'Serieuze kwetsbaarheden' in GGD-systemen waren half december al bekend
Het ministerie van Volksgezondheid en de GGD wisten half december dat de beveiliging van de ict-systemen voor het bron- en contactonderzoek en testen niet op orde waren. Dat blijkt uit stukken die gisteravond naar de Tweede Kamer zijn verstuurd.
Een interne analyse wees op "serieuze kwetsbaarheden". Desondanks werden risicovolle onderdelen in de systemen niet uitgeschakeld. Zelfs toen het lek aan het licht kwam sprak de GGD nog over een "vervelend incident".
Het gaat onder meer om de export-functie, die zou zijn misbruikt om persoonsgegevens te lekken. Maar ook om de printfunctie, waarmee ook privacygevoelige data kunnen worden ingezien en die pas afgelopen zaterdag werd uitgeschakeld. Dat gebeurde nadat de NOS en Nieuwsuur vaststelden dat hij nog steeds voor alle gebruikers werkte.
Kwetsbaarheden
In de Tweede Kamer moest minister De Jonge van Volksgezondheid vandaag opheldering geven over het datalek. Hij erkent dat hij eerder had moeten reageren op interne signalen dat er problemen waren met de privacy van de GGD-systemen.
Er lag op 11 december bij het ministerie en de GGD al een interne risicoanalyse, die wees op "serieuze kwetsbaarheden" in de systemen. "Moeten we gezamenlijk wat mee", staat in de notulen van een vergadering van ambtenaren van het ministerie, het RIVM en de GGD.
Bij andere vergadering, een week later, blijft de GGD bij het standpunt dat "bestaande ict" moet blijven werken, zodat het werk kan doorgaan. De GGD was verder "benieuwd" naar het effect op "de operatie" van een nieuwe werkgroep die de beveiliging tegen het licht ging houden.
Kerstavond
Op 24 december, vlak voor Kerstavond, informeert minister De Jonge de Tweede Kamer over meerdere kwetsbaarheden in de GGD-systemen. De alinea's staan aan het einde van een brief die verder gaat over het testen en een OMT-advies.
Om "enkele kwetsbaarheden" op te lossen, wordt volgens de minister gewerkt aan een "beter passend autorisatiebeheer", zodat mensen niet bij informatie kunnen waar ze niet bij horen te kunnen. Wat er toen schortte aan dat autorisatiebeheer is onbekend, maar achteraf werd dus duidelijk dat te veel mensen bij te veel informatie konden.
De details van de risicoanalyse naar de GGD-systemen zijn (en blijven) geheim, in overleg met het Nationaal Cyber Security Centrum.
Er is te weinig rekening gehouden met de risico's en dat is natuurlijk niet goed.
In de Tweede Kamer zei minister De Jonge vandaag dat de exportfunctie werd gebruikt voor statistische analyses en het verdelen van werk. "Daarbij is te weinig rekening gehouden met de risico's en dat is natuurlijk niet goed", aldus De Jonge.
De waarschuwing in december is niet de eerste keer dat de overheid wordt gewezen op problemen met beveiliging. In september al meldt Nieuwsuur dat medewerkers toegang hadden tot allerlei privégegevens waar ze niet bij hoorden te kunnen. In november berichtte het AD over medewerkers die ongeoorloofd naar de gegevens van BN'ers gluurden.
Het gaat bij de ict-systemen van de GGD om twee verschillende programma's: in CoronIT staan gegevens van zo'n 5,5 miljoen mensen die zich hebben laten testen. In HPZone staan gegevens van zo'n 1 miljoen mensen die voorkomen in een bron- en contactonderzoek. Beide systemen waren toegankelijk voor tienduizenden werknemers van de GGD en callcenters.
'Vervelend incident'
Op 25 januari meldt RTL Nieuws dat er persoonsgegevens zijn verkregen door een lek in de GGD-systemen. Gegevens worden misbruikt en verhandeld.
Het ministerie en de GGD vergaderen op 28 januari over het lek. Uit het verslag blijkt dat het de GGD het een "extreem vervelend incident met datadiefstal" noemt. De knop voor het exporteren van gegevens uit HPZone is dan al uitgezet. De GGD zegt bezig te zijn om het "gat verder te dichten, maar dat is niet heel makkelijk". De printfunctie blijft aanstaan tot 30 januari.
De ambtenaren schrijven in het verslag dat er "achteraf" sneller had kunnen worden opgetreden. Er is wat tijd verloren gaan door het inrichten van een speciale werkgroep, maar het is "cruciaal om nu te weten wat we op korte, middellange en lange termijn moeten oplossen."