Schriftelijke inbreng over Datalek bij de coronasystemen van de GGD

Bijdragen
Schriftelijke inbreng over Datalek bij de coronasystemen van de GGD

28 januari 2021

De leden van de fractie van de Partij voor de Dieren maken zich grote zorgen over de volstrekt gebrekkige omgang met (medische) privégegevens bij de GGD. Daarnaast zijn zij verontwaardigd over de onvolledige en incorrecte wijze waarop de minister van Volksgezondheid, Welzijn en Sport de Tweede Kamer daar bij het mondelinge vragenuur van dinsdag 26 januari 2021 over informeerde.

De leden van de fractie van de Partij voor de Dieren hebben de afgelopen jaren al regelmatig gewezen op de gebrekkige infrastructuur die gebruikt wordt bij de digitalisering van de zorg. Zij zijn daarom ook niet verrast dat het hier is mis gegaan. Het belang van de privacy en het veilig houden van de (medische) gegevens sneuvelt telkens wanneer andere belangen zich aandienen. De fundamentele fout die gemaakt wordt is dat het beschermen van de privacy gezien wordt als iets wat afgewogen kan worden tegenover andere belangen. Maar de bescherming van medische gegevens en het waarborgen van de privacy zou een harde randvoorwaarde moeten zijn. Kan een systeem daar niet aan voldoen? Dan kan het in principe niet ingevoerd worden.
Kan de minister bevestigen dat een systeem dat niet ontworpen is vanuit de gedachte om de privacy maximaal te beschermen een slecht systeem is en daarom aangepast of vervangen zou moeten worden?

Dan vragen de leden naar het concrete voorval bij de GDD. De leden van de fractie van de Partij voor de Dieren vinden het zeer verontrustend dat dit zo mis heeft kunnen gaan. Mensen moeten zich kunnen laten testen zonder dat zij zich daarbij zorgen te moeten maken of dieven er met hun gegevens vandoor kunnen gaan, met alle zeer kwalijke gevolgen van dien. Hoe gaan we ervoor zorgen dat er niet minder mensen zich laten testen de aankomende tijd? En hoe gaan we zo snel mogelijk alle mensen waarvan de gegevens zijn gestolen op de hoogte brengen?
Kan de minister bevestigen dat de GGD’en nog geen enkel idee hebben van de omvang van het lek en het mogelijke misbruik? Klopt het dat de GGD’en nog niet eens weten welke systemen kwetsbaar zijn en welke niet? En zo ja, wat is de reactie van de minister daarop en wat gaat de minister er dan aan doen?

De leden van de fractie van de Partij voor de Dieren vragen of de minister kan aangeven of de werkwijze, zoals beschreven in het RTL artikel[1], inmiddels onmogelijk is gemaakt? Op welke wijze is er ingegrepen in de fysieke infrastructuur van de ICT-systemen? Welke aanpassingen zijn gedaan aan welke specifieke systemen? Welke andere kwetsbaarheden zijn er ontdekt? Welke signalen waren er al voor de publicatie van RTL bij de GGD’en dat de veiligheid van de medische gegevens absoluut niet gewaarborgd kon worden? Wat is er met die signalen gebeurd?

De leden van de fractie van de Partij voor de Dieren vragen hoe het kan gebeuren dat terwijl de systemen niet op orde zijn de GGD-GHOR op haar website zet; “We zorgen ervoor dat we werken met veilige systemen. We testen dat of we laten dat doen.”[2] Op welke manier is getest of de systemen veilig waren? En wat was dan de uitkomst van die testen? De leden van de fractie van de Partij voor de Dieren ontvangen graag deze testresultaten.

In het mondeling vragenuur gaf de minister aan dat de beveiliging van de systemen onvoldoende was en nu is aangescherpt. Allereerst zijn de leden van de fractie van de Partij voor de Dieren van mening dat de beveiliging slechts de laatste schil om het systeem zou moeten zijn en dat het systeem in haar opzet al veel veiliger zou moeten zijn. Maar de leden hebben ook enige vragen over de beveiliging. De minister zei dat deze voldoet aan de laatste NEN-norm. Bedoelt hij dan alleen de NEN 7510? Of ook de subnorm NEN-7512 aangezien GGD’en, RIVM en callcenters ook gegevens uitwisselen?
Van de NEN-7512 merkte de Partij voor de Dieren in 2019 al op dat die onvoldoende veilig is.[3] Een constatering die later door een kamerbrede meerderheid gesteund werd bij monde van de motie die verzocht om te kijken of bijvoorbeeld minimaal end-to-end encryptie ingevoerd kon worden.[4] De minister gaf in reactie op die motie aan dat in het eerste kwartaal van 2021 de NEN-norm herzien zou zijn. Is dat inmiddels het geval? En wanneer is de NEN 7510 voor het laatst herzien? En als ook NEN-7512 hier betrekking heeft en de systemen aan de ‘laatste NEN-norm’ voldoen om welke norm gaat dat dan? De oude norm waarvan al geconcludeerd was dat die onvoldoende veilig was of de nieuwe die in dit kwartaal klaar zou zijn?

