De GGD is volop in het nieuws wegens het lekken van data. Hoe kan een organisatie die alle beginselen van informatiebeveiliging én crisiscommunicatie heeft geschonden, haar vertrouwen terugwinnen?
Hoeveel kromme tenen kun je krijgen in een week? Persoonsgegevens van Nederlanders liggen op straat en de baas van de GGD ontkent dat er een probleem is. Pas na twee dagen volgde een magere ‘sorry, maar we hadden een beetje haast en eigenlijk valt het allemaal wel mee’. Het leed was toen al geschied. Door niet meteen een adequate publiekelijke reactie te geven, daarna de fout te bagatelliseren en door het ontbreken van snelle ict-acties werd het spreekwoordelijk wrijven in een vlek.
Wat ging hier mis en hoe kan de GGD het publieke vertrouwen terugwinnen, zijn de interessante vragen die komende week bij het Kamerdebat aan de orde komen.
Boegbeeld André Rouvoet
Allereerst de organisatie van de GGD. Er is eigenlijk niet één GGD hetzelfde: er zijn 25 verschillende Gemeentelijke Gezondheidsdiensten met een regionale aansturing; GGD GHOR – met als boegbeeld/voorzitter André Rouvoet – is landelijk belangenbehartiger voor de publieke gezondheid en veiligheid in Nederland. Deze constructie maakt informatiebeveiliging complex en werkt vertragend op crisiscommunicatie bij incidenten, zoals afgelopen week duidelijk werd.
De GGD is uitvoerder van een aantal Covid-maatregelen dat door het kabinet wordt opgelegd. Namens het kabinet is minister Hugo de Jonge verantwoordelijk. Om het vertrouwen terug te winnen, helpt het niet als de minister de Tweede Kamer aantoonbaar met onjuiste antwoorden komt, die publiekelijk meteen worden tegengesproken.
Risicovolle cocktail
Hoe kon het zover komen? Voor deze vraag moet je terug naar de GGD waar bestaande informatiesystemen worden gebruikt bij de verwerking van privacygegevens rondom corona. Die informatiesystemen worden normaliter gebruikt voor reguliere GGD-basistaken: een beperkt aantal zorgmedewerkers heeft dan toegang tot zo’n systeem. Door de plotselinge coronamaatregelen is er sprake van een risicovolle cocktail: een grote politieke druk, veel vertrouwelijke persoonsgegevens bij elkaar, veel tijdelijke medewerkers, weinig tijd voor screening en instructie en geen tijd voor controles.
Ongetwijfeld zullen alle gebruikelijke stappen en vinkjes zijn gezet. Maar basale it-veiligheidsmaatregelen zijn niet of onvoldoende genomen. Zaken zoals bijvoorbeeld het beperken van het aantal opvragen per dag, voorkomen van downloaden van complete lijsten, afschermen van een deel van het burgerservicenummer (bsn) en stevige monitoring op ongebruikelijk gedrag, kunnen door ervaren it’ers in een paar weken worden gerealiseerd. Zelfs op verouderde en/of slecht gebouwde systemen. Waarom is dit dan niet gebeurd?
Het lijkt erop dat is ingeschat dat het realiseren van maatregelen te veel vertraging van corona-testen zou opleveren. En dat de risico’s aanvaardbaar zijn. Dat klinkt logisch, maar is het niet. Het accepteren van het risico dat de gevoelige gegevens (naam, adres, postcode, woonplaats in combinatie met burgerservicenummers) van honderdduizenden Nederlanders gelekt worden, ligt waarschijnlijk ver buiten het mandaat van de GGD. Aanvullende maatregelen zijn dan noodzakelijk om ‘in control’ te blijven. Juist in crisistijd – waar iedereen gefocust is op het blussen van de brand – had ‘ingevlogen’ expertise voor een frisse blik kunnen zorgen: vasthouden aan basale informatiebeveiligingseisen en de experts voldoende mandaat geven om tenminste basismaatregelen meteen in te voeren. Dat is óók daadkracht en dan is er geen RTL-journalist nodig om gebreken in het systeem openbaar te maken en zijn nieuwsgierige medewerkers die op zoek gaan naar de persoonsgegevens van bekende Nederlanders ook snel op te sporen.
Scherpte
Voor crisiscommunicatie geldt hetzelfde. Een communicatieteam dat langdurig betrokken is bij een calamiteit, verliest scherpte, iets wat overigens ook geldt voor bestuurders. Vreemde ogen dwingen dan het best. Snelle en actieve openheid is nog steeds de beste medicijn om het vertrouwen van het publiek terug te winnen. In het belang van iedereen blijft testen noodzakelijk om coronabesmettingen vroegtijdig te kunnen opsporen. Dan moeten privacygegevens bij de overheid wel veilig zijn.
Het is deze week aan minister De Jonge om de Kamer volledig en juist te informeren. En aan de GGD om in het openbaar duidelijk te maken dat ze lessen heeft getrokken uit deze privacykwestie, om te beginnen door duidelijk alle publieksvragen en spelregels rondom het vastleggen van gegevens actief te communiceren.
