Nieuws

De Jonge in debat over GGD-datalek: ‘We hebben er onvoldoende aandacht voor gehad’

Coronaminister Hugo de Jonge erkent in debat met de Tweede Kamer over de privacyproblemen bij de GGD, dat hij ‘scherper’ had moeten toezien op de databeveiliging. Er waren al langer signalen dat de systemen kwetsbaar zijn. ‘Dit onderwerp lag niet bovenop de stapel’. Volg het debat hier.

Er zijn drie verdachten opgepakt voor het stelen van gevoelige gegevens uit de GGD-systemen, maar nog altijd is onduidelijk hoeveel Nederlanders gedupeerd zijn, schreef De Jonge in een brief aan de Tweede Kamer. Ook zijn er inmiddels circa dertig GGD-medewerkers ontslagen vanwege ongeoorloofd zoekgedrag.

Leek de minister de problemen bij het vragenuurtje vorige week nog af te doen als een gevalletje ‘kan gebeuren’, nu wordt er een reeks maatregelen genomen om datalekkage bij de gezondheidsdiensten te voorkomen. Er komen automatische logboeken van zoekopdrachten, de print- en exporteerfunctie van een grote bulk data staat uit en nog maar een select groepje GGD-medewerkers en artsen krijgt toegang tot persoonsgegevens. Ook wordt dagelijks handmatig gekeken of er verdachte zoekopdrachten zijn en komt er een compleet nieuw softwaresysteem voor bron- en contactonderzoek.

De Jonge betreurt nu dat hij vorige week suggereerde dat er automatische controles plaatsvinden om misbruik op te sporen: “Wat ik zei wekte de indruk dat er reeds sprake is van geautomatiseerde controle, maar het is steekproefsgewijs.” En dat er tegen dataroof ‘geen kruid gewassen’ is, zoals De Jonge vorige week ook zei, neemt hij nu eveneens terug: “Nu ik alles goed op een rij heb gezet, zeg ik eerder: gelegenheid maakt ook de dief. Dat wil ik nu rechtzetten.”

Haastklus

Wel benadrukt de minister dat de softwaresystemen vorig voorjaar ‘halsoverkop’ na de virusuitbraak klaargemaakt moesten worden, dat iedereen daarbij haast had en dat er snel een groot registratiesysteem opgetuigd moest worden. Databeveiliging en privacy delfden daarbij het onderspit, erkent De Jonge: “Het is niet zo dat er niks is gebeurd, maar we hebben er onvoldoende aandacht voor gehad”. De maanden daarna kwamen er zo nu en dan zorgwekkende signalen - soms via media, ook een enkele keer direct bij de GGD - maar rigoureuze ingrepen volgden er niet: “Ik had daar zelf scherper bovenop moeten zitten. Dit lag - met alle veelheid van taken - niet bovenop de stapel, dat had wel gemoeten. Had het eerder gekund, had het eerder gemoeten? Ja.”

Fracties in de Tweede Kamer zijn fel over de problemen en het optreden van de minister. “Vanaf 1 juni waren er zorgwekkende signalen,” zei D66-Kamerlid Kees Verhoeven. “Maandenlang is er niet gedaan, signalen bereikte de minister niet. Waarom is zo lang gewacht met serieus ingrijpen? De automatische controle zou allang geregeld moeten zijn, dat was beloofd voor eind vorig jaar.” SP-Kamerlid Maarten Hijink: “Zulke missers mogen niet worden weggemoffeld. Hoe groot is het lek? Raakt het duizenden of honderdduizenden mensen, miljoenen misschien?” 50Plus verweet de minister te veel te ‘bluffen’, PvdA-Kamerlid Attje Kuiken zei: “Het gaat om acht miljoen mensen wier persoonsgegevens potentieel op straat liggen. Kwalijk. Al in april, in juni, in september waren er signalen.” Kuiken suggereert dat het De Jonge ‘over de schoenen loopt’. “Moeten er geen taken naar andere ministers?”

VVD-Kamerlid Hayke Veldman nuanceerde een deel van de kritiek van collega’s en wees erop dat de systemen in het voorjaar razendsnel moesten worden klaargemaakt om snel veel informatie over coronatests en bron- en contactonderzoek te verwerken. “Dat was ook een wens van ons als Kamer: zo snel mogelijk moest alle informatie bekend zijn.”

‘Waakhond is spitsmuis geworden’

Sinds de uitbraak van het coronavirus vorig voorjaar werd met bestaande software gewerkt, die is gaandeweg uitgebreid en aangepast. Ondertussen moesten steeds meer medewerkers bij de data kunnen voor testafspraken, -uitslagen en informatie voor het bron- en contactonderzoek. Uiteindelijk konden heel veel mensen bij veel informatie, ook is er nog altijd geen automatisch logboek wie welke gegevens opvraagt - een eis volgens de privacyregels, weten experts.

Tot dusver zijn na steekproeven ‘circa dertig medewerkers’ ontslagen wegens ongeoorloofd gebruik van de systemen.

Veel partijen hameren verder op een betere waakhondfunctie van toezichthouder Autoriteit Persoonsgegevens. SP, D66 en Denk vinden dat de AP meer geld moet krijgen voor onderzoek naar datalekken. SP’er Hijink: “We hebben van een waakhond een spitsmuis gemaakt.”

De datadiefstal raakt twee systemen: HPZone en CoronIT. CoronIT wordt gebruikt om testafspraken en uitslagen te verwerken, maar liefst 26.000 callcentermedewerkers van de testlijn kunnen bij die gegevens.

HPZone is nodig voor alle informatie rond het bron-en contactonderzoek. Daar hebben zo’n 20.000 GGD’ers toegang toe. Die software wordt al sinds 2003 gebruikt door de GGD voor bron- en contactonderzoek bij infectieziekten. Binnenkort wordt dit systeem vervangen door het nieuwe ‘GGD Contact’.

Het RIVM waarschuwt in een brandbrief dinsdagavond dat zorgvuldigheid geboden is als juist in deze tijd overgestapt wordt op een nieuw registratiesysteem. ‘De timing van overgaan naar een nieuw registratiesysteem is uiterst ongelukkig. Juist een invoering ten tijde van een ‘derde golf’ kan ertoe leiden dat het bron-en contactonderzoek eerder moet worden afgeschaald. Dit heeft een negatief effect op de bestrijding, en op het zicht houden op het virus.’

Meer over

Wilt u belangrijke informatie delen met Het Parool?

Tip hier onze journalisten


Op alle verhalen van Het Parool rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@parool .nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden