Bijdrage Van Esch aan Debat over een priva­cylek in de systemen van de GGD


3 februari 2021

Voorzitter,

Niemand van ons wil hier staan. En de minister zit liever ook ergens anders. Maar zo is het elke keer bij een datalek in de zorg. En die zijn er helaas nog al eens. Het is al jaren de sector met de meeste datalekken. GGD, GGZ, Donorregister, Ziekenhuiszorg. Het is telkens raak.

En nu zitten er miljoenen mensen in de rats. Vragen zich af of hun gegevens gelekt zijn. Sommige vragen zich letterlijk af of ze thuis nog wel veilig zijn. En dan is het pijnlijk, ook voor die mensen, dat de minister eigenlijk nog altijd geen idee heeft van hoe groot dit lek is en van wie welke data gelekt is.

Dat helpt ook niet in het terugwinnen van het vertrouwen voor het bron- en contactonderzoek en het testbeleid. Is nog in de eigen systemen te achterhalen hoe groot het lek was?

En wat ook niet helpt bij het terugwinnen van het vertrouwen is als de minister naar de Kamer komt en ons verzuchtend en feitelijk onjuist antwoord. Hij biedt daar in zijn brief enigszins verontschuldigingen voor aan maar ik vond het wel tekenend. Tekenend voor het gebrek aan besef van wat de consequenties zijn als mogelijk miljoenen gegevens verloren raken. Dat is letterlijk levensgevaarlijk. Privacy en databeveiliging is geen sluitstuk, het is de basis.

Allereerst wil ik van de minister weten waarom er niet eerder in het jaar aandacht is geweest voor de privacy bij de GGD. We zitten sinds maart in deze penarie en lezen dat er vooral in november en december iets meer aandacht voor de privacy kwam. Maar hoe kan dat? Zeker als de Kamer in april zo duidelijk heeft gemaakt hoe zeer ze daar aan hecht. Was er echt niemand op het ministerie die dacht: Goh, als ze het bij de app zo goed dichtgetimmerd willen hebben dan zullen ze dit lekke vergiet bij de GGD vast ook niet goed vinden?

Ten tweede, is de minister nog altijd van mening dat alle callcentermedewerkers toegang moeten hebben tot alle dossiers? Want dat strookt alleen in opzet al niet met de principes van privacy by design. Hoe wordt nu gewerkt aan het terugbrengen van de toegang? Zowel van het aantal dossiers waartoe iemand toegang heeft als het aantal mensen dat die toegang heeft?

Dan wil ik nog kort ingaan op de Corona Opt-In. De minister noemt het niet vergelijkbaar maar in de basis kent het precies
hetzelfde gevaar. Namelijk grote hoeveelheden privégegevens die in te zien zijn voor grote groepen mensen die eigenlijk geen fluit met jou te maken hebben. 8 miljoen mensen hebben er nooit toestemming voor gegeven en toch kunnen medewerkers van huisartsenposten, spoedeisende hulpen en apotheken gluren, en als ze zouden willen.. handelen in de medische gegevens van die mensen. Net zoals GGD-medewerkers dat konden. Is het echt niet mogelijk om terug te gaan naar de wettelijk vereiste toestemming?

En de corona Opt-In en de andere datalekken die ik noemde, het zijn wat mijn fractie betreft voorbeelden van een bredere misstand. Altijd maar weer worden systemen opgetuigd met de focus op wat er allemaal kan met data. En eigenlijk nooit met de focus op wat er allemaal niet zou moeten kunnen met die data.

Wat mijn fractie betreft moet de minister inzien dat er jaren aan de verkeerde weg is getimmerd. Dat breed in de zorg ICT-systemen terug naar de tekentafel moeten, NEN-normen aangescherpt en dat voortaan privacy op 1, 2 en 3 moet staan.

Tot dat gebeurd, is het vrees ik, wachten tot we hier weer staan.