Klopt de berichtgeving dat een groot aantal medewerkers bij de GGD en de callcenters geen VOG heeft overlegd? Kan de minister aangeven waarom hij dan bij het mondelinge vragenuur meermaals aangaf dat medewerkers een VOG moeten overleggen. Was hij er niet van op de hoogte dat dit niet gebeurd? Kan de minister aangeven hoe het kan gebeuren dat er mensen waren die geen VOG konden overleggen en wel een strafblad blijken te hebben en die toch toegang kregen tot de medische privégegevens van vele duizenden mensen?

Kan de minister aangeven wat hij bedoelt met de uitspraak; “Sinds de start van de pandemie controleert de GGD uiteraard continu het gebruik van de systemen”. Wat wordt er bedoelt met het woord ‘continu’? Is er een vorm van continu toezicht? Zoals het tracken van de handelingen die medewerkers doen? Of is er af en toe een steekproef en gebeurd dat met enige continuïteit?
Deelt de minister de mening van de leden van de fractie van de Partij voor de Dieren dat steekproeven geen vorm van ‘continu toezicht’ zijn? Zo nee, waarom niet?

De minister gaf verder in zijn verweer aan: “De mensen die werken bij de GGD hebben alleen toegang tot persoonsgegevens wanneer dit noodzakelijk is.” Kan de minister bevestigen dat medewerkers ook wanneer dit niet noodzakelijk was gewoon fysieke toegang tot de systemen hadden? Kan de minister dan aangeven waarom hij de Kamer vertelde dat dit niet zo was?
De leden vragen de minister in zijn antwoord op bovenstaande vraag niet te verwijzen naar het gegeven dat de medewerkers wettelijk gezien geen toegang hadden. Het gaat hier niet om de wettelijke toegang maar om de fysieke toegang. De fysieke mogelijkheid om de gegevens in te zien en te downloaden.

Dat punt, het kunnen downloaden van gegevens, is een andere zorg van de leden van de fractie van de Partij voor de Dieren. Kan de minister aangeven welke ICT-systemen die gebruikt worden bij de bestrijding van het coronavirus een zogeheten export functie hebben (gehad)? Kan de minister aangeven hoeveel medewerkers (dus niet fte, maar medewerkers) toegang hadden tot elk van de gebruikte systemen? Kan de minister aangeven hoeveel gegevens/dossiers voor het merendeel van die medewerkers in te zien waren? Kan de minister ook aangeven hoeveel medewerkers (graag een getal) toegang hadden tot een ‘exportfunctie’? Was er enige vorm van toezicht op het gebruik van die exportfunctie (logging)? Kan de minister aangeven waarom deze exportfunctie was ingevoegd? Welk doel diende deze en waarom was de toegang ertoe niet verder beperkt?

Kan de minister reflecteren op zijn uitspraak: “De GGD heeft uiteraard alles gedaan wat nodig en mogelijk is om de systemen verder te beveiligen.” Staat hij nog altijd achter die bewering? Dat alles gedaan is wat nodig was?

Voor de leden van de Partij voor de Dieren is de inzet van de minister op dit moment niet voldoende. De minister geeft aan dat medewerkers alleen toegang tot de systemen hebben wanneer dat noodzakelijk is. Dat is incorrect en in zichzelf niet voldoende waarborg. De minister kan niet alleen blijven vertrouwen op het goede gedrag van de callcenter- of GGD-medewerkers. Het systeem moet ingericht zijn om ook bij overtredingen of misstanden de privacy van mensen zo goed als mogelijk te waarborgen.
Is de minister bereid te kijken in hoeverre het bestaande systeem en de werkwijze daarvoor kan worden aangepast? Is de minister bereid te kijken of het systeem en de werkwijze zo kunnen werken dat a) zo min mogelijk medewerkers toegang nodig hebben, b) medewerkers die toegang hebben dan toegang hebben tot zo min mogelijk gegevens, c) de toegang expliciet niet mogelijk is wanneer deze ook niet nodig is, d) er een continue controle is op welke gegevens door wie geraadpleegd worden en e) de beveiliging van de systemen op het hoogst denkbare niveau is? Is de minister bereid deze stappen te nemen? Zo ja, op welke termijn gaat dat lukken?