Auteurs: Arjan van de Leur, specialist crisiscommunicatie, en Jerry van de Leur, it-architect en specialist informatiebeveiliging
Ik schroef de dop van de fles azijn (het is tenslotte al ruim na negen) want aangaande de basale informatiebeveiligingseisen is het falen van de GGD niet echt verrassend en ook niet nieuw. Medewerkers die toegang hebben tot alle informatie in plaats van een subset is niet ongebruikelijk in bepaalde organisaties waar geheimhouding wordt afgedwongen via een contractuele arbeidsovereenkomst in plaats van technische maatregelen. Wantrouwen is nu eenmaal niet de meest prettige basis voor samenwerking hoewel de AIVD al enige jaren waarschuwt voor ingehuurde consultants die wel dezelfde rechten hebben maar niet dezelfde verplichtingen aangaande geheimhouding. Risicovolle cocktail van bedrijfsspionage gaat tenslotte wat verder dan de persoonsgegevens, veel journalisten betalen uiteindelijk goed voor informatie over een bekende Nederlander;-)
@oudlid Het is iets waar ik ook steeds aan denk, het gaat hier niet om een fout in de software maar een feature waar medewerkers gebruik van maken. Precies, je mag van medewerkers verwachten dat zijn zorgvuldig met de informatie omgaan. Als ik voor mezelf spreek, je komt in het werk in aanraking met data waarvan je weet dat het gevoelig is en het niet de bedoeling dat je erin gaat grasduinen en er mee aan de haal gaat. Dit geldt voor heel veel werkers.
Zo herinner ik me bij een bank dat er medewerkers waren die in bankgegevens van BN’ers zaten te grutten. Er werd blijkbaar gemonitord want ze gingen eruit.
Neemt niet weg dat daar wel over nagedacht had moeten worden, maar ja hoge druk, bestaande software, onduidelijke verantwoordelijkheden dan krijg je dat. Het is allemaal niet dramatisch.
Erger me wel aan de opmerkingen over ICT en overheid dat altijd een puinhoop is. De overheid bestaat helemaal niet, net zoals over GGD in het artikel staat. De GGG bestaat ook niet. Waar we volgens mij nu tegenaan lopen is dat de overheid moeite heeft met regie voeren omdat alles gefragmenteerd belegd is bij lagere overheden en de markt.
Louis, waarom erger je je aan de opmerking “ICT en overheid is altijd een puinhoop”? Het is een logisch gevolg.
Kijk naar hoe de Nederlandse zorg in deze geregeld is. Infectieziekten bestrijden is primair een taak van de GGDs, daarvan hebben we er 25 in Nederland, die (nagenoeg) overlappen met de veiligheidsregio’s in Nederland. Een aantal gemeenschappelijke zaken zijn dan overkoepelend geregeld in de GHOR, waar o.m. ook het betreffende systeem ontwikkeld is (vele jaren geleden, met een heel ander doel). Het GHOR valt weer onder VWS, maar is geen onderdeel van VWS (want een separate uitvoeringsorganisatie). Alleen al de hoeveelheid afstemming die je in zo’n gedecentraliseerd model moet hebben maakt ontwikkelen van iets nieuws erg lastig.
Je ziet vergelijkbare problemen bij de woning”markt”, de belastingdienst en ga zo maar door. Automatisering doorvoeren in complexe organisaties met een hoge graad van autonomie is lastig, dat weet iedereen die wel eens iets geprobeerd heeft bij een grote telco met opco’s in meerdere landen ;-)…
Puinhopen met overheidsautomatisering liggen m.i. nauwelijks in de techniek, maar veelal in (zeer) complexe wetgeving, weinig oog voor uitvoerbaarheid van die wetgeving, gedecentraliseerde uitvoering en het idee dat de techniek de organisatieproblemen wel op zal lossen. En zo lang de kennis van automatiseren (en dan niet de technische kennis, maar de organisatorische kennis) bij kamerleden ontbreekt en de wens tot reflectie en verificatie van uitvoering en (ongewenste) bij effecten van wetgeving ontbreekt zie ik weinig verbetering.
@Louis,
Fragmentatie, delegeren naar lagere overheden, marktwerking. Allemaal overheidsbeleid, als je daarna geen regie meer kunt voeren..
Veel factuurtjes-uurtjes door consultants met verstand van ondernemerschap 😉 Veel vraag naar : https://www.computable.nl/artikel/opinie/management/7128753/1509029/consultants-met-verstand-van-ondernemerschap.html
@Robert @Dino Wat ik wilde zeggen is dat niet alles wat de overheid op ICT gebied slecht is en dat buiten de overheid het niet heel veel beter is met de ICT. Er gaat heel erg veel mis met ICT, de computer is moeilijk, organisaties ook, en dat is niet alleen aan bij overheid de maar ook in het bedrijfsleven.
@Robert Wat mij betreft kan je het uitbesteden er bij noemen, buiten de de organisatorische complexiteit. Dat is een factor die niet helpt, waar geld te verdelen is gelden andere wetten. Niet alleen kwaliteit en een oplossing. Een opdrachtgever die de kennis niet heeft en het overzicht ontbreekt dat is waar de markt de oplossingen moeten bieden. In zo een situatie kan je het beste langsgaan bij die consultants met verstand van ondernemerschap van @Dino.