De GGD is van plan om te stoppen met HPzone, een van de twee crm-systemen van het bron- en contactonderzoek (bco) naar burgers die corona hebben. Privégegevens uit beide systemen zijn op grote schaal online te koop. ‘We werken met man en macht aan de overstap naar een veel veiliger portaal’, meldt bco-portefeuillehouder Ellis Jeurissen van de GGD’s vandaag in de NRC.
Het besluit om HPzone te vervangen volgt op onthullingen van RTL Nieuws over de grootschalige handel in gegevens van personen die positief waren getest op corona. Bestanden met daarin namen, adressen en burgerservicenummers worden op internet te koop aangeboden. Voor kwaadwillenden een dankbare bron voor bijvoorbeeld identiteitsfraude.
De databeveiligingsproblemen blijken intern meermaals te zijn aangekaart, maar weggewuifd door leidinggevenden. Kern van het probleem is dat te veel medewerkers toegang hebben tot vrijwel alle gegevens die in het crm-systeem staan. Het vermoeden is dat corrupte GGD-medewerkers de data uit het systeem konden exporteren en vervolgens online aanboden. Afgelopen weekend zijn hiervoor twee verdachten aangehouden.
Fundering
Portefeuillehouder Jeurissen vertelt in de NRC dat de GGD’s al bezig waren ‘de fundering’ van HPzone te versterken, maar dat de organisatie na de recente onthullingen toch kiest voor vervanging. Veel medewerkers vinden dat het huidige systeem traag is en regelmatig vastloopt. ‘Het is niet gemaakt om 4.500 onderzoeken per dag te verwerken’, aldus Jeurissen.
De GGD’s hebben ook een oplossing gevonden voor CoronIT, het systeem dat wordt gebruikt voor het inplannen van coronatesten. Uit dit crm-systeem staan eveneens persoonlijke gegevens online te koop. De zoekfunctie wordt beperkt en bovendien gelogd, meldt de koepelorganisatie GGD GHOR op haar site. Dienstverlener Fox-IT is aangesteld om forensisch onderzoek te doen op zowel de eerdere als toekomstige loggegevens. Het is de bedoeling dat vanaf eind maart een volautomatische continue controle plaatsvindt. Intern spoort ook een team verdachte handelingen op.
Als ik rechtmatig bij data kan welke onder de AVG valt, kan mij gevraagd worden een verklaring te ondertekenen dat ik daar op vertrouwelijke wijze mee om ga. Zet ik daar mijn handtekening onder, en ga ik toch met de data aan de haal, dan heb je als eigenaar van de data netjes aan de regels voldaan.
(en ben ik frauduleus bezig en kan ik achteraf vervolgd worden, maar de AVG als dusdanig staat me dan dus niet in de weg om data te lekken)
Robert, de achteraf verguisde CRM applicatie HPzone was blijkbaar bedoeld voor gebruik door een beperkt aantal zorgprofessionals en niet bedoeld voor grootschalig gebruik door duizenden call center medewerkers. De keuze voor HPzone is vreemd. De verwerking van gegevens bij normale meldplichtige ziekten is heel wat anders dan het verwerken van gegevens bij een pandemie. Er zijn in de afgelopen jaren in verschillende regio’s crisisoefeningen geweest m.b.t. fictieve SARS en Mexicaanse griep pandemieën. Dit heeft evaluatierapporten en bijbehorende aanbevelingen opgeleverd van allerlei goedwillende deelnemende partijen. Maar de evaluaties waren geen aanleiding voor de keten van onder meer GGD / GOHR Nederland, RIVM en VWS, om zich daadwerkelijk voor te bereiden op grootschalig inzet, dus ook niet van applicaties door call center medewerkers. De HPzone applicatie was niet ingericht of aangepast om te voldoen aan de AVG bij massaal gebruik. De privacy kreeg te weinig aandacht, wat doorgaans in de zorg wel gebeurt. Daar begint afscherming via autorisatie en controle daarop, normaal te worden. Er is ook geen (goede) ketentest geweest. Daarom werd het systeem te traag bij grootschalig gebruik. De “fundering” van HPzone i.v.m. de traagheid is uiteindelijk wel verstevigd.
Ewout, welke adviseurs bedoel je? En ja, leidinggevenden zijn altijd eindverantwoordelijk, zij stellen de vragen, zij beoordelen de adviezen en zij nemen de besluiten.
Wat VWS heeft gedaan of juist heeft nagelaten, laat zien dat VWS een beleidsministerie is en niet gewend is om nationale zaken te regelen. Alles moest tot voor kort lokaal of regionaal worden opgepakt. De specialisten volksgezondheid wisten natuurlijk wel wat een pandemie inhoud, maar zij kregen geen steun van de politiek en de ambtelijke top. VWS keek toe hoe feestvierders het virus massaal meenamen en weer snel verder verspreiden; alsof de puberende St. Viruswaarheid het beleid dicteerde. Toen kwamen de eerdere voorspellingen van de GGD uit. VWS liep steeds achter de feiten aan. Een ministerie moet zo veel mogelijk voorkomen dat er met snelle tijdelijke oplossingen gewerkt moet worden en die mogen nooit als structureel gezien worden.
Volgens diverse onderzoeksjournalisten zou de GGD / GOHR Nederland de onbeschermde exportfunctie hebben laten inbouwen / aanzetten als standaardfunctionaliteit, die ook via de printfunctie gebruikt kon worden. Mij is onbekend wie dat besluit heeft genomen. De schuld geven aan HPzone is nogal kinderachtig. Hoe zat het ook weer: continuïteit, beschikbaarheid, integriteit, vertrouwelijkheid, non-repudiation (toerekenbaarheid)? Dat zullen ze bij GGD / GOHR Nederland ook wel weten.
Jaap,
Ik vrees dat niet alleen VWS een beleidsministerie is waar ICT als stuwend middel in de regievoering van processen gezien wordt terwijl uitvoer van die processen uitbesteed wordt aan lagere echolons. Aangaande het fundament wijs ik op de paradigma wisseling van e-overheid naar i-overheid waardoor er volgens de Wetenschappelijk Raad Regeringsbeleid sprake is van begripsverwarring aangaande de keten omdat de informatie zelf via netwerken gaat. De leidinggevende in de operationele keten is dan ook niet de (eind)verantwoordelijke in het informatieproces als we kijken naar alle adviseurs.
Het is geen geheim dat aangaande de stuwende beginselen van de i-overheid niet alleen de privacy als een sta-in-de-weg gezien wordt bij het ‘ontschotten’ van informatieketens maar ook de individuele keuzevrijheid. En of privacy in de zorg echt goed geregeld is valt nog te bezien als er nog vele exportfuncties zijn zonder enige vorm van anonimisering. Er is namelijk nog altijd een groot politiek enthousiasme voor nieuwe applicaties en koppelingen van systemen en informatiestromen zonder het ‘verankeren’ van de individuele rechten in de procesmatig beginselen van de overheid via transparantie en accountability.