Nieuws

GGD stopt met software voor bron- en contactonderzoek na privacyschandaal

De GGD gaat stoppen met één van de twee softwareprogramma’s waaruit makkelijk data konden worden gestolen. Het privacyschandaal is voor de dienst aanleiding om versneld over te stappen op een nieuwe programma voor het bron- en contactonderzoek, zegt portefeuillehouder Ellis Jeurissen tegen NRC.

Een medewerker van de GGD voert testgegevens in op haar laptop. Beeld Arie Kieviet
Een medewerker van de GGD voert testgegevens in op haar laptop.Beeld Arie Kieviet

In de krant stelt ze: ‘We werken op dit moment met man en macht aan de overstap naar een ander, veel veiliger portaal. Je wil niet dat mensen zich niet meer laten testen, omdat ze zich zorgen maken over hun gegevens.’

Volgens Jeurissen zijn er inderdaad gestolen persoonsgegevens te koop aangeboden op internet, maar is nog niet duidelijk of deze ook daadwerkelijk door criminelen zijn buitgemaakt. Alle GGD-medewerkers die van het programma gebruikmaakten konden bij alle gegevens van alle (miljoenen) geteste personen. Ondanks waarschuwingen van binnenuit en vanuit het ministerie, deed de GGD daar een tijdlang niets aan.

Houtje-touwtje

Het programma, HPZone, is al veel langer een bron van ergernis voor GGD-medewerkers. Afgelopen najaar vertelden sommigen aan de Volkskrant over de houtje-touwtjemanier waarop zij moeten werken en hoe vaak het systeem crasht. Ook is het inefficiënt. Er werken nu zo’n 3.700 bron- en contactonderzoekers, die soms uren moeten wachten voordat ze aan de slag kunnen. Ook dat is nog niet veranderd, meldt NRC.

Maar het datalek van de GGD betreft ook CoronoIT, het systeem waarmee burgers afspraken kunnen maken voor een test of vaccinatie. Medewerkers hebben toegang tot paspoort- of identiteitsnummers en gezondheidsverklaringen van gevaccineerde personen. Om bij deze informatie te kunnen, zijn wel aanvullende gegevens (bijvoorbeeld de priklocatie) van de gevaccineerden nodig, schreef de Volkskrant donderdag al. De GGD heeft deze week stappen genomen om deze toegang te bemoeilijken, vertellen GGD-medewerkers aan de Volkskrant.

De Tweede Kamer wil volgende week in debat over de gebrekkige databeveiliging bij de GGD’en. De overkoepelende organisatie GGD-GHOR was donderdag niet bereikbaar voor commentaar.

Geen noodzaak

In CoronIT kunnen testmedewerkers het dossier van gevaccineerden bekijken, hoewel dat niet noodzakelijk is. Jaap-Henk Hoepman, universitair hoofddocent privacy aan de Radboud Universiteit en Rijksuniversiteit Groningen, zegt dat hiermee het principe van doelbinding (een organisatie mag alleen informatie opslaan als er sprake is van een uitdrukkelijk omschreven en gerechtvaardigd doel) ‘met voeten wordt getreden’. Dat geldt ook voor het gescheiden opslaan en beperkt toegankelijk maken van gegevens.

Dat er niet of nauwelijks controle is op medewerkers die toegang hebben tot het CoronIT-systeem werd in september overigens al duidelijk. Zo nam Volkskrant-redacteur Jeroen van Bergeijk een vrijwilligersbaan bij een teststraat. Tot zijn eigen verbazing kreeg hij al op zijn tweede dag toegang tot CoronIT en kon zo de gegevens van iedereen opvragen, zonder noemenswaardige training of controle.

Verder lezen:

Datalek GGD betreft ook gevaccineerden, ministerie had al vanaf begin zorgen

Deskundigen: uitspraken De Jonge over GGD-datalek aantoonbaar onjuist

Datalek bij GGD: gegevens van miljoenen Nederlanders in criminele handen

Jeroen van Bergeijk ging vorig jaar werken in een teststraat. Op dag twee was het: ‘Ben je handig met computers?’ En zo kreeg hij op zijn tweede werkdag al toegang tot de gegevens van alle Nederlanders in het GGD-systeem CoronIT.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden