Minister De Jonge: ‘IT-systemen GGD zijn echt veilig’

Data-analist aan het werk achter zijn computer

Minister van Volksgezondheid, Welzijn en Sport Hugo de Jonge moest zich dinsdag in de plenaire zaal van de Tweede Kamer verantwoorden over het datalek bij de GGD. Volgens de minister voldoet het informatiebeheer bij de GGD aan ‘de hoogste standaarden’ en zijn ze in zijn ogen echt veilig. Er zullen echter altijd medewerkers zijn die kwaad in de zin hebben, daar is volgens de minister ‘geen kruid tegen gewassen’. De GGD doet echter alles in haar macht om haar systemen zo veilig mogelijk te maken.

Dat zei minister De Jonge dinsdagmiddag in de Tweede Kamer tijdens het wekelijkse mondelinge vragenuur.

Grootschalige handel in privégegevens door datalek IT-systemen GGD

Techjournalist Daniël Verlaan ontdekte dat er op grote schaal privégegevens van tienduizenden Nederlanders worden verkocht. De data is afkomstig uit twee IT-systemen van de GGD: CoronIT en HPzone Lite. In het eerstgenoemde systeem vinden we naast persoonsgegevens ook de testuitslagen van burgers die een PCR-test hebben laten afnemen bij een coronateststraat. Het andere systeem gebruikt de GGD om bron- en contactonderzoek uit te voeren.

Beide systemen staan vol met privacygevoelige gegevens van honderdduizenden of misschien zelfs wel miljoenen Nederlanders. Dat beperkt zich niet tot NAW- en contactgegevens: ook informatie over medische achtergrond, medicatiegebruik, corona-testuitslagen en het burgerservicenummer (BSN) worden in de databases genoemd. Een aanzienlijk deel van deze gegevens kunnen door hackers misbruikt worden om identiteitsfraude te plegen, of om gerichte spearphishingcampagnes op te zetten.

Via kanalen als Telegram, Snapchat en Wickr worden persoonsgegevens aangeboden. Geïnteresseerden kunnen van individuele personen de privégegevens kopen, wat grofweg tussen de 30 en 50 euro per persoon kost. Tevens is het mogelijk om datasets van (tien)duizenden Nederlanders te bemachtigen. Deze gaan voor enkele duizenden euro’s over de toonbank.

Minister: ‘Gegevens moeten gewoon veilig zijn bij de GGD’

Deze kwestie was voor Kamerlid Maarten Hijink (SP) aanleiding om minister De Jonge naar de Tweede Kamer te roepen om tekst en uitleg te geven. Nederland weet sinds maandag dat dit risico’s met zich meebrengt, zo begint hij zijn bijdrage. Hij noemt het “een hele heftige en ernstige zaak”. Met de gegevens die op straat liggen kun je volgens het Kamerlid “de meest gruwelijke dingen doen”. Hijink wil van de minister horen wat hij gaat doen om de testbereidheid overeind te houden en mensen te overtuigen zich te laten testen. “Wat gaat hij doen om de gegevens van mensen nu veilig te stellen?”

Minister De Jonge erkent de ernst van de zaak. “Als je een beroep doet op de GGD, moet je weten dat je gegevens veilig zijn. Daarom moet het informatiebeheer bij de GGD gewoon aan de hoogste standaarden voldoen ten aanzien van de veiligheid.” Mensen die voor de GGD werken, moeten vooraf een opleiding afronden. Daar gaat het onder meer over privacy en de vertrouwelijkheid van de gegevens waarmee ze werken. Daarnaast moeten ze een Verklaring Omtrent Gedrag (VOG) overleggen en een geheimhoudingsverklaring ondertekenen. Bij ongeautoriseerde toegang wordt een medewerker ontslagen, en eventueel aangifte gedaan bij de politie.

In december zijn de systemen van de GGD volgens de minister onderworpen aan een risicoanalyse. Zodoende voldoen ze aan de laatste NEN-norm voor informatiebeveiliging in de zorg (NEN-7510). Verder vertelt minister De Jonge dat na de tip van Daniël Verlaan er extra maatregelen zijn getroffen om de pakkans te vergroten. De GGD voert meer controles uit en de controles worden ook geautomatiseerd. Een externe partij gaat controleren of het gat daadwerkelijk gedicht is en of er niet meer mogelijk is om de beveiliging verder op te schroeven. Zodra de uitkomsten van deze audit binnen zijn, deelt de minister deze met de Kamer.

Toegang tot privégegevens is noodzakelijk

Het antwoord van minister De Jonge stelt de SP’er niet gerust. “Het probleem is hoe er ooit een systeem gebouwd heeft kunnen worden waardoor honderden, duizenden mensen toegang hebben tot alle gegevens. Het hoort in geen enkel ICT-systeem zo geregeld te zijn dat zo veel mensen bij zo veel data kunnen”, aldus Hijink. Ook refereert hij aan de gebeurtenissen van vorig jaar september. Toen kon een man, een maand nadat hij was ontslagen, nog steeds inloggen en had hij nog altijd toegang tot de persoonsgegevens die waren opgeslagen in het systeem van de GGD.

Minister De Jonge stelt dat het voor medewerkers van de GGD noodzakelijk is dat ze bij de gegevens van mensen kunnen. Anders kunnen ze bijvoorbeeld geen testafspraken inplannen of testuitslagen doorbellen. De scholing, VOG, geheimhoudingsverklaring en periodieke controles zijn allemaal geïmplementeerd om de systemen zo goed mogelijk te beveiligen en de pakkans van rotte appels te vergroten. “Alles wordt gedaan om te zorgen dat het zo veilig mogelijk is, maar uiteindelijk is tegen dit type misdaad [stelen en verkopen van privégegevens, red.] natuurlijk geen kruid gewassen”, aldus de minister.

