GGD Fryslân over datalek: "Snelheid ging ten koste van veiligheid"

29 jan 2021 - 13:08

GGD Fryslân is in verlegenheid gebracht door het datalek in de coronasystemen dat onlangs door journalisten van RTL Nieuws werd geconstateerd. Daardoor konden gegevens van duizenden mensen worden verhandeld. Volgens Margreet de Graaf van GGD Fryslân is het schipperen tussen zorgvuldigheid en snelheid. "Dat is precies het probleem: je moet kiezen tussen twee kwaden. Eerder kozen we voor de snelheid, maar dat gaat dus wel ten koste van de veiligheid."

Foto: Omrop Fryslân, Jeroen Boersma

De Graaf zegt er wel over: "Het beeld dat alle gegevens op straat liggen en dat iedereen die het wil het zomaar kan raadplegen, dat is wat overdreven. Maar: het is wel ernstig." Uit onderzoek van Daniël Verlaan van RTL Nieuws bleek maandag dat er op grote schaal werd gehandeld in privégegevens uit de twee belangrijkste coronasystemen van de GGD (CoronIT en HPzone Light).

Datahandel in privégegevens

Op chatdiensten werden al maanden gegevens te koop aangeboden. Sommige accounts hebben aangeboden gegevens van specifieke personen op te zoeken. Ook kon de datasets worden aangevraagd voor bepaalde groepen. De politie heeft in Noord-Holland twee personen aangehouden die van deze illegale datahandel worden verdacht.

"Om hoeveel het precies gaat dat weten wij niet, daar doet de politie onderzoek naar. Maar we weten dat het systeem er gevoelig voor is. De oudere systemen zijn ook gevoeliger voor hackers, dan gaat het met name om het systeem voor het bron- en contactonderzoek dat al ouder is," zegt De Graaf. "Maar we hebben ook de gevoeligheid van nieuwe medewerkers, daar kunnen mensen tussen zitten die er misbruik van willen maken. Met zoveel medewerkers kan er altijd een tussen zitten die kwaad wil doen."

Privacy-deskundige Jaap Henk Hoepman fan Rijksuniversiteit Groningen vertelt om wat voor gegevens het precies gaat: "Naam, adres, telefoonnummer, Burgerservicenummer en testuitslagen. Dat is best veel en ook van best veel mensen. Veel mensen konden er bij: niet alleen vaste medewerkers, maar ook tijdelijke medewerkers van callcenters."

Margreet de Graaf van GGD Fryslân

Controle

Er is te weinig toezicht op de systemen en er wordt dus ook veel gebruik gemaakt van externe uitzendkrachten. Zij kunnen ook bij de data. En dat maakt het een groot lek, zegt Hoepman. "Het gaat om tienduizenden mensen. Vooral de combinatie van telefoonnummer en Burgerservicenummer is gevaarlijk voor identiteitsfraude. Hoe meer gegevens een aanvaller heeft, des te gevaarlijker het kan worden."

Een gedegen controle op de regels zou ontbreken. Ook zouden medewerkers soms gegevens met elkaar delen in WhatsApp-groepen. "Het gaat niet om één individuele medewerker die eens wat gegevens heeft gekopieerd, maar wel om meer dan dat. Daarom is het belangrijk dat zo'n exportfunctie wordt aangepast en de toegang te beperken," zegt Hoepman. Minister Hugo de Jonge zei dat medewerkers vooraf een Verklaring Omtrent Gedrag (VOG) moeten inleveren, maar veel medewerkers waren al een poos aan het werk voordat ze een VOG inleverden.

Foto: Omrop Fryslân, Aise van Beets

Zorgen bij Friezen

De Graaf geeft aan dat men er alles aan doet om zo veilig mogelijk te werken. Maar toch merkt ze ook dat sommige Friezen zorgen hebben over het datalek. "Mensen vragen vooral hoe het zit met de gegevens en willen weten of het hen ook is overkomen. Get is aan ons om het vertrouwen te herstellen. Maar je kunt mensen niet altijd duidelijk maken dat je te goeder trouw handelt."

Volgens De Graaf valt het nog mee in hoeverre wantrouwen in de testcijfers doorwerkt. "We zien het een beetje terug, maar ook weer niet veel. Daar zijn we wel blij mee, want het blijft toch belangrijk om je te laten testen. Mensen mogen wel voorzichtig zijn als er iemand belt uit naam van de GGD en men vertrouwt het niet helemaal. Hang dan gewoon op en bel ons zelf terug. Dat is wat extra drukte, maar als je het niet vertrouwt: doe dat."

Tegen heug en meug

Hoepman vindt ook dat mensen zich gewoon moeten laten testen. "Het moet je niet weerhouden, maar ik zeg het wel tegen heug en meug. Want ik vind het ernstig. Je wilt niet dat dit soort dingen gebeuren. Mensen moeten gebruik kunnen maken van diensten van de overheid zonder dat dit gebeurt. Het is lastig om het snel te doen, maar ook onder hoge druk is het van belang. En eerlijk gezegd is het ook weer niet zo moeilijk. Als men er een week langer voor had uitgetrokken, was men al veel beter voorbereid."

De Tweede Kamer wil volgende week in debat over de databeveiliging van de GGD's. De politiek is er niet over te spreken dat de GGD er laks mee omgegaan is dat dat signalen van eigen medewerkers niet serieus werden genomen.

Privacy-deskundige Jaap Henk Hoepman fan Rijksuniversiteit Groningen

(Advertentie)
(Advertentie)