Autoriteit Persoonsgegevens wil opheldering van GGD over datalek

 

Man had wekenlang na zijn ontslag nog steeds toegang tot de database

Eerder deze week kwam naar buiten dat er een ernstig datalek was bij callcenterbedrijf Teleperformance. De GGD huurt dit bedrijf in om enerzijds afspraken voor de coronateststraten vast te leggen, en anderzijds om mensen te informeren die een negatieve uitslag hebben. Voordat de callcentermedewerkers aan de slag gaan, krijgen zij deelnemen aan een meerdaagse training. Een man uit Steenwijk deed dit, maar kreeg tijdens het traject te horen dat hij de opleiding niet mocht afmaken. Toen hij begon aan zijn training, kreeg hij direct de toegangsgegevens tot het systeem waar persoonsgegevens van mensen die zich willen laten testen of zich hebben laten testen in vastgelegd zijn. Medewerkers in opleiding moeten immers hoe het programma in elkaar steekt. Op dat moment hebben zij toegang tot allerlei privégegevens, waaronder personalia, geboortedatum, adres, telefoonnummer, burgerservicenummer, testafspraken, testuitslagen en medische voorgeschiedenis. Nadat de man uit Steenwijk zijn ontslag kreeg, moest zijn account natuurlijk geblokkeerd worden. Dat gebeurde echter niet. Een maand nadat hij met de training was gestopt, kon de man nog steeds met zijn gegevens inloggen in het systeem van de GGD. Dat is een serieus datalek. Diverse media hebben daarom aandacht besteed aan de kwestie.

‘Het medisch beroepsgeheim is aan de orde’

Het datalek is voor zover bekend niet gemeld bij de Autoriteit Persoonsgegevens. Dat wil niet zeggen dat de toezichthouder niet op de hoogte is van het lek. Aleid Wolfsen was donderdag te gast bij BNR Nieuwsradio. Hij was daar om te praten over het structurele personeelstekort en toegenomen werkdruk door de naderende Brexit en de coronacrisis. In de uitzending stond de bestuursvoorzitter ook stil bij het lek bij de GGD. “Het kan absoluut niet. Het medisch beroepsgeheim is hier aan de orde. Als jij iets over je gezondheid deelt met een ander, moet die daarover zwijgen. Zeker als die in de medische wereld werkt. Dat moet goed beveiligd zijn en daar mag je alleen bij als het ook echt moet. Dat mag je zeker niet delen met iemand die daar niet bij kan. Dat is gewoon heel vervelend.”

‘GGD is zelf verantwoordelijk voor de beveiliging van persoonsgegevens’

Wolfsen zegt dat een grote groep burgers contact opnam met de Autoriteit Persoonsgegevens, omdat ze zich zorgen maakte over de kwestie. De AP-bestuursvoorzitter vindt het dan ook heel goed dat de media hier aandacht aan hebben besteed. Voor hem is het aanleiding om vragen te stellen aan de GGD GHOR. Wolfsen wil weten hoe het zit en of het verhaal klopt. Hij benadrukt dat de GGD-afdelingen zelf verantwoordelijk zijn voor de beveiliging van patiëntgegevens en dat zijn organisatie daarop toeziet. “Het moet echt netjes, goed en privacyvriendelijk gebeuren. Wat privé is, in dit geval je gezondheid, moet ook privé blijven”, aldus Wolfsen. De AP-topman snapt dat er tijdens de training weinig aandacht wordt besteed aan privacy: het callcenter is immers druk bezig om personeel te werven en wil die zo snel mogelijk kunnen inzetten. Volgens Wolfsen weten veel ondernemers ook vrij weinig over privacyvraagstukken. Maar door puur je “gezonde verstand” te gebruiken kom je volgens Wolfsen al een heel eind. Als iemand zijn medische gegevens aan jou geeft, dan snapt men heus wel dat je deze niet met de buurman mag delen. “Zo heel ingewikkeld is het dus niet”, aldus Wolfsen. Op de vraag of een boete op zijn plaats is, zegt Wolfsen dat hij niet op de conclusie vooruit wil lopen. Eerst moeten de feiten boven tafel komen en, indien nodig, “zorgvuldig onderzoek” verricht worden. Pas daarna kan er over een eventuele boete gesproken worden.

SP stelt schriftelijke vragen: ‘Hoe lang speelt dit al?’

Niet alleen de privacytoezichthouder is kritisch over het datalek bij de GGD. Maarten Hijink (SP) heeft naar aanleiding daarvan schriftelijke vragen gesteld aan minister Hugo de Jonge van Volksgezondheid, Welzijn en Sport. Het Kamerlid wil weten hoe lang het al speelt, of het ministerie hiervan op de hoogte is en of de AVG wordt overtreden. Tot slot wil hij van de minister weten welke aanvullende maatregelen hij en de GGD gaan nemen om herhaling in de toekomst te voorkomen.