De Autoriteit Persoonsgegevens (AP) draagt de 25 GGD’en en brancheorganisatie GGD GHOR Nederland op om op korte termijn meer maatregelen te nemen om persoonsgegevens beter te beschermen. Uit onlangs afgerond onderzoek van de AP blijkt namelijk dat er nog steeds wezenlijke risico’s bestaan voor de bescherming van persoonsgegevens bij het testen, vaccineren en het bron- en contactonderzoek tijdens de coronapandemie.
Juist nu het aantal besmettingen en ziekenhuisopnames weer zo snel toeneemt, is het essentieel dat mensen vertrouwen hebben in de GGD en niet schromen zich te laten testen of vaccineren. Monique Verdier, vicevoorzitter van de AP: 'We hebben al eerder om opheldering gevraagd bij GGD GHOR over de verwerking van persoonsgegevens in verband met corona. Toen in januari 2021 bleek dat er persoonsgegevens uit de GGD-systemen waren gestolen en werden verhandeld, hebben we het toezicht op de GGD geïntensiveerd.'
Verdier: 'GGD GHOR en de GGD’en hebben verschillende verbeteringen doorgevoerd. Zo is de zoekfunctie beperkt en de groep personen die gegevens uit de systemen kan exporteren aanzienlijk beperkt.'
'Maar na onderzoek is ons duidelijk geworden dat dit nog onvoldoende is en er nog verdere verbeteringen nodig zijn. Dat moet snel gebeuren. Daarom sturen we nu deze indringende brief aan GGD GHOR. En moet GGD GHOR over de voortgang van die verbeteringen aan ons rapporteren.'
Er zijn veel partijen betrokken bij de bestrijding van het coronavirus. Dat betekent dat er duidelijke afspraken moeten zijn over wie wat moet doen om de persoonsgegevens goed te beveiligen.
In de praktijk is echter in veel gevallen niet duidelijk genoeg waar de verantwoordelijkheid voor bepaalde beveiligingsmaatregelen ligt.
Ook ontbreken duidelijke afspraken hierover tussen GGD GHOR en de GGD’en onderling en met de vele samenwerkingspartners, zoals callcenters, alarmcentrales, uitzendbureaus en IT-leveranciers.
Verdier: 'Met het uitbreken van de pandemie werden de GGD’en voor een enorme opgave gesteld. Zij moesten in zeer korte tijd zorgdragen voor het op grote schaal testen van personen, het uitvoeren van bron- en contactonderzoek en het vaccineren van personen.'
'Hoewel wij als AP begrip hebben voor hoe lastig deze opgave was, is het hoe dan ook essentieel dat mensen vertrouwen houden in de GGD. En dat zij niet gaan aarzelen om zich te laten vaccineren of testen door de angst dat daarna hun persoonsgegevens op straat belanden.'
'Dat mag nooit een drempel zijn. Vooral ook omdat het hier om een uitzonderlijk grote groep mensen gaat. Zeker nu het virus weer zo snel om zich heen grijpt, moet dit bij de GGD echt in orde zijn.'
GGD GHOR en de GGD’en werken aan de vervanging van de ICT-systemen voor bron- en contactonderzoek.
De AP wil ook geïnformeerd worden over de beveiligingsmaatregelen die zij in die nieuwe systemen treffen. Want een nieuw systeem betekent niet automatisch dat persoonsgegevens ook beter zijn beschermd.
In januari van dit jaar meldde RTL-nieuws dat medewerkers van de GGD persoonsgegevens van miljoenen Nederlanders uit twee belangrijkste coronasystemen hadden gedownload en te koop aanboden op internet. Gevoelige gegevens zijn zo in handen gekomen van criminelen en doorverkocht. De daders zijn inmiddels veroordeeld.
Eerder berichtten Nieuwsuur en RTV-Oost al over de mogelijkheden voor onbevoegden om toegang te hebben tot de gegevens van mensen die zich hadden laten testen.
Het ging in alle gevallen om toegang tot adressen, telefoonnummers, burgerservicenummers en testresultaten, afkomstig uit de systemen van de GGD. De AP werd destijds overspoeld met vragen van ongeruste burgers.
Voor de AP was dat destijds reden om het toezicht op de GGD te intensiveren en een onderzoek te starten.