[D66] Privacylek coronasystemen GGD al maanden bekend (Wuhan Coronavirus 2019-nCoV #527)
Dr. Marc-Alexander Fluks
fluks at combidom.com
Thu Jan 28 14:09:03 CET 2021
Bron: RTL Nieuws
Datum: 28 januari 2021
Auteur: Daniel Verlaan
URL:
https://www.rtlnieuws.nl/nieuws/nederland/artikel/5211164/ggd-corona-systemen-toegang-vog-coronit-hpzone-light
Privacylek coronasystemen was al maanden bekend, GGD deed niets:
'We konden overal bij'
----------------------------------------------------------------
De GGD is al maanden op de hoogte van de vele privacyproblemen rondom de
coronasystemen met daarin de privegegevens van miljoenen Nederlanders.
De interne kritiek van medewerkers is door leidinggevenden telkens
weggewuifd.
Dat blijkt uit de gesprekken die RTL Nieuws de afgelopen dagen voerde
met tientallen mensen die voor de GGD werkzaam zijn met het inplannen
van testafspraken en het bron- en contactonderzoek.
Veel medewerkers hebben al maanden geleden vanwege verschillende
privacyproblemen aan de bel getrokken, maar kregen telkens te horen dat
het niet belangrijk genoeg was of kregen helemaal geen reactie. 'Het
boeit ze gewoon niet', aldus een medewerker die anoniem wenst te
blijven.
Veel te veel toegang
De kritiek zit hem in de vrije toegang voor GGD-medewerkers tot de grote
coronasystemen met daarin de privegegevens van miljoenen Nederlanders,
het gebrek aan toezicht op die systemen en het massaal aantrekken van
externe uitzendkrachten die allemaal in die data kunnen neuzen.
De GGD stelt in een reactie niet bekend te zijn met deze signalen. 'Waar
dit het geval is is dit zeker kwalijk, want wij waarderen medewerkers
die ons op risico's wijzen.'
Afgelopen maandag legde RTL Nieuws de grootschalige illegale handel in
privegegevens uit de twee coronasystemen van de GGD bloot.
Eerder deze week stelde minister Hugo de Jonge dat medewerkers alleen
toegang hebben tot de 'noodzakelijke' gegevens, maar dat wordt door tal
van medewerkers die voor de testafsprakenlijn of het bron- en
contactonderzoek van de GGD werken tegengesproken.
'Ik heb toegang tot de gegevens uit de coronasystemen van allerlei
andere GGD-regio's waar ik helemaal geen toegang tot zou moeten hebben',
vertelt een werknemer die via een derde partij voor de GGD werkt.
'Iedereen zoekt vrienden, familie of bekende mensen op en met de
exportknop kon je er tot voor kort alle gegevens uit halen. Het verbaast
me niets dat er wordt gehandeld in die privegegevens.' De GGD bevestigt
dat medewerkers 'soms toegang blijven houden' tot gegevens uit andere
GGD-regio's zodat ze snel kunnen bijspringen.
Een student die voor de testafsprakenlijn werkt vult aan: 'Studenten
kunnen nog geen tentamen maken zonder webcamsurveillance, maar om
toegang te krijgen tot de persoonsgegevens van miljoenen Nederlanders is
niets meer nodig dan een laptop en een beetje geduld. Het is een
schande. Waarom is er zo paniekerig opgeschaald? Waarom is er niks
gedaan met eerdere tekenen van problemen? En waarom kan ik nog steeds
alle persoonsgegevens opzoeken die ik maar wil met alleen een achternaam
en geboortedatum of geslacht?'
Zonder VOG in systemen
Zowel de GGD als minister Hugo de Jonge benadrukken dat medewerkers die
met dit soort gevoelige data werken altijd een verklaring omtrent gedrag
(VOG) moeten inleveren. Meer dan tien medewerkers die RTL Nieuws sprak
hebben nooit een VOG ingeleverd of pas maanden nadat zij al aan de slag
waren. Opvallend genoeg kreeg een aantal van hen deze week opeens de
vraag of ze toch nog een VOG konden inleveren.
Zowel de GGD als Teleperformance, het bedrijf dat verantwoordelijk is
voor onder andere de testafsprakenlijn, stellen dat alleen mensen met
een VOG met deze systemen mogen werken. Teleperformance meldt wel dat
medewerkers soms al anderhalve maand aan het werk kunnen zijn terwijl ze
op hun VOG wachten: ' ls de VOG binnen 6 weken na start niet wordt
opgeleverd, wordt er per direct afscheid genomen van een medewerker.'
