GGD-afdelingen door het hele land willen niet langer werken met het omstreden IT-systeem HPzone Lite. De gezondheidsinstellingen gaan daarom zo snel mogelijk stoppen met het systeem. Er wordt volop gewerkt aan de fundering voor een nieuw systeem.
Dat vertelt Ellis Jeurissen, portefeuillehouder bron- en contactonderzoek bij de GGD, tegen NRC.
GGD kampt al maanden met datalek, maar deed niets
Deze week bracht RTL Nieuws naar buiten dat er op grote schaal gehandeld wordt in privégegevens van miljoenen Nederlanders. Deze data is afkomstig uit twee IT-systemen van de GGD: CoronIT en HPzone Lite. Het eerste systeem wordt gebruikt om testafspraken en -uitslagen van coronatests te registreren, het tweede om bron- en contactonderzoek uit te voeren. Beide systemen bevatten zeer veel privacygevoelige informatie van burgers, waaronder voor- en achternaam, woonadres, telefoonnummer, burgerservicenummer, medische voorgeschiedenis, medicijngebruik en testuitslagen van PCR-tests.
Cybercriminelen wisten op twee manieren de hand te leggen op deze data. Ze betaalden GGD-medewerkers om deze informatie aan hen door te spelen. Dankzij de integratie van een exportknop die voor iedereen met toegang tot de systemen beschikbaar was, was het een koud kunstje om datasets van tienduizenden Nederlanders tegelijkertijd binnen te halen en doorverkopen. Een andere beproefde methode was om tegen betaling de inloggegevens van de systemen te kopen. Dan konden de criminelen zelf de privégegevens van Nederlanders binnenhalen.
Volgens de laatste berichten wist de GGD al maanden af van het datalek, maar negeerde de instantie waarschuwingen van medewerkers. Ingewijden meldden tegenover techjournalist Daniël Verlaan dat de eerste meldingen afgelopen zomer al binnen kwamen. Een van de medewerkers die hij sprak concludeerde dat ‘het ze gewoon niet boeit’. Een woordvoerder van de GGD sprak het bericht tegen en benadrukte dat de GGD het juist waardeert als medewerkers hen op eventuele risico’s wijzen.
GGD wil zo snel mogelijk overstap maken naar nieuw en veiliger systeem
Ellis Jeurissen vertelt tegenover NRC dat de afdelingen van de GGD zo snel mogelijk willen stoppen met het omstreden systeem HPzone Lite. De afdelingen werken naar eigen zeggen al geruime tijd aan de fundering van het beruchte systeem. Door het datalek willen de instanties niet langer het huidige systeem aanpakken, maar een geheel nieuw systeem lanceren.
Het lek waardoor de GGD deze week volop in de spotlights stond, was volgens haar de nekslag voor het systeem. “We werken op dit moment met man en macht aan de overstap naar een ander, veel veiliger portaal”, zegt ze tegenover NRC. Met de transitie wil ze voorkomen dat Nederlanders zich niet langer laten testen, omdat ze bang zijn dat hun privégegevens in de handen van de verkeerde lui vallen.
Het is nog onduidelijk wanneer het nieuwe systeem in gebruik genomen kan worden.
‘GGD onder verscherpt toezicht gesteld’
Donderdag hoorden we dat de Autoriteit Persoonsgegevens de GGD onder verscherpt toezicht had gesteld naar aanleiding van de kwestie. Een woordvoerder van de toezichthouder bevestigde tegenover de NOS dat ze afgelopen jaar de instantie om opheldering vroeg en op de eigen verantwoordelijkheid werd gewezen toen duidelijk werd dat er sprake was van een datalek. “In het vervolg zal de GGD onder meer moeten aantonen wat zij heeft gedaan met de kritische vragen van de AP en welke aanpassingen zij hebben doorgevoerd”, aldus de woordvoerder.
André Rouvoet, voorzitter van de koepelorganisatie GGD GHOR, was verbaasd over het bericht en zei hier niets van af te weten. “Noch bij de koepel, noch bij de directeuren van de 25 GGD’s is hierover een bericht binnengekomen”, zegt hij tegenover de NOS. “En verscherpt toezicht is een juridische term, waar je normaliter iemand vooraf van op de hoogte stelt.”
Maar de soep wordt nooit zo heet gegeten als hij wordt opgediend. Bij navraag bleek dat de toezichthouder helemaal niet beschikt over een juridisch instrument van verscherpt toezicht. De Autoriteit Persoonsgegevens mag waarschuwingen uitdelen en (ongevraagd) adviezen verstrekken, de gegevensverwerkingsbevoegdheid van organisaties afnemen of een dwangsom opleggen. Deze boete kan oplopen tot 20 miljoen euro, of 4 procent van de wereldwijde omzet, afhankelijk van welk bedrag hoger is.
