Waakhond stelt GGD onder 'verscherpt toezicht', problemen al maanden bekend

  • Fleur Damen en Coen Nij Bijvank

    redacteur

  • Fleur Damen en Coen Nij Bijvank

    redacteur

De Autoriteit Persoonsgegevens (AP) stelt de GGD onder "verscherpt toezicht". Dat doet de privacywaakhond naar aanleiding van berichtgeving van RTL Nieuws over grootschalige datadiefstal bij de GGD.

"In het vervolg zal de GGD onder meer moeten aantonen wat zij heeft gedaan met de kritische vragen van de AP en welke aanpassingen zij hebben doorgevoerd", zegt een woordvoerder.

Nieuwsuur berichtte in september al over privacyrisico's bij de coronatestlijn van de GGD. De AP vroeg de GGD toen om opheldering, maar zag geen aanleiding voor verder onderzoek of verscherpt toezicht. "We zijn ervan uitgegaan dat wat we toen deden afdoende was om het op orde te brengen", zegt de woordvoerder nu.

Geen verplichte risicoanalyse door 'crisissituatie'

Deze week schreef RTL Nieuws over een lek in twee systemen van de GGD. Privégegevens van mensen die een testafspraak hebben gemaakt, of betrokken waren bij bron- en contactonderzoek (BCO), werden door GGD-medewerkers te koop aangeboden. Het downloaden van die gegevens was al sinds de start van het corona-testsysteem in april mogelijk, bleek vandaag.

Omdat het medische gegevens zou gaan verwerken, had de GGD vóór de start van het testen en het BCO een analyse van privacyrisico's moeten uitvoeren. Eind augustus, maanden ná de start, had de GGD die analyse nog niet af.

"De hectiek en acute crisissituatie van deze pandemie maakten het niet mogelijk om de volledige risico-inventarisatie op voorhand van BCO af te ronden en te publiceren", schreef een woordvoerder toen. Nieuwsuur vroeg de AP of die het ontbreken van de risicoanalyse bezwaarlijk vond, maar die zag daar geen reden toe. Inmiddels is de risicoanalyse wel voltooid, zegt de AP.

Lek al maanden bekend, ook bij AP en GGD

In september berichtte Nieuwsuur dat de gegevens van geteste Nederlanders toegankelijk waren voor duizenden medewerkers van de coronatestlijn, ook als ze er volgens de wet niet bij zouden moeten kunnen. Ook bleek dat medewerkers via WhatsApp privégegevens van geteste mensen, onder wie bekende Nederlanders, met elkaar deelden.

Volgens de GGD hadden medewerkers toegang nodig tot alle gegevens "omdat wij niet kunnen voorspellen wie er die dag belt voor het maken van een afspraak". Inmiddels stelt de GGD op haar website dat "alleen mensen die voor hun werk noodzakelijk toegang moeten hebben tot een persoonsdossier, dit dossier mogen inzien". Maar BCO-medewerkers zeggen tegen Nieuwsuur dat zij nog altijd toegang hebben tot alle gegevens.

Hoewel Nieuwsuur de GGD in september wees op de WhatsApp-berichten, zegt de GGD vandaag tegen RTL Nieuws niet bekend te zijn met die berichten. Desondanks wordt medewerkers vandaag gevraagd over te stappen op e-mail, bevestigen bronnen.

Ook een commissie van het ministerie van Volksgezondheid die adviseert over IT-gebruik, waarschuwde de GGD begin december over de risico's en stelde verbeteringen voor. De GGD heeft de commissie nog niet gezegd wat zij met het advies hebben gedaan. De GGD reageerde vandaag niet op verzoek voor commentaar.

De Autoriteit Persoonsgegevens heeft de GGD op hun blauwe ogen geloofd, dat werkt niet.

Mathieu Paapst, internetrecht-jurist

De AP heeft na de Nieuwsuur-berichtgeving in september één keer navraag gedaan bij de GGD. "Dat is een reguliere werkwijze", zegt een woordvoerder vandaag. "Een waarschuwing, een serieus gesprek. We hebben daarna geen tussenrapportage uitgevoerd." De toezichthouder ging ervan uit dat het voldoende was.

Bij nieuwe "signalen/klachten" kan de AP handhavend optreden, liet de toezichthouder toen wel weten aan de GGD. Die signalen zijn er nu, aldus de woordvoerder. "Waar in september nog om opheldering werd gevraagd en op verantwoordelijkheid gewezen werd, daar gaan we nu verscherpt toezicht instellen."

'Dit is echt de druppel'

Internetrecht-jurist Mathieu Paapst is geschrokken door de gang van zaken. "Kennelijk hebben ze de GGD op hun blauwe ogen geloofd. Het gevolg is nu dat er behoorlijk wat schade is ontstaan."

Volgens de jurist krijgt de AP te weinig geld van het kabinet om alle taken goed uit te voeren. "Dit wordt veroorzaakt door het kabinet, dat al jarenlang deze toezichthouder niet voldoende financiert."

Uit onderzoek van accountant KPMG bleek in november dat de AP ongeveer verdubbeling van het budget van 20 miljoen euro nodig heeft om aan haar taken te voldoen. Paapst pleit daarom voor extra geld voor de toezichthouder. Hij noemt de huidige problemen "de druppel".

Dinsdag probeerde minister Hugo de Jonge de Tweede Kamer gerust te stellen: uiteraard controleert de GGD sinds het begin continu op het gebruik van de systemen, bezweerde de minister. Maar de GGD laat diezelfde dag weten dat pas eind maart "de systemen automatisch en continu worden gecontroleerd". De Tweede Kamer vroeg daarop een nieuw debat aan over de kwestie.

Deel artikel:

Advertentie via Ster.nl