Minister Hugo de Jonge (VWS) kreeg op zijn kop van de Tweede Kamer om zijn lakse reactie op het datalek bij de GGD. Hij beloofde ervoor te zorgen dat de persoonsgegevens van Nederlandse burgers beter beschermd zouden worden. Maar hoe dan? Moeten de GGD-systemen worden vervangen? Of is oplappen het devies?
De bewindsman kreeg gisteren in de Kamer veel kritiek op zijn volgens velen nonchalante reactie op het datalek bij de GGD. Vorige week bleek dat GGD-medewerkers toegang hadden tot privégegevens van burgers die zich hebben laten testen op het coronavirus. Een onbekend aantal gegevens is vervolgens te koop aangeboden. Hij beloofde beterschap en er voor te zorgen dat GGD-medewerkers niet meer zo maar bij persoonlijke gegevens van geteste burgers kunnen komen.
Maar wat is de beste oplossing, nu tevens is gebleken dat het GGD-landschap verouderd is en al maanden lek? Vernieuwen zoals de GGD wil, en specifiek het systeem HPZone Lite door een ander registratiesysteem. Dat vindt het RIVM (Rijkinstituut voor Volksgezondheid en Milieu) geen goed idee. Directeur Jaap van Dissel waarschuwt in een brandbrief dat een te snelle overstap op iets nieuws het zicht houden op en het inzicht hebben in de verspreiding van het coronavirus nadelig kan beïnvloeden.
Of volstaat het doorvoeren van een aantal basale it-veiligheidsmaatregelen die volgens een opinie op Computable.nl niet of onvoldoende zijn genomen? Zoals het beperken van het aantal opvragen per dag, voorkomen van downloaden van complete lijsten, afschermen van een deel van het burgerservicenummer (bsn) en stevige monitoring op ongebruikelijk gedrag. Zaken die door ervaren it’ers in een paar weken zijn te realiseren.
Wat vindt u: vernieuwen of oplappen?
@Dino, ik kan het volgen en het klinkt niet interessant. Maar ook dat is geen probleem wmb.
Cynicus, we hebben alle gerefereerde concepten wel operationeel draaiend. Wil je het zien?
Wat mij betreft is dit vooral een organisatieprobleem. Als je doet wat je altijd deed, krijg je wat je altijd kreeg. De vraag of je een systeem opnieuw gaat bouwen of niet, lost het onderliggende probleem niet op. De afgelopen jaren is de focus bij de GGD gelegd op kostenbesparing en decentralisatie. Nu het alle hens aan dek is, wil het ministerie graag centraal de regie nemen, maar dat staan de decentrale it-systemen helemaal niet toe.
Daar komt bij dat privacybescherming in de jaren hiervoor niet voldoende een aandachtspunt is geweest. In de relatief kleine decentrale GGD-organisaties kenden ze al hun medewerkers goed en vertrouwden ze erop dat zij vertrouwelijk met de data omgingen die ze beheerden. Je kunt je dus afvragen of Privacy by design wel voldoende een uitgangspunt geweest is bij de bouw van de systemen.
Tot slot: ik kan me helemaal vinden in de quote van Winston Churchill. Je moet in tijden van crisis bepaalde risico’s durven toe te laten. Maar je moet dan wel heel duidelijk zijn in waar absoluut niet aan getornd mag worden, zoals integriteit en veiligheid. Nu ziet de gebruikers-kant er bijvoorbeeld netjes uit, maar liggen belangrijke kwetsbaarheden open.
Slimme organisaties wachten niet tot ze in een crisis zitten met bedenken welke risico’s wel en niet toelaatbaar zijn, maar maken vooraf een risico-inventarisatie.
Hoi Hans,
Wel of niet opnieuw een systeem bouwen is in mijn ogen een schijndilemma: het leidt helemaal niet tot andere keuzen. Of en wanneer iemand als laatste het licht uitdoet in de huidige user interface (UI) is het sluitstuk van het hele traject. Voor hetzelfde geld kan de huidige UI gedurende het traject nog wel voldoende aangepast om tenminste nog deels te worden ingezet. Je zult het in ieder geval gedurende en na de hele transitiefase nog moeten kùnnen gebruiken. Niets is zo fnuikend als een ‘overnacht’-migratie waarbij de volgende dag de oude omgeving passé is en die nieuwe omgeving na wat testjes de kar moet gaan trekken. Dat soort feestjes zullen ze toch hopelijk in 2021 een organisatie niet meer aandoen.
Rob Koelmans,
Misschien goed als je eerst het 13 pagina’s tellende feitenrelaas dat naar de tweede kamer is gestuurd leest want ik vrees dat het toch vooral een organisatorisch probleem is als je overweegt dat een bron- en contactonderzoek per definitie een ferme inbreuk op het grondwettelijke recht om onbespied te mogen leven is. En uiteindelijk ben ik dan ook vooral verbaasd over het feit dat een it-systeem wat al 17 jaar operationeel is nog voor zoveel problemen kon zorgen want dat je operationeel op moet schalen bij een epidemie lijkt me logisch. Heeft iemand al vragen gesteld over de rechtmatigheid van gestructureerde en ongestructuurde gegevensverzamelingen als het om de bewaartermijnen gaat?
Een nieuw te ontwikkelen database betreft alleen de opslag van data middels een bepaalde structuur waarvan de controleur als een magazijnmeester de uitgifte regelt zonder te weten dat in moderne DIKW-model van datasynthese meerdere bronnen gecombineerd kunnen worden om zo een inzichtelijkheid te geven die veelal onwenselijk is. Het All People Seems To Need Data Processing middels alle exportfuncties in een meerlaagse architectuur lijkt me dan ook het meest prangende probleem. Uteindelijk wordt de UI steeds minder interessant in een wereld waarin ‘redeneerstappen’ zonder tussenkomst van mensen data verwerken.
@Oudlid. Afgaande op dat feitenrelaas, denk ik dat er een gigantisch it-architectonisch probleem achter dat organisatorisch probleem schuilgaat. En nog zorgwekkender is dat het nergens daarover gaat. Verder hoop ik dat die brandbrief van RIVM niet op een reële angst is gestoeld Ze gaan echt niet alle bestaande functionaliteit achterover trekken zoals die brief suggereert. Ervan uitgaande dat de her en der aanwezige functionaliteit wel aan de bestaande vraag voldoet, hoeft het reorganiseren van de architectuur misschien helemaal niet zoveel tijd te kosten. Ben benieuwd wat er allemaal instort als er nu ergens een verbinding wegvalt. Stageren dan nog werkende onderdelen in de keten alsnog? Is er dataverlies of vindt alles netjes uitgesteld plaats? Kan dat getest worden?
Rob Koelmans,
Zeker ligt er een gigantisch it-architectonisch probleem en niet alleen bij de GGD als we kijken naar alle organisatorische problemen in ketens die een breiwerk aan koppelvlakken blijken te zijn. Zo wordt het toezicht houden op geautoriseerde exportfuncties niet echt een succes als functionaris geen ballen en competenties heeft om het tot stand komen van onrechtmatige gegevensverzamelingen, al dan niet gestructureerd, te voorkomen. Er mist dan ook wel meer in het feitenrelaas als er vanuit de IT andere uitkomsten verwacht worden terwijl er organisatorisch niets gewijzigd wordt.