[D66] De Jonge loog tegen Kamer tijdens Vragenuur (Wuhan Coronavirus 2019-nCoV #525)
Dr. Marc-Alexander Fluks
fluks at combidom.com
Thu Jan 28 11:17:34 CET 2021
Bron: Volkskrant
Datum: 27 januari 2021
Auteur: Huib Modderkolk, Laurens Verhagen
URL:
https://www.volkskrant.nl/nieuws-achtergrond/deskundigen-uitspraken-de-jonge-over-ggd-datalek-aantoonbaar-onjuist~b20e5159/
WebTV:
https://www.npostart.nl/nos-het-vragenuurtje/26-01-2021/POW_04872116
Deskundigen: uitspraken De Jonge over GGD-datalek aantoonbaar onjuist
---------------------------------------------------------------------
Minister Hugo de Jonge (Volksgezondheid, CDA) gaf dinsdagmiddag tijdens
het vragenuurtje tekst en uitleg over het gigantische datalek via de
test- en uitslagensystemen van de GGD's. Deskundigen zijn verbijsterd
over de uitleg van de minister over de beveiliging en controle. Sommige
uitspraken zijn aantoonbaar onjuist.
00:24 - 'Sinds de start van de pandemie controleert de GGD uiteraard
continu op het gebruik van de systemen.'
Minister De Jonge stelt diverse malen dat er 'volcontinu' en
'volautomatisch' wordt gecontroleerd op het gebruik van de GGD-systemen
waaruit data zijn gestolen. De GGD zegt daarentegen dat er wordt gelogd
wie wat bekijkt en dat er 'steekproefsgewijze controles' zijn. Dat is
fundamenteel verschillend. Jaap-Henk Hoepman, universitair hoofddocent
privacy aan de Radboud Universiteit en Rijksuniversiteit Groningen: 'Er
wordt kennelijk niet streng gecontroleerd wie welke gegevens opvraagt.
Dat is voor een systeem met zulke gevoelige gegevens echt waanzin.'
De Volkskrant heeft donderdag het systeem CoronIT - het
administratiesysteem voor het testen en verwerken van uitslagen - zelf
getoetst. Het was mogelijk om een willekeurige naam of geboortedatum in
te voeren waarna alle testafspraken en uitslagen, adresgegevens en
BSN-nummer van die persoon verschenen. De medewerkers die de namen
invoeren, krijgen geen waarschuwing dat ze niet bij die data mogen
komen. Ook kunnen ze vanaf verschillende plekken inloggen. HPZone, het
systeem voor bron- en contactonderzoek, is regionaal beperkt, CoronIT
niet. Alle medewerkers kunnen bij alle persoonsgegevens zoals
BSN-nummers.
Hoepman: 'Dat is bizar. Waarom wordt een BSN-nummer uberhaupt
opgeslagen? Net zoals het heel vreemd is dat gegevens bewaard blijven
ook nadat mensen hun uitslag hebben opgevraagd of doorgebeld gekregen.'
Een testmedewerker zegt: 'Ik heb nog nooit een controle meegemaakt. We
kregen een privacytraining van vijftien minuten en dat was het.
Collega's zoeken permanent in het systeem naar uitslagen voor vrienden
en familieleden.'
00:06 - 'In december hebben we samen met de GGD een risicoanalyse
uitgevoerd en hebben we maatregelen genomen om de veiligheid te
verhogen.'
De Jonge specificeert de maatregelen niet. Nog steeds kunnen personen
die toegang hebben tot CoronIT bij alle testuitslagen en
persoonsgegevens. Op verschillende momenten benadrukt de minister dat
sinds december alle mogelijke maatregelen zijn genomen om misbruik te
voorkomen. Maar in hetzelfde debat belooft hij ook dat er nog meer
maatregelen komen, terwijl andere versneld worden ingevoerd.
Een zeer gevoelige functie in HPZone die het exporteren van data
mogelijk maakt, bleef tot deze week beschikbaar. Hoepman: 'Die
exportfunctie bedenk je niet. Dat kan gewoon niet.' Ook Mathieu Paapst,
universitair docent IT-recht aan de Rijksuniversiteit Groningen, heeft
de indruk dat er vooraf niet is nagedacht over de inrichting van het
systeem. 'Als je dat vooraf doet, hoef je niet op een later moment
alsnog in alle haast nieuwe maatregelen te nemen, zoals nu gebeurt.'
Paapst heeft het over 'basishygiene' die overduidelijk niet in acht is
genomen. 'Het zijn simpele dingen: welke informatie sla je op en
hoelang? De Algemene Verordering Gegevensbescherming is daar duidelijk
over: je wil zo weinig mogelijk data zo kort mogelijk opslaan om
risico's te voorkomen.' Een andere basisvoorwaarde: wie heeft toegang
tot welke informatie?