Minister: ‘We doen alles wat redelijkerwijs mogelijk is’

In de ogen van Hijink moet een overheid er alles aan doen om dit soort misdaden te voorkomen. “Die moet haar systemen dusdanig inregelen en beveiligen dat niet één iemand die kwaadwillend is, de hele computer kan leegtrekken, alle data naar zich kan toetrekken, op Marktplaats kan zetten en zijn zakken kan vullen. Dat hoort een goede overheid natuurlijk te voorkomen.” De reden dat hij de minister aan de tand voelt in de Tweede Kamer, komt niet doordat de beveiliging van de IT-systemen bij de GGD op orde zijn, zoals de bewindspersoon beweert.

Minister De Jonge stelt dat het niet meevalt om systemen te beveiligen tegen medewerkers die doelbewust de regels overtreden en doelbewust alle beveiligingsmogelijkheden omzeilen voor persoonlijk financieel gewin. “Ik denk dat je op dat punt alles moet doen wat redelijkerwijs mogelijk is om systemen te beveiligen, om mensen goed te toetsen en te screenen aan de voorkant en continu te screenen tijdens het werk, door autorisaties zo in te richten dat je alleen bij die gegevens kunt waarmee je te maken hebt in je werk”, zo verdedigt De Jonge zich.

De Jonge: ‘Vaccinatiesystemen zijn goed afgebakend’

Hayke Veldman (VVD) vraagt aan de minister of de ICT-systemen die gebruikt worden voor het vaccineren op orde zijn, zodat we niet in herhaling vallen en opnieuw geconfronteerd worden met een groot datalek. Minister De Jonge zegt dat iedere partij die vaccins toedient -denk aan de GGD, huisartsen, ziekenhuizen en verpleeghuizen- met hun eigen systeem werken om de inenting te registreren. Huisartsen gebruiken het Huisarts Informatie Systeem (HIS), ziekenhuizen het Elektronisch Patiëntendossier (EPD) en de GGD CoronIT.

De systemen zijn zodanig afgebakend dat artsen en andere medewerkers alleen toegang hebben tot dat deel dat voor hun werkzaamheden noodzakelijk is. “Mensen die iets doen met een vaccinatie kunnen alleen in het vaccinatiedeel van het systeem kijken. De mensen die testafspraken maken, kunnen niet kijken in het vaccinatiedeel”, zegt de minister.

Het CDA ziet ‘een patroon’

Joba van den Berg (CDA) stelt dat het de vierde keer binnen een jaar is dat minister De Jonge zich moet verantwoorden in de Tweede Kamer voor een datalek. Zo raakten twee externe harde schijven zoek bij het CIBG met daarop 6,9 miljoen formulieren uit het Donorregister. In juni was er een lek op de website Infectieradar.nl van het RIVM waar persoonsgegevens opgevraagd konden worden door een aantal cijfers te veranderen in de URL. In september kwam het verhaal naar buiten van een man die een maand na zijn ontslag nog steeds toegang had tot het systeem van de GGD. En nu blijkt dat er op grote schaal illegaal persoonsgegevens worden verhandeld. “Ik zie een patroon”, constateert Van den Berg. “Wat gaat de minister er structureel aan doen om dit op te pakken?”, vraagt de CDA’er zich af.

Minister De Jonge ziet eveneens een patroon. “Dat patroon is dat informatiebeveiliging de hoogste prioriteit moet hebben, en dat het alle aandacht vraagt om ervoor te zorgen dat het daadwerkelijk veilig is. En waar het misgaat, moet alles eraan worden gedaan om ervoor te zorgen dat er gaten worden gedicht en dat het lek wordt dichtgestopt. Dat is precies wat er gebeurt.” Zowel wet- en regelgeving als financiële steun zorgt er volgens de minister voor dat er alles aan wordt gedaan om de informatiebeveiliging bij overheidsinstanties en andere organisaties te verbeteren.

SP: ‘Er is iets grandioos mis met het ontwerp van het systeem’

Vera Bergkamp van D66 vraagt zich af hoeveel mensen er slachtoffer zijn geworden van deze datahandel en hoe zij geïnformeerd worden dat hun gegevens zijn gestolen. Over de precieze omvang kan minister De Jonge geen uitspraken doen, omdat dit momenteel wordt uitgezocht. “ We zullen op een nader moment moeten bekijken wat de omvang daarvan is, wie het betreft en welk type ondersteuning daar gepast is”, antwoordt de minister.

De PvdA en SP vinden de antwoorden van de minister te nonchalant. “Als je een systeem hebt waarvan de minister net zei dat alleen al bij het bron- en contactonderzoek 8.000 mensen toegang hebben tot alle data, dat mensen die het testen moeten inplannen, duizenden mensen, toegang hebben tot de gegevens, de medische data van vele duizenden, tienduizenden, honderdduizenden Nederlanders, dan is er in het ontwerp van het systeem toch iets grandioos mis?”, merkt Hijink op. “Dan kan de minister niet alleen maar zeggen: het zijn de boeven en die moeten in de gevangenis. Nee, de overheid moet zorgen dat we een systeem hebben dat niet zo ontzettend kwetsbaar is.”

De minister meent dat de overheid en andere instanties alles moeten doen om hun systemen optimaal te beveiligen. Daarom heeft de GGD in deze kwestie aanvullende veiligheidsmaatregelen versneld uitgevoerd, zoals het verwijderen van de exportfunctie en het laten uitvoeren van een audit door een externe partij. Minister De Jonge belooft de Tweede Kamer binnen een maand te informeren over de stappen die nodig zijn om de informatiebeveiliging van de GGD verder te verbeteren.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen