De 25 GGD-afdelingen en koepelorganisatie GGD GHOR moeten persoonsgegevens van Nederlanders die zich hebben laten testen op corona beter beschermen. Uit onderzoek van de toezichthouder blijkt dat er nog altijd ‘wezenlijke risico’s’ bestaan en dat er tot op heden onvoldoende maatregelen zijn genomen om deze data te beveiligen. De privacywaakhond wil dat de GGD op korte termijn maatregelen treft.
Dat schrijft de Autoriteit Persoonsgegevens in een persbericht.
Datalek bij de GGD
Aanleiding voor het onderzoek was het grote datalek bij de GGD dat RTL Nieuws begin dit jaar aan het licht bracht. Medewerkers met toegang tot de IT-systemen CoronIT en HPzone Lite verzamelden op grote schaal persoonsgegevens van Nederlanders die zich hadden laten testen op corona, een testafspraak hadden gemaakt of deel uitmaakten van bron- en contactonderzoek. Ze vergaarden tal van persoonsgegevens, waaronder namen, woonadressen, contactgegevens, geboortedata en BSN-nummers.
Deze gegevens werden vervolgens aan de hoogste bieder verkocht via kanalen als Telegram, Snapchat en Wickr. Deze data zijn goud waard voor hackers en cybercriminelen: ze gebruiken deze informatie om identiteitsfraude mee te plegen, maar ook bijvoorbeeld om meer persoonsgegevens buit te maken via phishing.
Volgens de GGD zijn 1.250 mensen de dupe van het datalek. Zij hebben een brief ontvangen van de gezondheidsinstantie waarin ze haar excuses aanbood voor wat er gebeurd is. RTL Nieuws claimde dat dit slechts het topje van de ijsberg is, maar volgens demissionair minister van Volksgezondheid, Welzijn en Sport Hugo de Jonge is het aantal slachtoffers correct.
GGD moet extra maatregelen doorvoeren
Nadat het datalek aan het licht kwam, heeft de Autoriteit Persoonsgegevens een onderzoek ingesteld. Daarbij werd de beveiliging van persoonsgegevens door de GGD-afdelingen en koepelorganisatie GGD GHOR onder de loep gelegd. De conclusie liegt er niet om: de toezichthouder zegt dat er op korte termijn meer maatregelen genomen moeten worden om persoonsgegevens beter te beschermen.
“GGD GHOR en de GGD’en hebben verschillende verbeteringen doorgevoerd. Zo is de zoekfunctie beperkt en de groep personen die gegevens uit de systemen kan exporteren aanzienlijk beperkt. Maar na onderzoek is ons duidelijk geworden dat dit nog onvoldoende is en er nog verdere verbeteringen nodig zijn. Dat moet snel gebeuren”, zo vertelt Monique Verdier, vicevoorzitter van de Autoriteit Persoonsgegevens (AP).
Te veel onduidelijkheid
Om ervoor te zorgen dat dit op korte termijn gebeurt, heeft de toezichthouder een indringende brief aan GGD GHOR gestuurd. Daarin schrijft de AP dat er veel partijen betrokken zijn bij de bestrijding van het coronavirus. Daarom is het belangrijk om goede afspraken te maken over wie wat moet doen om persoonsgegevens te beveiligen.
Zo is er onder meer onduidelijkheid over het autorisatiebeheer en de controle van logbestanden. “Hierdoor is onvoldoende duidelijk wie waarvoor verantwoordelijk is en wie welke maatregelen in dit verband dient te treffen. Dat vergroot de kans op nieuwe tekortkomingen in de beveiliging van persoonsgegevens”, aldus de privacywaakhond. Verder ontbreken duidelijke afspraken over beveiligingsmaatregelen tussen GGD GHOR, de 25 GGD-afdelingen en samenwerkingspartners als callcenters, alarmcentrales, uitzendbureaus en IT-leveranciers.
‘Vertrouwen is essentieel’
Verdier benadrukt dat vertrouwen essentieel is in de strijd tegen het coronavirus. Door de coronapandemie worden de GGD-afdelingen voor een enorme opgave gesteld. “Zij moesten in zeer korte tijd zorgdragen voor het op grote schaal testen van personen, het uitvoeren van bron- en contactonderzoek en het vaccineren van personen. Hoewel wij als AP begrip hebben voor hoe lastig deze opgave was, is het hoe dan ook essentieel dat mensen vertrouwen houden in de GGD. En dat zij niet gaan aarzelen om zich te laten vaccineren of testen door de angst dat daarna hun persoonsgegevens op straat belanden”, aldus de vicevoorzitter.
“Dat mag nooit een drempel zijn”, vervolgt ze haar verhaal. “Vooral ook omdat het hier om een uitzonderlijk grote groep mensen gaat. Zeker nu het virus weer zo snel om zich heen grijpt, moet dit bij de GGD echt in orde zijn.”
Systeem voor bron- en contactonderzoek wordt vervangen
GGD GHOR en de GGD-afdelingen zijn momenteel druk bezig met een traject om de huidige systemen die gebruikt worden voor bron- en contactonderzoek te vervangen. Dat is echter geen garantie dat de nieuwe systemen wel aan alle geldende veiligheids- en privacyvereisten voldoen.
“In dit kader merkt de AP op dat vervanging van een systeem niet zonder meer leidt tot een betere beveiliging van de persoonsgegevens die daarin worden verwerkt”, zo staat er in de brief aan GGD GHOR. “Hierbij wil de AP benadrukken dat bij de ontwikkeling en implementatie van een nieuw systeem nadrukkelijk rekening moet worden gehouden met de uit de Algemene Verordening Gegevensbescherming (AVG) voortvloeiende verplichtingen, zoals het vroegtijdig uitvoeren van een risicoanalyse in de vorm van een gegevensbeschermingseffectbeoordeling (artikel 35 AVG), de toepassing van gegevensbescherming door ontwerp en door standaardinstellingen (artikel 25 AVG) en het treffen van passende technische en organisatorische maatregelen ter beveiliging van persoonsgegevens (artikel 32 AVG), zoals bijvoorbeeld logging, controle op de logging en autorisatiebeheer.”
De Autoriteit Persoonsgegevens wil dat GGD GHOR de toezichthouder op de hoogte houdt van de ontwikkelingen om beveiligings- en privacymaatregelen te verbeteren.
