GGD’en maken volop werk van bescherming persoonsgegevens

GGD GHOR Nederland heeft kennis genomen van de rapportage van de Autoriteit Persoonsgegevens (AP) naar de datadiefstal van begin dit jaar uit de systemen die gebruikt worden voor de test- en vaccinatieafspraken en het bron- en contactonderzoek. Net als de AP is ook GGD GHOR Nederland van mening dat persoonsgegevens zo goed mogelijk moeten worden beschermd. De meeste aanbevelingen van de AP, het onderzoek vond vanaf februari plaats, zijn direct na de datadiefstal opgepakt. Op basis van het onderzoek maakt de AP geen gebruik van haar handhavingsbevoegdheid.

Zo zijn export- en printfuncties direct beperkt en zijn de loggingprocedures geïntensiveerd en aangescherpt, waarbij inmiddels ook geautomatiseerde controle plaatsvindt op de logging. Bij GGD Contact, het door het ministerie van VWS, GGD GHOR Nederland en alle GGD’en aangewezen vervangend systeem voor HPZone Lite, zijn informatiebeveiliging en privacy integrale onderdelen van de ontwikkeling en implementatie. GGD GHOR Nederland zal de AP middels de door haar gevraagde voortgangsrapportage informeren over de verbeteringen die doorgevoerd zijn.

Het onderzoek van de AP vond vanaf februari plaats bij GGD GHOR Nederland en is later uitgebreid naar twee GGD’en en één van de betrokken callcenters. Onlangs deelde de AP haar conclusies met GGD GHOR Nederland en de twee onderzochte GGD’en. De AP signaleert op basis van uitgebreid en intensief onderzoek een aantal verbeterpunten. Zo komt zij onder meer met de aanbeveling om de toegangsbeveiliging en de autorisatieprocessen verder aan te scherpen en de afspraken tussen partijen inzake de informatiebeveiliging te verbeteren. Daarnaast doet de AP aanbevelingen ten aanzien van de beveiliging en de vervanging voor de systemen HPZone en HPZone Lite en vraagt zij om een voortgangsrapportage op haar bevindingen.

André Rouvoet, voorzitter van GGD GHOR Nederland: “Wij zijn de AP erkentelijk voor haar constructieve opstelling gedurende het onderzoek, alsook dat ze oog heeft gehad voor de context die een gezondheidscrisis van deze omvang meebrengt en de daarmee gepaard gaande inspanningen van de GGD’en, GGD GHOR Nederland en de gecontracteerde callcenters. Iedere dag werken we met vele collega’s om Nederlanders te testen, te vaccineren en bron- en contactonderzoek uit te voeren. Het waarborgen van de dataveiligheid is daar onlosmakelijk mee verbonden. Nederlanders moeten erop kunnen vertrouwen dat hun data bij de GGD-organisatie in veilige handen zijn. We betreuren het dat er datadiefstal uit onze systemen heeft plaatsgevonden en begrijpen dat de AP meekijkt naar onze beveiligingsmaatregelen. Het is ook goed dat er vanuit de rechter een krachtig signaal is uitgegaan naar diegenen die zich schuldig aan de datadiefstal hebben gemaakt. Wij tolereren niet dat medewerkers misbruik maken van het systeem waartoe ze voor hun werkzaamheden bij de GGD’en toegang hebben. Indien een overtreding ontdekt wordt, wordt hier direct op geacteerd hetgeen kan leiden tot aangifte en ontslag op staande voet,” aldus André Rouvoet.