Coronasystemen GGD zo lek als een mand, privégegevens miljoenen Nederlanders liggen op straat

Geen categorie25 jan 2021, 18:00

ICT en overheid gaan in Nederland niet samen, zo blijkt maar weer uit onderzoek van RTL Nieuws. Er is namelijk een complete illegale handel ontstaan in persoonsgegevens van miljoenen Nederlanders die zich hebben laten testen bij de GGD.

Er is weer sprake van een onnoemelijke onkunde bij de overheid op het gebied van ICT. De GGD's maken gebruik van twee registratiesystemen, CoronIT en HPzone Light, om de testuitslagen en het bron- en contactonderzoek mee te verwerken. Kennelijk heeft niemand er bij stilgestaan dat er voldoende waarborging van de privacy moest worden ingebouwd, want de systemen zijn zo lek als een mandje.

Ruim 26.000 GGD'ers en callcentermedewerkers hebben toegang tot CoronIT. En hoeveel mensen er toegang hebben tot HPzone Light weet de GGD niet eens, maar het gaat in ieder geval om medewerkers van het Rode Kruis, de ANWB en callcentermedewerkers van Teleperformance.

HPzone Light zegt mij niet zoveel, maar de naam 'CoronIT' impliceert dat het om een programma gaat dat specifiek voor de coronacrisis is gebouwd. Een nieuw systeem dus. Eentje waar je makkelijk een logboek voor had kunnen inbouwen waarin je registreert wie op welk moment bepaalde gegevens inziet. Waar je gegevens had kunnen afschermen door te werken met rechten voor accounts, zodat de GGD'er wél het BSN-nummer kan zien maar een callcentermedewerker niet.

Ook hadden ze er op deze manier voor kunnen zorgen dat niet iedereen bij de complete dataset kan maar alleen voorgeschoteld krijgt waar diegene op een bepaald moment wat mee moet. Dan hadden ze ook direct verdachten in beeld kunnen krijgen, want dan kun je de dataset direct herleiden naar de malafide medewerker. Daar hadden ze iedereen dan ook direct op kunnen attenderen en dan was dit probleem waarschijnlijk veel minder ernstig geweest dan het nu is.

En hoe reageert de GGD? Precies zoals je verwacht:

"De GGD was niet op de hoogte van de illegale datahandel uit hun systemen. "Wij zijn verantwoordelijk voor de veiligheid van onze systemen", zegt André Rouvoet, voorzitter van de GGD GHOR Nederland. (...) De GGD laat weten dat medewerkers een Verklaring Omtrent het Gedrag (VOG) moeten aanleveren en een geheimhoudingsverklaring moeten ondertekenen. Ook worden er steekproefgewijs controles uitgevoerd onder werknemers. De afgelopen tijd zijn er tientallen mensen gecontroleerd en ontslagen, stelt de GGD."

Veel te weinig dus. Leuk dat ze een paar sukkels te grazen hebben weten te nemen. Maar voor de rest? Die VOG's krijgen ze wel, die geheimhoudingsverklaring ondertekenen ze wel en die controles kunnen ze ook vast wel omzeilen. De oplossing is technisch van aard, maar dat kost natuurlijk weer vele miljoenen euro's, want dat kosten ICT-projecten altijd bij de overheid.

Ga verder met lezen
Dit vind je misschien ook leuk
Laat mensen jouw mening weten