00:10 - 'Zo voldoet het systeem inmiddels aan de laatste norm voor
informatiebeveiliging in de zorg, de NEN 7510. De mensen die werken bij
de GGD hebben alleen toegang tot persoonsgegevens wanneer dit
noodzakelijk is.'
Dit is een onjuiste bewering. Minister De Jonge stelt dat de
GGD-systemen aan deze norm voldoen. Die schrijft onder meer voor dat de
'kans op onbevoegde toegang zo klein mogelijk wordt gemaakt'. Hoepman:
'Maar GGD-medewerkers hebben via CoronIT toegang tot alle gegevens. Dat
is volstrekt onacceptabel en onvoldoende. Je kunt het anders inrichten
en duidelijker rollen definieren.'
Een andere voorwaarde om aan NEN7510 te voldoen is dat alle handelingen
worden vastgelegd middels logging. Hoepman: 'Op basis van wat ik kan
beoordelen, voldoen de systemen niet aan de loggingsvereisten.' De GGD
verwacht pas eind maart aan die voorwaarde te voldoen.
Daarnaast schrijft de norm voor dat data zoveel en zo uitgebreid
mogelijk worden geanonimiseerd of voorzien van een pseudoniem. Nog een
voorwaarde waaraan niet wordt voldaan. Hoepman: 'Data zijn niet
gepseudonimiseerd terwijl dat wel had gekund. De GGD hoeft niet
letterlijk het BSN op te slaan.'
00:07 - 'Alles wordt gedaan om te zorgen dat het zo veilig mogelijk is,
maar uiteindelijk is tegen dit type misdaad natuurlijk geen kruid
gewassen.'
Paapst: 'Dit is vooral een politiek handige uitspraak. De Jonge legt
hiermee de schuld buiten de GGD en zijn ministerie.' Maar het is
onjuist, oordeelt de universitair docent. 'Ze hebben er niet alles aan
gedaan. Het woord knullig is nog veel te aardig uitgedrukt. Dit is
gewoon een club die geen flauw idee heeft hoe ze met
informatiebeveiliging omgaat.'
Paapst wijst ook op de wettelijke verplichtingen die een organisatie als
de GGD heeft: de aanstelling van een functionaris gegevensbescherming en
een risico-inventarisatie: 'Als die vooraf was gemaakt, was dit alles al
lang naar boven gekomen. Ze hadden gewoon nooit op deze manier van start
mogen gaan.' De Autoriteit Persoonsgegevens (AP) heeft donderdag
opheldering gevraagd. Voorzitter Aleid Wolfsen: 'Iemands medische
gegevens, adres, telefoonnummer en BSN zijn zeer prive. En dat moeten ze
ook blijven. De beveiliging moet daarom aan de hoogste eisen voldoen.
Doe je dat onvoldoende, dan ben je nalatig en kun je aansprakelijk
gesteld worden.' Een woordvoerder van de GGD-koepel GHOR benadruk dat er
wel degelijk een risico-inventarisatie is gemaakt en is gedeeld met de
AP.
00:23 - 'Sowieso is het gecompartimenteerd: je hebt toegang tot de
gegevens waar je wat mee moet. Of dit nog verder in te regelen is, is op
dit moment onderwerp van de verbeterplannen.'
Hoepman: 'Deze systemen zijn gemaakt met het idee dat zoveel mogelijk
mensen bij zoveel mogelijk gegevens kunnen.' Van compartimentering is
nauwelijks sprake. Hoepman: 'Je verwacht dat veel mensen gegevens kunnen
invoeren. Maar waarom moeten ook zoveel mensen bij zoveel gevoelige
data? Wat moeten die mensen zien? Voor het doorgeven van een testuitslag
heb je enkel een naam, telefoonnummer en uitslag nodig. Meer niet.'
De GGD's en het ministerie zullen nu koortsachtig aan de slag moeten om
de beveiliging alsnog op een acceptabel niveau te krijgen, zegt Paapst.
'Maar daarmee kun je de schade niet herstellen. De uiterst gevoelige
persoonlijke gegevens van veel mensen zijn in verkeerde handen gekomen.
Je kunt dit niet ongedaan maken.' Al die mensen zullen op de hoogte
moeten worden gebracht, stelt hij. Alleen: de GGD weet door de
gebrekkige beveiliging en controle voorlopig niet welke data zijn
gestolen, van wie, uit welke systemen en of er nog meer gegevens op
straat liggen.
--------
(c) 2021 DPG Media B.V.
More information about the D66
mailing list