkt, CoronIT niet. Alle medewerkers kunnen bij alle persoonsgegevens zoals BSN-nummers.

Hoepman: ‘Dat is bizar. Waarom wordt een BSN-nummer überhaupt opgeslagen? Net zoals het heel vreemd is dat gegevens bewaard blijven ook nadat mensen hun uitslag hebben opgevraagd of doorgebeld gekregen.’ Een testmedewerker zegt: ‘Ik heb nog nooit een controle meegemaakt. We kregen een privacytraining van vijftien minuten en dat was het. Collega’s zoeken permanent in het systeem naar uitslagen voor vrienden en familieleden.’

‘In december hebben we samen met de GGD een risicoanalyse uitgevoerd en hebben we maatregelen genomen om de veiligheid te verhogen.’

De Jonge specificeert de maatregelen niet. Nog steeds kunnen personen die toegang hebben tot CoronIT bij alle testuitslagen en persoonsgegevens. Op verschillende momenten benadrukt de minister dat sinds december alle mogelijke maatregelen zijn genomen om misbruik te voorkomen. Maar in hetzelfde debat belooft hij ook dat er nog méér maatregelen komen, terwijl andere versneld worden ingevoerd.

Een zeer gevoelige functie in HPZone die het exporteren van data mogelijk maakt, bleef tot deze week beschikbaar. Hoepman: ‘Die exportfunctie bedenk je niet. Dat kan gewoon niet.’ Ook Mathieu Paapst, universitair docent IT-recht aan de Rijksuniversiteit Groningen, heeft de indruk dat er vooraf niet is nagedacht over de inrichting van het systeem. ‘Als je dat vooraf doet, hoef je niet op een later moment alsnog in alle haast nieuwe maatregelen te nemen, zoals nu gebeurt.’

Paapst heeft het over ‘basishygiëne’ die overduidelijk niet in acht is genomen. ‘Het zijn simpele dingen: welke informatie sla je op en hoelang? De Algemene Verordering Gegevensbescherming is daar duidelijk over: je wil zo weinig mogelijk data zo kort mogelijk opslaan om risico’s te voorkomen.’ Een andere basisvoorwaarde: wie heeft toegang tot welke informatie?

‘Zo voldoet het systeem inmiddels aan de laatste norm voor informatiebeveiliging in de zorg, de NEN 7510. De mensen die werken bij de GGD hebben alleen toegang tot persoonsgegevens wanneer dit noodzakelijk is.’

Dit is een onjuiste bewering. Minister De Jonge stelt dat de GGD-systemen aan deze norm voldoen. Die schrijft onder meer voor dat de ‘kans op onbevoegde toegang zo klein mogelijk wordt gemaakt’. Hoepman: ‘Maar GGD-medewerkers hebben via CoronIT toegang tot alle gegevens. Dat is volstrekt onacceptabel en onvoldoende. Je kunt het anders inrichten en duidelijker rollen definiëren.’

Een andere voorwaarde om aan NEN7510 te voldoen is dat alle handelingen worden vastgelegd middels logging. Hoepman: ‘Op basis van wat ik kan beoordelen, voldoen de systemen niet aan de loggingsvereisten.’ De GGD verwacht pas eind maart aan die voorwaarde te voldoen.

Daarnaast schrijft de norm voor dat data zoveel en zo uitgebreid mogelijk worden geanonimiseerd of voorzien van een pseudoniem. Nog een voorwaarde waaraan niet wordt voldaan. Hoepman: ‘Data zijn niet gepseudonimiseerd terwijl dat wel had gekund. De GGD hoeft niet letterlijk het BSN op te slaan.’

‘Alles wordt gedaan om te zorgen dat het zo veilig mogelijk is, maar uiteindelijk is tegen dit type misdaad natuurlijk geen kruid gewassen.’

Paapst: ‘Dit is vooral een politiek handige uitspraak. De Jonge legt hiermee de schuld buiten de GGD en zijn ministerie.’ Maar het is onjuist, oordeelt de universitair docent. ‘Ze hebben er niet alles aan gedaan. Het woord knullig is nog veel te aardig uitgedrukt. Dit is gewoon een club die geen flauw idee heeft hoe ze met informatiebeveiliging omgaat.’

Paapst wijst ook op de wettelijke verplichtingen die een organisatie als de GGD heeft: de aanstelling van een functionaris gegevensbescherming en een risico-inventarisatie: ‘Als die vooraf was gemaakt, was dit alles al lang naar boven gekomen. Ze hadden gewoon nooit op deze manier van start mogen gaan.’ De Autoriteit Persoonsgegevens (AP) heeft donderdag opheldering gevraagd. Voorzitter Aleid Wolfsen: ‘Iemands medische gegevens, adres, telefoonnummer en BSN zijn zeer privé. En dat moeten ze ook blijven. De beveiliging moet daarom aan de hoogste eisen voldoen. Doe je dat onvoldoende, dan ben je nalatig en kun je aansprakelijk gesteld worden.’ Een woordvoerder van de GGD-koepel GHOR benadrukt dat er wel degelijk een risico-inventarisatie is gemaakt én is gedeeld met de AP.

‘Sowieso is het gecompartimenteerd: je hebt toegang tot de gegevens waar je wat mee moet. Of dit nog verder in te regelen is, is op dit moment onderwerp van de verbeterplannen.’

Hoepman: ‘Deze systemen zijn gemaakt met het idee dat zoveel mogelijk mensen bij zoveel mogelijk gegevens kunnen.’ Van compartimentering is nauwelijks sprake. Hoepman: ‘Je verwacht dat veel mensen gegevens kunnen invoeren. Maar waarom moeten ook zoveel mensen bij zoveel gevoelige data? Wat moeten die mensen zien? Voor het doorgeven van een testuitslag heb je enkel een naam, telefoonnummer en uitslag nodig. Meer niet.’

De GGD’s en het ministerie zullen nu koortsachtig aan de slag moeten om de beveiliging alsnog op een acceptabel niveau te krijgen, zegt Paapst. ‘Maar daarmee kun je de schade niet herstellen. De uiterst gevoelige persoonlijke gegevens van veel mensen zijn in verkeerde handen gekomen. Je kunt dit niet ongedaan maken.’ Al die mensen zullen op de hoogte moeten worden gebracht, stelt hij. Alleen: de GGD weet door de gebrekkige beveiliging en controle voorlopig niet welke data zijn gestolen, van wie, uit welke systemen en of er nog meer gegevens op straat liggen.

Heeft u een tip over dit dossier, bijvoorbeeld omdat u zelf bij een GGD werkt? U kunt ons op verschillende manieren (en veilig) bereiken.

VERDER LEZEN

Datalek bij GGD: gegevens van miljoenen Nederlanders in criminele handen

Jeroen van Bergeijk ging vorig jaar werken in een teststraat. Op dag twee was het: ‘Ben je handig met computers?’ En zo kreeg hij op zijn tweede werkdag al toegang tot de gegevens van alle Nederlanders in het GGD-systeem CoronIT.

De Jonge dinsdag tijdens het wekelijks vragenuur in de Tweede Kamer. Beeld ANP
De Jonge dinsdag tijdens het wekelijks vragenuur in de Tweede Kamer.Beeld ANP
Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden