‘Ik had het anders moeten zeggen’. Met deze woorden geeft minister De Jonge van Volksgezondheid aan dat hij vorige week verkeerde informatie over de datafraude bij de GGD aan de Tweede Kamer gaf. Op drie punten komt de minister nu op zijn uitspraken terug.
De Jonge stelt hij dat de GGD de privacy steekproefsgewijs controleert, in plaats van continu zoals hij eerder beweerde. Ook verklaarde hij dat het systeem voldoet aan de NEN-norm, maar dit blijkt alleen voor de software te gelden en niet voor de gehele GGD-organisatie. Ook neemt hij zijn uitspraak terug dat ‘tegen datadieven geen kruid gewassen is’ en benadrukt hij dat de verantwoordelijkheid voor het datalek niet alleen bij de daders is te leggen.
De minister kreeg gisteren veel kritiek op zijn volgens velen nonchalante reactie op het datalek bij de GGD. Vorige week bleek dat GGD-medewerkers toegang hadden tot privégegevens van burgers die zich hebben laten testen op het coronavirus. Een onbekend aantal gegevens is vervolgens te koop aangeboden. Criminelen kunnen dergelijke gegevens gebruiken voor bijvoorbeeld internetfraude. Achteraf vindt de minister dat hij eerder had moeten reageren op signalen binnen de GGD dat er zorgen waren over de privacy. Die signalen kwamen al naar buiten in juli en later berichtten ook andere media, waaronder RTL Nieuws, hierover.
De Jonge geeft aan dat er vanaf november effectief gewerkt wordt aan een verbeterplan. Gisteren gaf hij toe dat het eerder had gemoeten, maar dat er ook onduidelijkheid was in de communicatie met de GGD. Het ministerie van VWS meende dat de GGD zelf aan de slag was gegaan met haar systeem, wat niet zo bleek te zijn. Overigens is er een speciaal nummer opengesteld voor burgers met vragen over hun mogelijk gestolen gegevens. De GGD gaat slachtoffers bellen van wie zeker is dat hun gegevens gestolen zijn. Het is nog niet duidelijk hoe groot die groep is.
Nieuw systeem niet wenselijk
Ondanks het verouderde en mogelijk lekke systeem dat de GGD nu gebruikt, waarschuwt het RIVM voor een te snelle overstap op een nieuw ict-systeem. Dit blijkt uit een brandbrief van RIVM-directeur Jaap van Dissel aan het ministerie van Volksgezondheid. Specifiek zou de GGD het systeem HPZone Lite willen vervangen door een ander registratiesysteem. Van Dissel geeft aan dat het RIVM zich zorgen maakt over de impact hiervan op het zicht houden op en het inzicht hebben in de verspreiding van het virus. Een en ander heeft direct invloed op de data en adviezen die het RIVM kan bieden in het kader van de bestrijding van de coronapandemie.
Hij benadrukt dat voor er overgegaan wordt op een nieuw systeem, niet alleen de veiligheid en privacy, maar ook de output (data) gewaarborgd moet blijven. ‘Wij zullen bij een te snelle, onvoldoende geteste en volledige nieuwe datastroom, niet de rapportage en data kunnen leveren die benodigd is om het landelijke bestrijdingsbeleid te onderbouwen.’
De directeur meent ten slotte dat het essentieel is dat alle GGD-locaties geheel over gaan op het nieuwe systeem en dat de data van alle vijfentwintig GGD’en via eenzelfde datastroom moet lopen. Verlies van historische data uit HPZone dient, zowel voor de GGD als voor het RIVM, voorkomen te worden door opname van deze data in het nieuwe systeem, de zogenaamde datamitigatie.