Nieuws

Datalek GGD betreft ook gevaccineerden, ministerie had al vanaf begin zorgen

GGD-medewerkers met toegang tot CoronIT, het registratiesysteem voor coronatesten, hebben ook toegang tot paspoort- of identiteitsnummers en gezondheidsverklaringen van gevaccineerde personen. Dat blijkt uit een GGD-werkinstructie die is ingezien door de Volkskrant.

In het CoronIT-systeem zijn adres- en telefoongegevens, testuitslagen en BSN geregistreerd van iedereen die een test heeft gedaan. Beeld Marcel van den Bergh
In het CoronIT-systeem zijn adres- en telefoongegevens, testuitslagen en BSN geregistreerd van iedereen die een test heeft gedaan.Beeld Marcel van den Bergh

CoronIT wordt sinds april gebruikt. Vele duizenden testmedewerkers hebben toegang tot dat systeem, dat inmiddels ook wordt gebruikt voor vaccinregistraties. Anders dan bij het testen slaan de GGD’s ook het ID-type (paspoort, ID-kaart of rijbewijs) én het bijbehorende ID-nummer op, blijkt uit de werkinstructie.

Om bij deze informatie te kunnen, zijn wel aanvullende gegevens (bijvoorbeeld de priklocatie) van de gevaccineerden nodig. De GGD heeft deze week stappen genomen om deze toegang te bemoeilijken, vertellen GGD-medewerkers aan de Volkskrant. De Tweede Kamer wil volgende week in debat over de gebrekkige databeveiliging bij de GGD’en. De overkoepelende organisatie GGD-GHOR was donderdag niet bereikbaar voor commentaar.

Geen noodzaak

In CoronIT kunnen testmedewerkers het dossier van gevaccineerde personen bekijken zonder dat daarvoor een noodzaak is. Jaap-Henk Hoepman, universitair hoofddocent privacy aan de Radboud Universiteit en Rijksuniversiteit Groningen, zegt dat hiermee het principe van doelbinding (een organisatie mag alleen informatie opslaan als er sprake is van een uitdrukkelijk omschreven en gerechtvaardigd doel) en het gescheiden opslaan en beperkt toegankelijk maken van gegevens ‘met voeten wordt getreden’.

Als nummers van identiteitsdocumenten in verkeerde handen vallen, heeft dat grote risico’s voor identiteitsdiefstal. Zo kunnen met paspoortnummers leningen worden afgesloten. Criminelen hebben veel geld over voor dit soort informatie. Het afgelopen weekend werden er al twee personen gearresteerd die verdacht worden van het doorverkopen van persoonlijke gegevens.

Zorgen bij ministerie

Uit gesprekken met betrokkenen bij het ministerie van Volksgezondheid blijkt dat er al vanaf het voorjaar 2020 zorgen waren over de privacy en veiligheid van de GGD-systemen. Onder anderen medewerkers van labs die de testuitslagen verwerkten, uitten hun zorgen. Zij konden allerlei persoonlijke data inzien, inclusief burger servicenummers, terwijl dat niet nodig was.

Ook was vanaf het begin duidelijk dat GGD-medewerkers bij álle data konden, ook al meldde de GGD-website dat medewerkers alleen de gegevens zagen van de persoon die ze moesten bellen. Volgens één betrokkene heeft het ministerie al in augustus hulp aangeboden om de privacyproblemen op te lossen, maar heeft de GGD dat categorisch geweigerd.

Complicatie hierbij is dat het ministerie niet verantwoordelijk is voor de GGD’en. Inmiddels zou VWS strakker regie voeren over de GGD’en. Een ingewijde: ‘De GGD is niet competent op dit vlak. En is financieel uitgekleed de laatste jaren.’ Een ander zegt: ‘Ambtenaren binnen VWS zijn al vanaf de zomer diep gefrustreerd over de GGD. Over de incompetentie van medewerkers op het vlak van privacy en beveiliging, maar vooral over de onwil iets te willen verbeteren en hulp aan te nemen.’

Breder ingezet

Ondanks dat binnen het ministerie al maanden zorgen leefden over de privacyrisico’s van de verschillende systemen, kondigde minister Hugo de Jonge in december aan dat CoronIT juist breder ingezet zou worden. Niet alleen als administratiesysteem voor het testen en verwerken van de testuitslagen, maar ook voor het hele vaccinatieprogramma.

Volgens de minister was CoronIT het snelst en eenvoudigst aan te passen, zo zei hij destijds op vragen van Femke Merel-van Kooten. Het Kamerlid vroeg zich toen af waarom De Jonge geen gebruik wil maken van een ánder ict-systeem, Praeventis genaamd. Dat wordt al langer door de RIVM gebruikt voor het Rijksvaccinatieprogramma. Maar volgens De Jonge is dat systeem niet geschikt. Geïrriteerd: ‘We gaan nu wel heel diep de uitvoering in hoor.’

Vaak ging het de afgelopen dagen over de zogenoemde exportfunctie in een van de systemen waarmee de GGD’en werken. Hiermee is het voor medewerkers een fluitje van een cent om lijsten met persoonlijke gegevens te downloaden en door te sturen naar andere personen. Nadat RTL Nieuws begin deze week meldde dat dit soort gegevens te koop worden aangeboden aan criminelen, werd de functie stopgezet.

Die functie zat er niet per ongeluk in. Uit instructies voor GGD-medewerkers die in handen zijn van de NOS blijkt dat dit dit juist zo ontworpen was, voor het maken van rapportages en het overdragen van gegevens naar andere systemen. Intern blijkt er bij verschillende medewerkers al ‘maanden geleden’ grote zorg te bestaan over misbruik, maar deze kritiek werd door leidinggevenden weggewuifd, meldt RTL Nieuws donderdag.

Dat er niet of nauwelijks controle is op medewerkers die toegang hebben tot het CoronIT-systeem werd in september overigens al duidelijk. Zo nam Volkskrant-redacteur Jeroen van Bergeijk een vrijwilligersbaan bij een teststraat. Tot zijn eigen verbazing kreeg hij al op zijn tweede dag toegang tot CoronIT en kon zo de gegevens van iedereen opvragen. Zonder noemenswaardige training of controle.

Verder lezen:
Deskundigen: uitspraken De Jonge over GGD-datalek aantoonbaar onjuist

Datalek bij GGD: gegevens van miljoenen Nederlanders in criminele handen

Jeroen van Bergeijk ging vorig jaar werken in een teststraat. Op dag twee was het: ‘Ben je handig met computers?’ En zo kreeg hij op zijn tweede werkdag al toegang tot de gegevens van alle Nederlanders in het GGD-systeem CoronIT.

Meer over