[D66] Privacylek coronasystemen GGD al maanden bekend (Wuhan Coronavirus 2019-nCoV #527)

Dr. Marc-Alexander Fluks fluks at combidom.com
Thu Jan 28 14:09:03 CET 2021 

Bron:   RTL Nieuws
Datum:  28 januari 2021
Auteur: Daniel Verlaan
URL:    
https://www.rtlnieuws.nl/nieuws/nederland/artikel/5211164/ggd-corona-systemen-toegang-vog-coronit-hpzone-light


Privacylek coronasystemen was al maanden bekend, GGD deed niets:
'We konden overal bij'
----------------------------------------------------------------

De GGD is al maanden op de hoogte van de vele privacyproblemen rondom de 
coronasystemen met daarin de privegegevens van miljoenen Nederlanders. 
De interne kritiek van medewerkers is door leidinggevenden telkens 
weggewuifd.

Dat blijkt uit de gesprekken die RTL Nieuws de afgelopen dagen voerde 
met tientallen mensen die voor de GGD werkzaam zijn met het inplannen 
van testafspraken en het bron- en contactonderzoek.

Veel medewerkers hebben al maanden geleden vanwege verschillende 
privacyproblemen aan de bel getrokken, maar kregen telkens te horen dat 
het niet belangrijk genoeg was of kregen helemaal geen reactie. 'Het 
boeit ze gewoon niet', aldus een medewerker die anoniem wenst te 
blijven.


Veel te veel toegang

De kritiek zit hem in de vrije toegang voor GGD-medewerkers tot de grote 
coronasystemen met daarin de privegegevens van miljoenen Nederlanders, 
het gebrek aan toezicht op die systemen en het massaal aantrekken van 
externe uitzendkrachten die allemaal in die data kunnen neuzen.

De GGD stelt in een reactie niet bekend te zijn met deze signalen. 'Waar 
dit het geval is is dit zeker kwalijk, want wij waarderen medewerkers 
die ons op risico's wijzen.'

Afgelopen maandag legde RTL Nieuws de grootschalige illegale handel in 
privegegevens uit de twee coronasystemen van de GGD bloot.

Eerder deze week stelde minister Hugo de Jonge dat medewerkers alleen 
toegang hebben tot de 'noodzakelijke' gegevens, maar dat wordt door tal 
van medewerkers die voor de testafsprakenlijn of het bron- en 
contactonderzoek van de GGD werken tegengesproken.

'Ik heb toegang tot de gegevens uit de coronasystemen van allerlei 
andere GGD-regio's waar ik helemaal geen toegang tot zou moeten hebben', 
vertelt een werknemer die via een derde partij voor de GGD werkt. 
'Iedereen zoekt vrienden, familie of bekende mensen op en met de 
exportknop kon je er tot voor kort alle gegevens uit halen. Het verbaast 
me niets dat er wordt gehandeld in die privegegevens.' De GGD bevestigt 
dat medewerkers 'soms toegang blijven houden' tot gegevens uit andere 
GGD-regio's zodat ze snel kunnen bijspringen.

Een student die voor de testafsprakenlijn werkt vult aan: 'Studenten 
kunnen nog geen tentamen maken zonder webcamsurveillance, maar om 
toegang te krijgen tot de persoonsgegevens van miljoenen Nederlanders is 
niets meer nodig dan een laptop en een beetje geduld. Het is een 
schande. Waarom is er zo paniekerig opgeschaald? Waarom is er niks 
gedaan met eerdere tekenen van problemen? En waarom kan ik nog steeds 
alle persoonsgegevens opzoeken die ik maar wil met alleen een achternaam 
en geboortedatum of geslacht?'


Zonder VOG in systemen

Zowel de GGD als minister Hugo de Jonge benadrukken dat medewerkers die 
met dit soort gevoelige data werken altijd een verklaring omtrent gedrag 
(VOG) moeten inleveren. Meer dan tien medewerkers die RTL Nieuws sprak 
hebben nooit een VOG ingeleverd of pas maanden nadat zij al aan de slag 
waren. Opvallend genoeg kreeg een aantal van hen deze week opeens de 
vraag of ze toch nog een VOG konden inleveren.

Zowel de GGD als Teleperformance, het bedrijf dat verantwoordelijk is 
voor onder andere de testafsprakenlijn, stellen dat alleen mensen met 
een VOG met deze systemen mogen werken. Teleperformance meldt wel dat 
medewerkers soms al anderhalve maand aan het werk kunnen zijn terwijl ze 
op hun VOG wachten: ' ls de VOG binnen 6 weken na start niet wordt 
opgeleverd, wordt er per direct afscheid genomen van een medewerker.'


