[D66] De Jonge loog tegen Kamer tijdens Vragenuur (Wuhan Coronavirus 2019-nCoV #525)

Dr. Marc-Alexander Fluks fluks at combidom.com
Thu Jan 28 11:17:34 CET 2021 

Bron:   Volkskrant
Datum:  27 januari 2021
Auteur: Huib Modderkolk, Laurens Verhagen
URL:    
https://www.volkskrant.nl/nieuws-achtergrond/deskundigen-uitspraken-de-jonge-over-ggd-datalek-aantoonbaar-onjuist~b20e5159/
WebTV:  
https://www.npostart.nl/nos-het-vragenuurtje/26-01-2021/POW_04872116


Deskundigen: uitspraken De Jonge over GGD-datalek aantoonbaar onjuist
---------------------------------------------------------------------

Minister Hugo de Jonge (Volksgezondheid, CDA) gaf dinsdagmiddag tijdens 
het vragenuurtje tekst en uitleg over het gigantische datalek via de 
test- en uitslagensystemen van de GGD's. Deskundigen zijn verbijsterd 
over de uitleg van de minister over de beveiliging en controle. Sommige 
uitspraken zijn aantoonbaar onjuist.


00:24 - 'Sinds de start van de pandemie controleert de GGD uiteraard 
continu op het gebruik van de systemen.'

Minister De Jonge stelt diverse malen dat er 'volcontinu' en 
'volautomatisch' wordt gecontroleerd op het gebruik van de GGD-systemen 
waaruit data zijn gestolen. De GGD zegt daarentegen dat er wordt gelogd 
wie wat bekijkt en dat er 'steekproefsgewijze controles' zijn. Dat is 
fundamenteel verschillend. Jaap-Henk Hoepman, universitair hoofddocent 
privacy aan de Radboud Universiteit en Rijksuniversiteit Groningen: 'Er 
wordt kennelijk niet streng gecontroleerd wie welke gegevens opvraagt. 
Dat is voor een systeem met zulke gevoelige gegevens echt waanzin.'

De Volkskrant heeft donderdag het systeem CoronIT - het 
administratiesysteem voor het testen en verwerken van uitslagen - zelf 
getoetst. Het was mogelijk om een willekeurige naam of geboortedatum in 
te voeren waarna alle testafspraken en uitslagen, adresgegevens en 
BSN-nummer van die persoon verschenen. De medewerkers die de namen 
invoeren, krijgen geen waarschuwing dat ze niet bij die data mogen 
komen. Ook kunnen ze vanaf verschillende plekken inloggen. HPZone, het 
systeem voor bron- en contactonderzoek, is regionaal beperkt, CoronIT 
niet. Alle medewerkers kunnen bij alle persoonsgegevens zoals 
BSN-nummers.

Hoepman: 'Dat is bizar. Waarom wordt een BSN-nummer uberhaupt 
opgeslagen? Net zoals het heel vreemd is dat gegevens bewaard blijven 
ook nadat mensen hun uitslag hebben opgevraagd of doorgebeld gekregen.' 
Een testmedewerker zegt: 'Ik heb nog nooit een controle meegemaakt. We 
kregen een privacytraining van vijftien minuten en dat was het. 
Collega's zoeken permanent in het systeem naar uitslagen voor vrienden 
en familieleden.'


00:06 - 'In december hebben we samen met de GGD een risicoanalyse 
uitgevoerd en hebben we maatregelen genomen om de veiligheid te 
verhogen.'

De Jonge specificeert de maatregelen niet. Nog steeds kunnen personen 
die toegang hebben tot CoronIT bij alle testuitslagen en 
persoonsgegevens. Op verschillende momenten benadrukt de minister dat 
sinds december alle mogelijke maatregelen zijn genomen om misbruik te 
voorkomen. Maar in hetzelfde debat belooft hij ook dat er nog meer 
maatregelen komen, terwijl andere versneld worden ingevoerd.

Een zeer gevoelige functie in HPZone die het exporteren van data 
mogelijk maakt, bleef tot deze week beschikbaar. Hoepman: 'Die 
exportfunctie bedenk je niet. Dat kan gewoon niet.' Ook Mathieu Paapst, 
universitair docent IT-recht aan de Rijksuniversiteit Groningen, heeft 
de indruk dat er vooraf niet is nagedacht over de inrichting van het 
systeem. 'Als je dat vooraf doet, hoef je niet op een later moment 
alsnog in alle haast nieuwe maatregelen te nemen, zoals nu gebeurt.'

Paapst heeft het over 'basishygiene' die overduidelijk niet in acht is 
genomen. 'Het zijn simpele dingen: welke informatie sla je op en 
hoelang? De Algemene Verordering Gegevensbescherming is daar duidelijk 
over: je wil zo weinig mogelijk data zo kort mogelijk opslaan om 
risico's te voorkomen.' Een andere basisvoorwaarde: wie heeft toegang 
tot welke informatie?


