Gegevens van burgers te grabbel gegooid

Opnieuw zijn er problemen met ICT bij de overheid, ditmaal bij de GGD. Privacygevoelige gegevens waren eenvoudig bereikbaar voor criminelen en zijn doorverkocht. Wat gaat de regering hieraan doen? “Een overheid die zelf de gegevens van haar burgers te grabbel gooit; het is ongekend en ongehoord!”, zei Corrie van Brenk.

Data GGD

50PLUS is enorm geschrokken en geïrriteerd door het ICT-drama bij de GGD’s. Het lek is zo groot dat je het haast geen lek meer kunt noemen, hield fractievoorzitter Corrie van Brenk het kabinet voor. “Dit is geen privacylek meer, dit is het wijd openzetten van alle ramen en deuren, met de hartelijke uitnodiging binnen te komen. En dát van een regering, demissionair of niet, die zelf cybersecurity tot één van haar prioriteiten heeft verklaard. Een overheid die zelf de gegevens van haar burgers te grabbel gooit; het is ongekend en ongehoord!”

Walhalla voor criminelen

Hoe heeft dit kunnen gebeuren? Waarom is er niet eerder ingegrepen? En waarom gaat het aanpakken en oplossen van de belangrijkste, primaire kwetsbaarheden nog tot maart duren? Gaat de overheid mensen die slachtoffer worden van deze hack, als er misbruik wordt gemaakt van hun gegevens, juridisch of financieel bijstaan? En realiseert de regering zich dat, met alles wat er al niet goed gegaan is, dit funest is voor het vertrouwen dat Kamer én burger hebben in deze minister? Dat waren enkele vragen die Corrie op minister De Jonge afvuurde. “Dit is een walhalla voor criminelen die kwaad willen met andermans gegevens”, hield de fractievoorzitter de verantwoordelijke bewindslieden voor.  

De volledige inbreng van fractievoorzitter Corrie van Brenk bij het debat over het privacylek bij de GGD met minister De Jonge van VWS en minister Dekker van Rechtsbescherming:

“We hebben het al vaker gezegd: de overheid en ICT, dat is geen gelukkige combinatie. Op zich al een understatement, maar de overheid heeft zichzelf hier overtroffen; in negatieve zin wel te verstaan.
Dit is geen privacylek meer te noemen; dit is het wijd openzetten van alle ramen en deuren, met de hartelijke uitnodiging binnen te komen. En dát van een regering, demissionair of niet, die zelf cybersecurity tot één van haar prioriteiten heeft verklaard. Een overheid die zelf de gegevens van haar burgers te grabbel gooit; het is ongekend en ongehoord!

De minister heeft vorige week in het Vragenuur de zaak echt gebagatelliseerd. Ja, er is een probleem, maar nee, het is niet zo erg als u zegt. In de brief van gisteravond werd dat toch weer genuanceerd.

De systemen zijn niet ingericht op een taak van deze omvang. Het is ingericht op de oorspronkelijke GGD-taken, niet op een pandemie. En zo kan het gebeuren dat GGD-medewerkers toegang hebben tot een onvoorstelbare hoeveelheid privégegevens, waar zij helemaal geen toegang toe zouden moeten hebben. Daarnaast zijn er overhaast mensen aangenomen, zonder noemenswaardige screening en soms zonder VOG.

Een walhalla voor criminelen die kwaad willen met andermans gegevens.

Zo gemakkelijk is het nog nooit geweest om privégegevens te verkrijgen; de overheid zelf heeft hen de moeite van een hack bespaard. Goed beschouwd is het een wonder dat het nog zo lang geduurd heeft voordat er iemand aan de haal ging met deze gegevens.

In het feitenrelaas lezen we dat in mei vorig jaar over CoronIT werd gesteld: ‘Hierbij wordt voldaan aan de eisen van veilig gebruik van gegevens bij burgers’. Waarop was die uitspraak destijds gebaseerd?

Op 16 september meldt Nieuwsuur dat testmedewerkers bij gegevens konden die voor hen niet noodzakelijk waren. Een dag later meldt de IGJ ‘dat steeds meer stabiliteit en koppelingen ontstaan waardoor de knelpunten op ICT-gebied steeds minder werden’.

Tussen mei en september is er volgens het feitenrelaas weinig gebeurd waaruit bleek dat er veiligheidsproblemen waren. Toch heeft de Inspectie het over knelpunten. Er moeten in de tussentijd dus signalen zijn geweest. Kan de minister hierop ingaan? En wordt er alsnog een BIT-toets uitgevoerd?

Uit de brief maken we ook op dat pas in maart alle op korte termijn te realiseren maatregelen uitgevoerd zijn. Waarom is dat niet eerder gebeurd? Zitten we dus nu nog een maand met een onveilig systeem?! En pas deze week worden de toegang en zoekmogelijkheden beperkt. Waarom is dat niet eerder gebeurd?

En wil dit lek zeggen dat ook de gegevens van mensen die voor de ‘reguliere’ GGD-taken daar zijn geweest op straat liggen?

De hamvraag is: wie is nu eigenlijk écht eindverantwoordelijk voor dit drama? Is dat voorzitter Rouvoet, die eindverantwoordelijk is voor het functioneren van de GGD’s waar de signalen van medewerkers zijn genegeerd? Of is het de minister?

Mensen maken zich ernstig zorgen over hun gegevens. Het is duidelijk dat er inmiddels gegevens zijn doorverkocht, dus dat is meer dat terecht. Zijn de gegevens van mensen inmiddels écht veiliggesteld? Wat als criminelen slagen in hun opzet om, ik noem maar wat, leningen af te sluiten op naam van onschuldige mensen? Wat doet u om de schade te beperken? De verwijzing naar enkele algemene websites, zoals in de brief gebeurt, is wat ons betreft veel te mager. Wie compenseert hun schade, bijvoorbeeld ook voor juridische bijstand?

Kort en goed: het is de zoveelste keer dat deze minister van VWS de zaken niet onder controle heeft. Het gevoel bekruipt ons dat het een maatje te groot begint te worden voor deze minister. Het is al té vaak gebeurd dat hij zich een weg uit de problemen probeert te bluffen.

Burgers moeten durven blijven komen naar bijvoorbeeld de teststraten, ze moeten niet bang hoeven te zijn voor hun privégegevens. Het is enorm belangrijk dat mensen erop kunnen vertrouwen dat hun gegevens veilig zijn!”

► Volg 50PLUS; meld u aan voor de gratis digitale nieuwsbrief!

© 3 februari 2021