De Jonge: ‘Digitale testketen is niet optimaal geschikt voor pandemie’

Volgens De Jonge komt het er op neer dat twee van de drie gebruikte IT-systemen in het verleden zijn gebouwd voor verschillende doeleinden, waardoor systemen onvoldoende op elkaar aansluiten. In zijn brief zegt De Jonge niet om welke systemen het precies gaat en de risico-analyse blijft, mede na overleg met het NCSC, vanwege veiligheidsredenen vertrouwelijk.

IT-keten testen en traceren

Voor het testen en traceren wordt gebruik gemaakt van het systeem CoronIT van de GGD. Met dit systeem worden triage, aanvraag, testafname en uitslag ondersteund. CoronIT is gekoppeld aan HP Zone waarmee de bron- en contactonderzoekers werken. Zij verwerken handmatig de positieve uitslagen die via CoronIT in HP Zone terechtkomen. Daarnaast is er nog het systeem Osiris van het RIVM dat wordt gebruikt om de verspreiding van het virus te monitoren. CoronIT wordt momenteel uitgebouwd tot registratiesysteem voor vaccinaties. Deze week vinden de gebruikerstesten van het systeem plaats.

Van HP Zone is bekend dat het de afgelopen maanden verschillende keren kampte met storingen. Een woordvoerder vertelde eind oktober dat het systeem toen (nog) niet berekend was op de 4000 gebruikers die er – door de grote hoeveelheid besmettingen – gebruik van maakten. De Volkskrant ontdekte dat de ontwikkelaar van het programma in de handleiding schrijft dat het programma niet geschikt is voor een pandemie.

Volgens De Jonge zijn er naar aanleiding van de storingen verbeteringen doorgevoerd en hebben de specialisten van de ketenpartijen elkaar opgezocht. “Aanvullend bestaat de behoefte aan ketenbrede regie”, schrijft hij.

Risico's 

De analyse maakt duidelijk dat er risico’s zijn op het gebied van continuïteit en beschikbaarheid van de data, datakwaliteit en opschaalbaarheid. Volgens De Jonge kunnen praktische beheersmaatregelen een deel van de kwetsbaarheden mitigeren. Maatregelen die hij neemt, zijn het inrichten van “beter passend” autorisatiebeheer en inzet van “hoogwaardige cybersecurity expertise”. Een nieuw opgerichte regiegroep moet het “reeds ingerichte laagdrempelige incidentproces formaliseren.”

Dit zijn maatregelen voor de korte termijn, schrijft De Jonge. Er wordt ook nagedacht over de aanpak voor de middellange en lange termijn. “In de nabije toekomst zijn er verdere aanpassingen nodig voor de borging van gegevensuitwisseling en het optimaliseren van de digitale keten. Hierin zal aandacht zijn voor het beleid, innovatieve ontwikkelingen in de test- en traceerketen en de toekomstbestendigheid door middel van koppelingen met derde partijen (zoals commerciële teststraten).”

Over de uitbreiding van de bestaande systemen voor de registratie en rapportage over vaccinatie, maakt De Jonge zich minder zorgen, want zo schrijft hij, daarbij is sprake van minder schakels en minder afhankelijkheden dan bij testen en traceren.