Is de minister bereid om voor de stappen die genomen moeten worden de kennis en kunde die in het afgelopen jaar werd aangetrokken weer in te zetten? De leden van de fractie van de Partij voor de Dieren zagen dat bijvoorbeeld dat na aandringen bij de ontwikkeling van de CoronaMelder een sterke focus op privacy ontstond. Wat de leden betreft hoort deze focus standaard te zijn.

De leden van de fractie van de Partij voor de Dieren vragen de minister verder naar de verantwoordelijkheid voor de verwerking van deze gegevens. De minister verwees in de Kamer naar de individuele instellingen. Elke instelling is verantwoordelijk voor haar eigen systemen. Kan de minister aangeven wie er verantwoordelijk was voor de systemen die hier gebrekkig zijn gebleken? En kan de minister aangeven op welk moment het zijn verantwoordelijkheid wordt? Hoeveel voorvallen in de zorg moeten er nog zijn voordat er eindelijk eens grondig de bezem door alle systemen heen gaat? De voorbeelden zijn legio en de zorg is al jarenlang de sector met de meeste datalekken in de jaarrapportages van de Autoriteit Persoonsgegevens. Op welk moment gaat de minister beseffen dat er iets fundamenteel mis is? Dat de huidige visie en werkwijze tekort schiet.
.
Een van de voorbeelden waar het ook mis is en waar dezelfde problematiek speelt als bij de GGD systemen is de Corona Opt-In. Normaal gesproken moet voor het inzien van medische gegevens expliciete toestemming zijn gegeven. In de eerste golf van de corona crisis heeft de minister dit aangepast. Vanaf dat moment konden de dossiers van mensen die niet hebben aangegeven of ze toestemming geven of niet voor de inzage van hun medische dossiers ook worden ingezien. Daarmee werden 8 miljoen medische dossiers fysiek toegankelijk voor heel veel mensen die daar niets mee te maken hebben. Kan de minister aangeven waarom deze maatregel, die werd ingesteld toen er noodtenten voor de spoedeisende hulp stonden, nu nog altijd nodig is? Had er in de tussentijd geen andere oplossing gevonden kunnen worden? Is de Autoriteit Persoonsgegevens nog altijd akkoord met deze uitzondering? Is de minister bereid de Autoriteit Persoonsgegevens opnieuw om een advies te vragen op dit punt? Zo nee, waarom niet?

Kan de minister bevestigen dat, net zoals bij de GGD, bij de Corona Opt-In een ongelofelijke hoeveelheid mensen fysiek toegang hebben tot de medische gegevens (meer dan 8 miljoen dossiers) waar zij niets mee van doen hebben? Kan de minister bevestigen dat ook hier er nauwelijks toezicht is of de inzage in deze gegevens wel rechtmatig en met toestemming gebeurd? Kan de minister de Kamer laten weten op welke manier er nu toezicht gehouden wordt op de raadplegingen en of deze rechtmatig zijn? Is het denkbaar dat ook hier gegevens op verzoek verkocht worden? Welke zekerheid heeft de minister dat dit niet het geval is?
Ziet de minister de parallel tussen de problematiek bij de GGD, de Corona Opt-In en bijvoorbeeld het verhaal waarover NRC schreef op 6 december jongstleden[5]. Allemaal voorbeelden van ICT-systemen in de zorg waarbij de toegang tot medische gegevens veel te ruim is geregeld en het toezicht op de inzage ervan gebrekkig is of ontbreekt. Ziet de minister in dat het Landelijk Schakelpunt precies dezelfde tekortkoming kent en daarom de welhaast onoplosbare problematiek van de Gespecificeerde Toestemming voortbrengt? Is de minister bereid de huidige plannen voor de (verdere) digitalisering van de zorg op dit moment in ieder geval niet verder door te zetten? En is de minister bereid om de omgang met medische gegevens radicaal te gaan herzien vanuit het belang van de privacy? Alles minder is naar de mening van de leden van de fractie van de Partij voor de Dieren slechts het dweilen terwijl de kraan nog loopt.