Nauwelijks toezicht op toegang
Ook is er nauwelijks toezicht op de accounts die worden aangemaakt die
toegang hebben tot de coronasystemen. 'Ik heb al tientallen keren een
account laten aanmaken zonder enige controle en er is ook nog nooit een
VOG ingeleverd', vertelt iemand die toegang heeft tot CoronIT, het
systeem met daarin alle privegegevens van Nederlanders die een
coronatest hebben gedaan of vaccinatie krijgen.
'Bij de instructie van CoronIT werd ook nadrukkelijk gezegd dat je
overal bij kunt en of je daar alsjeblieft geen misbruik van wil maken.
En het erge is: ik heb voor mijn werk helemaal geen toegang tot die data
nodig, maar ik kan echt overal bij.'
Controle is een wassen neus
Er vinden volgens de medewerkers nauwelijks controles plaats of
medewerkers zich wel aan de regels houden. Enkele werknemers vertellen
hoe ze eens in de zoveel maanden hun scherm via Microsoft Teams moeten
delen om vervolgens de digitale prullenbak te openen. De manager kijkt
dan of daar gestolen gegevens uit de coronasystemen in te vinden waren.
'Een wassen neus', wordt het genoemd.
Verschillende medewerkers hebben hun zorgen geuit over de massale
toegang tot data en het gebrek aan controles, maar dit is keer op keer
genegeerd. Een van de oudste meldingen aan de leiding van de GGD
hierover komt uit de zomer van vorig jaar, toen een leidinggevende aan
de bel trok. Het zou worden besproken, luidde de reactie per mail.
Daarna heeft diegene nooit meer iets gehoord.
Testuitslagen delen via WhatsApp
De medewerkers die met name voor de testafsprakenlijn werken bevestigen
ook dat er regelmatig privegegevens van Nederlanders onderling via
WhatsApp worden uitgewisseld, waaronder woonadressen, patientnummers,
06-nummers, testuitslagen en burgerservicenummers.
In de WhatsApp-groepen wordt regelmatig gevraagd om een foto of video
van je scherm te delen als iets met een systeem niet lukt. 'Daar zijn
heel vaak gevoelige persoonsgegevens op te zien', zegt een werknemer die
anoniem wil blijven. Na het nieuws afgelopen maandag zijn deze groepen
'halsoverkop' stopgezet, met als gevolg dat werknemers eigen groepen
creeren waar nog minder toezicht op is.
Er wordt dan opgeroepen om de foto en video's met alle privegegevens te
verwijderen, maar deze staan dan al op de telefoons van alle leden van
de WhatsApp-groep. Die beelden worden vervolgens ook weer vaak
opgeslagen in de Google- of Apple-cloud van de medewerker.
Reactie GGD
Zowel de GGD als Teleperformance zeggen in een reactie niet bekend te
zijn met het feit dat er gevoelige persoonsgegevens via WhatsApp worden
uitgewisseld. 'Als we hiervan horen maken we er direct een eind aan',
aldus de woordvoerder van de GGD.
Teleperformance stelt dat WhatsApp officieel niet mag worden gebruikt
voor werkgerelateerde communicatie. 'Het zijn persoonlijke keuzes van
medewerkers om met collega's een app-groep aan te maken', aldus de
woordvoerder.
Zowel binnen de GGD als Teleperformance wordt inmiddels opgeroepen om
dit soort gevoelige privegegevens niet meer via WhatsApp te delen, maar
gebruik te maken van mail of leeromgeving Blackboard.
Dit is onacceptabel
Wat volgens de GGD-medewerkers ook niet helpt, is dat de organisatie
heel veel werkzaamheden uitbesteedt aan externe medewerkers, veelal
jonge mensen die werk hebben gevonden via een uitzendorganisatie. 'Ik
heb een sollicitatie van twee minuten gehad, nooit een VOG ingeleverd en
mocht gelijk beginnen', zegt een testafspraakmedewerker die via een
derde partij werkt. 'Ik voel me totaal niet verbonden met de GGD, ik doe
dit werk alleen omdat het een makkelijk bijbaantje is en ik het geld
nodig heb.'
Dat is lastig te verkroppen voor mensen die fulltime bij de GGD werken:
'Ik werk hier met hart en ziel voor onze gezondheid', vertelt een
duidelijk geemotioneerde medewerker tegen RTL Nieuws. 'Het systeem heeft
heel veel gebreken en er is veel mis, maar we zetten ons elke dag weer
in om deze pandemie te bestrijden.'
Een ander vult aan: 'Het mag toch niet zo zijn dat men straks zo bang is
dat hun persoonsgegevens worden gestolen dat ze zich niet meer laten
testen? Dit is onacceptabel en er moet heel snel iets veranderen, anders
hebben we straks misschien niet eens door dat we in een derde golf
zitten.'
--------
(c) 2021 RTL Nieuws
More information about the D66
mailing list