Beheer

Governance
AP

Privacytoezichthouder eist opheldering van GGD over datalek

'GGD moet website en informatielijn openstellen.'

27 januari 2021

'GGD moet website en informatielijn openstellen.'

De Autoriteit Persoonsgegevens (AP) heeft opheldering geëist bij de GGD over het datalek in diens IT-systemen. De toezichthouder heeft de organisatie daarnaast laten weten dat het burgers goed en snel moet informeren over de diefstal van hun gegevens. Niet alleen moet er informatie beschikbaar zijn via de GGD-website, maar ook moet er een informatielijn opengesteld worden.

RTL Nieuws onthulde afgelopen maandag dat er gehandeld wordt in persoonsgegevens uit de GGD-systemen CoronIT en HP Zone. Het gaat om adressen, telefoonnummers, burgerservicenummers (BSN's) en testresultaten van burgers. "Iemands medische gegevens, adres, telefoonnummer en BSN zijn zeer privé. En dat moeten ze ook blijven. Zulke informatie is heel geschikt voor bijvoorbeeld identiteitsfraude en phishing. De beveiliging moet daarom aan de hoogste eisen voldoen", zegt AP-voorzitter Aleid Wolfsen in een verklaring.

Dat geldt in het bijzonder voor gegevens over iemands gezondheid. Volgens de privacywetgeving AVG moeten medische gegevens extra beschermd worden ten opzichte van bijvoorbeeld namen en adressen. Wie niet aan de beveiligingseisen voldoet, riskeert een boete van de AP, evenals claims van slachtoffers. Toezichthouder AP stelt dat het de overheid en de zorgsector hier de afgelopen jaren regelmatig over heeft gewaarschuwd.

Toegangscontrole van groot belang

De AP benadrukt dat gegevens niet alleen extra goed beveiligd moeten worden, maar dat ook gecontroleerd moet worden of medewerkers niet meer gegevens opvragen dan noodzakelijk is, en of ze niet complete datasets downloaden. "Het is belangrijk om persoonsgegevens goed te beveiligen en ervoor te zorgen dat niet iedereen overal bij kan. Loggen en dit goed blijven monitoren zijn daarbij essentieel", aldus de organisatie.

Minister Hugo de Jonge van Volksgezondheid zei gisteren tijdens het vragenuur van de Tweede Kamer dat GGD-werknemers die afspraken maken voor tests of die bron- en contactenonderzoek doen alle persoonsdossiers kunnen inzien in het systeem waar ze toegang toe hebben. Een specifieker toegangsbeheer is er niet.

De Jonge: verbeterplan

"Toegang is gecompartimenteerd. Dus een medewerker heeft toegang tot de gegevens waar hij ook wat mee moet. Dus mensen die met testafspraken bezig zijn, hebben toegang tot het adresbestand van de testafspraken. Dat is op dit moment ingeregeld. Maar of dat nog verder in te regelen is, is momenteel onderdeel van een verbeterplan", zei De Jonge.

HP Zone bleek bovendien een exportfunctie te bevatten voor gegevens die in dat GGD-systeem zijn opgeslagen. Volgens bewindsman De Jonge is die functie inmiddels verwijderd, maar stond dat ook al op de planning na een risicoanalyse afgelopen december. Dergelijke vereiste maatregelen worden nu versneld doorgevoerd.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.