De persoonsgegevens van Nederlanders die zich laten testen, vaccineren of meewerken aan het bron- en contactonderzoek, zijn nog steeds niet voldoende beschermd. De privacywaakhond waarschuwt dat er 'wezenlijke risico's' bestaan als je gegevens bij de GGD zijn opgeslagen.
Dat blijkt uit onderzoek van de Autoriteit Persoonsgegevens (AP). Sinds afgelopen januari staat de GGD onder 'verscherpt toezicht' van de toezichthouder, omdat de privacy van burgers niet voldoende werd gewaarborgd.
Het onderzoek van de AP is gestart nadat RTL Nieuws eind januari had onthuld dat er op grote schaal werd gehandeld in de adresgegevens en telefoon- en burgerservicenummers uit de systemen van de GGD.
Veel partijen hebben toegang
De GGD werkt met twee systemen: CoronIT (testen en vaccinaties) en HPZone (bron- en contactonderzoek). Daarin staan de privégegevens van vele miljoenen Nederlanders. Volgens de AP hebben veel partijen toegang tot deze gegevens en ontbreekt het aan duidelijke afspraken wie waar toegang tot heeft.
Naast de 25 verschillende GGD'en hebben ook nog zes landelijke partnerorganisaties zoals callcenters en de IT-leveranciers toegang tot de systemen. Deze organisaties huren op hun beurt weer tijdelijk personeel in bij diverse uitzendbureaus.
Persoonsgegevens coronasysteem GGD niet veilig, techjournalist Daniël Verlaan legt uit hoe het zit
Nog steeds onvoldoende
Uit controle van de AP blijkt dat diverse medewerkers van de GGD over toegang tot gegevens beschikten die zij niet (meer) nodig hadden. Ook is er nog geen geautomatiseerde fraudecontrole. Deze maatregel zou aanvankelijk eind maart gereed zijn, maar tot op heden vindt er nog steeds dagelijks een handmatige controle plaats of medewerkers netjes met persoonsgegevens omgaan.
De GGD heeft wel een paar verbeteringen doorgevoerd. Zo kunnen medewerkers in de systemen niet meer alleen op achternaam zoeken en kunnen ze ook geen grote hoeveelheden data in één keer uit de systemen exporteren.
"Maar na onderzoek is ons duidelijk geworden dat deze verbeteringen nog onvoldoende zijn en er nog verdere verbeteringen nodig zijn", zo stelt Monique Verdier, vicevoorzitter van de AP. "Dat moet snel gebeuren."
Fraude onopgemerkt
In augustus meldde RTL Nieuws dat de datadiefstal bij de GGD veel meer mensen treft dan de organisatie publiekelijk meldt, en dat burgers van wie gegevens zijn gestolen en mogelijk doorverkocht niet door de GGD worden geïnformeerd. In dit geval ging het met name om gegevens die zijn gestolen uit HPZone, het systeem voor bron- en contactonderzoek.
De AP meldt nu dat het niet heeft kunnen vaststellen of de GGD de logbestanden van HPZone, waarin staat welke medewerker welke gegevens heeft opgevraagd, heeft gecontroleerd. Als deze logbestanden wel waren gecontroleerd, dan had de GGD mogelijk kunnen zien welke medewerkers welke gegevens hebben opgevraagd, en waar datadiefstal heeft plaatsgevonden.
Ook waren de privacyproblemen met de coronasystemen al maanden voor de datadiefstal bekend, maar de GGD deed niets met alle interne signalen. De kritiek van medewerkers is door leidinggevenden telkens weggewuifd, bleek uit onderzoek van RTL Nieuws.
Uiterlijk maart 2022
De GGD krijgt van de AP tot uiterlijk 1 maart 2022 om de benodigde stappen te nemen om de privacy van burgers beter te waarborgen. Alle 25 GGD'en worden vandaag door de privacywaakhond geïnformeerd over de te nemen stappen.
"Met het uitbreken van de pandemie werden de GGD'en voor een enorme opgave
gesteld", zo zegt Verdier van de AP. "Hoewel wij als AP begrip hebben voor hoe lastig deze opgave was, is het hoe dan ook essentieel dat mensen vertrouwen houden in de GGD. En dat zij niet gaan aarzelen om zich te laten vaccineren of testen door de angst dat daarna hun persoonsgegevens op straat belanden."
"Vooral ook omdat het hier om een uitzonderlijk grote groep mensen gaat. Zeker nu het virus weer zo snel om zich heen grijpt, moet dit bij de GGD echt in orde zijn."
GGD maakt 'volop werk' van bescherming data
De GGD stelt in een reactie 'volop werk' te maken van de bescherming van persoonsgegevens en bedankt de AP voor zijn 'constructieve opstelling gedurende het onderzoek'.
"We betreuren het dat er datadiefstal uit onze systemen heeft plaatsgevonden en begrijpen dat de AP meekijkt naar onze beveiligingsmaatregelen", zegt André Rouvoet, voorzitter van GGD. "Wij tolereren niet dat medewerkers misbruik maken van het systeem waartoe ze voor hun werkzaamheden bij de GGD toegang hebben."
Gevangenisstraf voor GGD'ers
In totaal zijn er zeven mensen door de politie voor de GGD-datahandel opgepakt, twee daarvan zijn veroordeeld tot een gevangenisstraf. Het gaat om de 21-jarige Mourad Z. uit Heiloo en de 23-jarige Amin L. uit Alblasserdam, die beiden vanuit huis voor het callcenter van de GGD werkten.
Z. adverteerde op Telegram dat hij van iedereen privégegevens kon verkrijgen. "Ben je op zoek naar iemands adres, 06- of burgerservicenummer, dan ben je bij mij aan het juiste adres", zo adverteerde hij onder de naam Meneer Pastos op de chatapp.
Z., die de hbo-studie commerciële economie volgde, zei eerder dat zijn acties 'superdom en naïef' waren en dat hij vooral een 'extra zakcentje' wilde verdienen met de verkoop van persoonsgegevens.