Nauwelijks toezicht op toegang

Ook is er nauwelijks toezicht op de accounts die worden aangemaakt die 
toegang hebben tot de coronasystemen. 'Ik heb al tientallen keren een 
account laten aanmaken zonder enige controle en er is ook nog nooit een 
VOG ingeleverd', vertelt iemand die toegang heeft tot CoronIT, het 
systeem met daarin alle privegegevens van Nederlanders die een 
coronatest hebben gedaan of vaccinatie krijgen.

'Bij de instructie van CoronIT werd ook nadrukkelijk gezegd dat je 
overal bij kunt en of je daar alsjeblieft geen misbruik van wil maken. 
En het erge is: ik heb voor mijn werk helemaal geen toegang tot die data 
nodig, maar ik kan echt overal bij.'


Controle is een wassen neus

Er vinden volgens de medewerkers nauwelijks controles plaats of 
medewerkers zich wel aan de regels houden. Enkele werknemers vertellen 
hoe ze eens in de zoveel maanden hun scherm via Microsoft Teams moeten 
delen om vervolgens de digitale prullenbak te openen. De manager kijkt 
dan of daar gestolen gegevens uit de coronasystemen in te vinden waren. 
'Een wassen neus', wordt het genoemd.

Verschillende medewerkers hebben hun zorgen geuit over de massale 
toegang tot data en het gebrek aan controles, maar dit is keer op keer 
genegeerd. Een van de oudste meldingen aan de leiding van de GGD 
hierover komt uit de zomer van vorig jaar, toen een leidinggevende aan 
de bel trok. Het zou worden besproken, luidde de reactie per mail. 
Daarna heeft diegene nooit meer iets gehoord.


Testuitslagen delen via WhatsApp

De medewerkers die met name voor de testafsprakenlijn werken bevestigen 
ook dat er regelmatig privegegevens van Nederlanders onderling via 
WhatsApp worden uitgewisseld, waaronder woonadressen, patientnummers, 
06-nummers, testuitslagen en burgerservicenummers.

In de WhatsApp-groepen wordt regelmatig gevraagd om een foto of video 
van je scherm te delen als iets met een systeem niet lukt. 'Daar zijn 
heel vaak gevoelige persoonsgegevens op te zien', zegt een werknemer die 
anoniem wil blijven. Na het nieuws afgelopen maandag zijn deze groepen 
'halsoverkop' stopgezet, met als gevolg dat werknemers eigen groepen 
creeren waar nog minder toezicht op is.

Er wordt dan opgeroepen om de foto en video's met alle privegegevens te 
verwijderen, maar deze staan dan al op de telefoons van alle leden van 
de WhatsApp-groep. Die beelden worden vervolgens ook weer vaak 
opgeslagen in de Google- of Apple-cloud van de medewerker.


Reactie GGD

Zowel de GGD als Teleperformance zeggen in een reactie niet bekend te 
zijn met het feit dat er gevoelige persoonsgegevens via WhatsApp worden 
uitgewisseld. 'Als we hiervan horen maken we er direct een eind aan', 
aldus de woordvoerder van de GGD.

Teleperformance stelt dat WhatsApp officieel niet mag worden gebruikt 
voor werkgerelateerde communicatie. 'Het zijn persoonlijke keuzes van 
medewerkers om met collega's een app-groep aan te maken', aldus de 
woordvoerder.

Zowel binnen de GGD als Teleperformance wordt inmiddels opgeroepen om 
dit soort gevoelige privegegevens niet meer via WhatsApp te delen, maar 
gebruik te maken van mail of leeromgeving Blackboard.


Dit is onacceptabel

Wat volgens de GGD-medewerkers ook niet helpt, is dat de organisatie 
heel veel werkzaamheden uitbesteedt aan externe medewerkers, veelal 
jonge mensen die werk hebben gevonden via een uitzendorganisatie. 'Ik 
heb een sollicitatie van twee minuten gehad, nooit een VOG ingeleverd en 
mocht gelijk beginnen', zegt een testafspraakmedewerker die via een 
derde partij werkt. 'Ik voel me totaal niet verbonden met de GGD, ik doe 
dit werk alleen omdat het een makkelijk bijbaantje is en ik het geld 
nodig heb.'

Dat is lastig te verkroppen voor mensen die fulltime bij de GGD werken: 
'Ik werk hier met hart en ziel voor onze gezondheid', vertelt een 
duidelijk geemotioneerde medewerker tegen RTL Nieuws. 'Het systeem heeft 
heel veel gebreken en er is veel mis, maar we zetten ons elke dag weer 
in om deze pandemie te bestrijden.'

Een ander vult aan: 'Het mag toch niet zo zijn dat men straks zo bang is 
dat hun persoonsgegevens worden gestolen dat ze zich niet meer laten 
testen? Dit is onacceptabel en er moet heel snel iets veranderen, anders 
hebben we straks misschien niet eens door dat we in een derde golf 
zitten.'

--------
(c) 2021 RTL Nieuws

More information about the D66 mailing list