Lek in GGD-systeem al driekwart jaar aanwezig
Het uitdraaien van lijsten met geteste mensen is al sinds de start van het corona-testsysteem van de GGD mogelijk. Dat blijkt uit instructies voor GGD-medewerkers en extern personeel, die in handen zijn van de NOS.
De exportfunctie in het systeem van de GGD bestaat sinds april en maakte het mogelijk om lijsten met geteste personen te downloaden en door te sturen naar anderen. Die functie was bedoeld voor het maken van rapportages en het overdragen van gegevens naar andere systemen, maar blijkt te zijn misbruikt.
Pas nadat RTL Nieuws maandag had bericht dat het ook gebeurt en de gegevens van geteste personen worden verhandeld, zette de GGD de exportmogelijkheid stop.
De Tweede Kamer wil opheldering van minister De Jonge van Volksgezondheid. Het debat is volgende week.
8 miljoen tests
Sinds 1 juni 2020 zijn er bijna 8 miljoen coronatesten afgenomen en 800.000 bron- en contactonderzoeken uitgevoerd. De gegevens van al die mensen zitten in de databases van de GGD.
Volgens de instructies voor GGD-medewerkers bevat het computersysteem CoronIT sinds het begin van de pandemie ook de mogelijkheid om binnen het systeem te zoeken op een persoon. Het idee hierachter is dat medewerkers snel de testuitslagen kunnen vinden en geen dubbele dossiers aanmaken.
Maar overzichten met dossiers kunnen ook worden geëxporteerd als pdf- of Excel-document. Het gevaar daarbij is dat die documenten kunnen worden doorgestuurd naar anderen, zoals nu ook is gebeurd.
Privacy-expert Jaap-Henk Hoepman snapt niet waarom die exportfunctie überhaupt te gebruiken was. "Er is geen reden om die breed beschikbaar te maken", zegt Hoepman. "Misschien voor systeembeheerders of mensen met speciale bevoegdheden."
Ook een ander systeem dat GGD-medewerkers gebruiken, genaamd HPzone, dat is bedoeld voor bron- en contactonderzoek, heeft zo'n zoekfunctie. Voor sommige medewerkers moet de zoekfunctie per regio worden aangezet. Daarna is het mogelijk om op naam te zoeken naar mensen die voorkomen in een bron- en contactonderzoek. Ook die gegevens kunnen vervolgens met anderen worden gedeeld, bijvoorbeeld door een foto van het scherm te maken.
Er staan veel gegevens in dit systeem, naast adressen en bsn-nummers bijvoorbeeld ook informatie over onderliggende medische aandoeningen en zwangerschappen. Ook iemands contactpersonen worden geregistreerd, om ze zo te kunnen bereiken voor het bron- en contactonderzoek.
"Ik kan bij alle openstaande dossiers van meerdere GGD's", zegt een bron- en contactonderzoeker tegen de NOS. Dat kunnen vele duizenden dossiers zijn. "Het gaat daarbij niet alleen om de dossiers die ik zelf krijg toebedeeld, ik kan ook gewoon andere dossiers bekijken."
Ze zijn ervan uitgegaan dat iedereen te goeder trouw was, terwijl de selectie aan de poort niet op orde was.
En dat bleek vragen om problemen. "Ze zijn ervan uit gegaan dat iedereen te goeder trouw was, terwijl de selectie aan de poort niet op orde was."
Koepelorganisatie GGD GHOR Nederland wil nog niet reageren en komt later met een reactie.
Meermaals gewaarschuwd
De GGD wist bovendien van problemen rondom de privacy. De Volkskrant en Nieuwsuur meldden in september al dat medewerkers niet altijd een verklaring omtrent het gedrag (vog) hoeven in te leveren en dat medewerkers bij uitslagen kunnen die ze eigenlijk niet mogen inzien. Bovendien waarschuwden medewerkers de GGD intern ook, meldde RTL vanmiddag. Desondanks bleef de fraudegevoelige exportfunctie gewoon openstaan.
Ook op andere vlakken is er veel mis met de opzet van het systeem, zegt privacy-expert Hoepman. "Ik snap niet waarom een medewerker die afspraken inplant bij de testlijn überhaupt testuitslagen moet kunnen inzien", zegt hij. "Je zou dit systeem heel anders kunnen ontwerpen. Dit is echt heel kwalijk."