Innovatie & Strategie

Privacy
Datalek

GGD wil stoppen met coronasysteem HPZone

GGD gaat nieuw systeem invoeren. 

© CC0 - Pixabay.com madartzgraphics
29 januari 2021

GGD gaat nieuw systeem invoeren. 

De GGD's willen na het bekendworden van het datalek in twee van hun coronasystemen zo snel mogelijk stoppen met één van de systemen. Het gaat om HPzone, dat gebruikt wordt voor het bron- en contactonderzoek. Ellis Jeurissen, portefeuillehouder bron- en contactonderzoek bij de GGD's en directeur publieke gezondheid bij de GGD-regio Brabant-Zuid-Oost, zegt tegenover het NRC dat er een nieuw systeem moet komen. 

Volgens Jeurissen werd er de afgelopen tijd gewerkt aan het versterken van de fundering van HPzone, zo vertelt ze in het NRC. Maar nu blijkt dat er onder meer via HPzone data gestolen en verhandeld wordt, komt er een nieuw systeem. "We werken op dit moment met man en macht aan de overstap naar een ander, veel veiliger portaal. Je wilt niet dat mensen zich niet meer laten testen, omdat ze zich zorgen maken over hun gegevens", aldus de portefeuillehouder in de krant. 

Volgens Jeurissen is het systeem bovendien niet gemaakt om 4.500 bron- en contactonderzoeken per dag te verwerken. De software zou dan ook traag zijn en regelmatig vastlopen, zo vertellen (oud-)medewerkers aan het NRC.

Dat het systeem niet op de pandemie in is gericht, was echter al langer bekend. In oktober lichtte de GGD tegenover AG Connect toe dat meldingen in HPzone nog handmatig verwerkt moeten worden. Destijds gebeurde dat door 4.000 werknemers, maar daar was het systeem niet op berekend.  “We waren nooit uitgegaan van het verwerken van tienduizend besmettingen per dag, dus ook niet van vierduizend gebruikers,” aldus een woordvoerder destijds. De organisatie zei toen al dat het samen met leverancier KPN werkte om de prestatieproblemen op te lossen en het systeem naar de toekomst toe robuuster te maken. Aan die werkzaamheden komt nu dus een einde. 

Verscherpt toezicht AP

De Autoriteit Persoonsgegevens zegt tegenover NOS dat de GGD onder verscherpt toezicht geplaatst wordt. De GGD moet in vervolg aantonen wat zij gedaan heeft met kritische vragen van de AP en welke aanpassingen zij hebben doorgevoerd. 

NOS en RTL Nieuws meldden gisteren dat het datalek in HPzone en in CoronIT al maanden aanwezig was. Volgens NOS bestaat de exportfunctie bijvoorbeeld al sinds april. Die functie zat in het systeem om rapportages te maken en om gegevens over te dragen naar andere systemen. Maar van de functie werd misbruik gemaakt: lijsten met geteste personen werden gedownload en illegaal verhandeld. De knop is nu verwijderd. 

Anonieme werknemers van de GGD zeggen tegenover RTL Nieuws dat zij maanden geleden al aan de bel trokken over verschillende privacyproblemen. Zij kregen naar eigen zeggen te horen dat het niet belangrijk genoeg was of zelfs helemaal geen reactie. AG Connect heeft GGD GHOR vragen gesteld naar aanleiding van de berichtgeving van NOS en RTL Nieuws, maar vooralsnog geen reactie gekregen. 

Lees meer over
Lees meer over Innovatie & Strategie OP AG Intelligence
2
Reacties
Anne Mak 12 februari 2021 20:38

Mijn gegevens zijn gejat en je wordt er niet vrolijk van wat voor gezijk je er van krijg. Alles weggooien wat ze sturen en zal wel minder worden. Maar ik laat mij nooit meer testen. Ik ben niet gek

Mathijs Groen 12 februari 2021 17:52

Was het nou zo moeilijk om even een autorisatie matrix op te stellen?! En deze juist te implementeren? En in dit geval beperking op de zoekfunctie (of eigenlijk meer specifiek het limiteren van het zoekresultaat), en export functie?

Eerste klas informatiekunde...
Dan was het datalek in HPZone (en mogelijk ook CoronIT) nooit zo ge explodeerd.

Off topic:
NB:
Teleurstellend dat AGConnect geen overzicht oplevert van de nieuws/discussies waar je op gereageerd hebt. Dat zie je bij ieder forum. Denk ook aan mailtje krijgen als je er een nieuwe reactie geplaatst is... Zo kan het wel WERKEN om online discussies/gesprekken onder nieuwsberichten te voeren... Nogmaals, teleurstellend.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.