00:10 - 'Zo voldoet het systeem inmiddels aan de laatste norm voor 
informatiebeveiliging in de zorg, de NEN 7510. De mensen die werken bij 
de GGD hebben alleen toegang tot persoonsgegevens wanneer dit 
noodzakelijk is.'

Dit is een onjuiste bewering. Minister De Jonge stelt dat de 
GGD-systemen aan deze norm voldoen. Die schrijft onder meer voor dat de 
'kans op onbevoegde toegang zo klein mogelijk wordt gemaakt'. Hoepman: 
'Maar GGD-medewerkers hebben via CoronIT toegang tot alle gegevens. Dat 
is volstrekt onacceptabel en onvoldoende. Je kunt het anders inrichten 
en duidelijker rollen definieren.'

Een andere voorwaarde om aan NEN7510 te voldoen is dat alle handelingen 
worden vastgelegd middels logging. Hoepman: 'Op basis van wat ik kan 
beoordelen, voldoen de systemen niet aan de loggingsvereisten.' De GGD 
verwacht pas eind maart aan die voorwaarde te voldoen.

Daarnaast schrijft de norm voor dat data zoveel en zo uitgebreid 
mogelijk worden geanonimiseerd of voorzien van een pseudoniem. Nog een 
voorwaarde waaraan niet wordt voldaan. Hoepman: 'Data zijn niet 
gepseudonimiseerd terwijl dat wel had gekund. De GGD hoeft niet 
letterlijk het BSN op te slaan.'


00:07 - 'Alles wordt gedaan om te zorgen dat het zo veilig mogelijk is, 
maar uiteindelijk is tegen dit type misdaad natuurlijk geen kruid 
gewassen.'

Paapst: 'Dit is vooral een politiek handige uitspraak. De Jonge legt 
hiermee de schuld buiten de GGD en zijn ministerie.' Maar het is 
onjuist, oordeelt de universitair docent. 'Ze hebben er niet alles aan 
gedaan. Het woord knullig is nog veel te aardig uitgedrukt. Dit is 
gewoon een club die geen flauw idee heeft hoe ze met 
informatiebeveiliging omgaat.'

Paapst wijst ook op de wettelijke verplichtingen die een organisatie als 
de GGD heeft: de aanstelling van een functionaris gegevensbescherming en 
een risico-inventarisatie: 'Als die vooraf was gemaakt, was dit alles al 
lang naar boven gekomen. Ze hadden gewoon nooit op deze manier van start 
mogen gaan.' De Autoriteit Persoonsgegevens (AP) heeft donderdag 
opheldering gevraagd. Voorzitter Aleid Wolfsen: 'Iemands medische 
gegevens, adres, telefoonnummer en BSN zijn zeer prive. En dat moeten ze 
ook blijven. De beveiliging moet daarom aan de hoogste eisen voldoen. 
Doe je dat onvoldoende, dan ben je nalatig en kun je aansprakelijk 
gesteld worden.' Een woordvoerder van de GGD-koepel GHOR benadruk dat er 
wel degelijk een risico-inventarisatie  is gemaakt en is gedeeld met de 
AP.


00:23 - 'Sowieso is het gecompartimenteerd: je hebt toegang tot de 
gegevens waar je wat mee moet. Of dit nog verder in te regelen is, is op 
dit moment onderwerp van de verbeterplannen.'

Hoepman: 'Deze systemen zijn gemaakt met het idee dat zoveel mogelijk 
mensen bij zoveel mogelijk gegevens kunnen.' Van compartimentering is 
nauwelijks sprake. Hoepman: 'Je verwacht dat veel mensen gegevens kunnen 
invoeren. Maar waarom moeten ook zoveel mensen bij zoveel gevoelige 
data? Wat moeten die mensen zien? Voor het doorgeven van een testuitslag 
heb je enkel een naam, telefoonnummer en uitslag nodig. Meer niet.'

De GGD's en het ministerie zullen nu koortsachtig aan de slag moeten om 
de beveiliging alsnog op een acceptabel niveau te krijgen, zegt Paapst. 
'Maar daarmee kun je de schade niet herstellen. De uiterst gevoelige 
persoonlijke gegevens van veel mensen zijn in verkeerde handen gekomen. 
Je kunt dit niet ongedaan maken.' Al die mensen zullen op de hoogte 
moeten worden gebracht, stelt hij. Alleen: de GGD weet door de 
gebrekkige beveiliging en controle voorlopig niet welke data zijn 
gestolen, van wie, uit welke systemen en of er nog meer gegevens op 
straat liggen.

--------
(c) 2021 DPG Media B.V.

More information about the D66 mailing list