Door: Ans Duthler
Met meer dan gemiddelde belangstelling volgen wij de berichtgeving rondom het omvangrijke en ernstige datalek bij de GGD dat werd ontdekt door RTL Nieuws.
Het datalek dat in twee GGD systemen heeft plaatsgevonden, is omvangrijk in alle opzichten. Het gaat om miljoenen persoonsgegevens, het gaat om grootschalige handel in deze gegevens, het gaat om veel soorten gegevens, het treft miljoenen mensen en het risico op privacy inbreuken is zeer groot. De verzameling persoonsgegevens is zeer waardevol voor (criminele) organisaties. De angst voor oplichting en identiteitsfraude is dan ook reëel. Het komt niet vaak voor dat er zoveel burger servicenummers geraakt zijn door één datalek in Nederland.
Gevolgen van het datalek
Veel burgers zijn terecht bezorgd over de mogelijke gevolgen van dit omvangrijke datalek. De Autoriteit Persoonsgegevens geeft op haar website aan overspoeld te worden door de vele telefoontjes en verwijst uitdrukkelijk naar de GGD voor meer informatie. Op de website van de GGD is echter wel informatie te vinden over het datalek, maar een informatielijn waar bezorgde burgers naartoe kunnen bellen ontbreekt.
Het is pijnlijk om te lezen hoe beperkt de Coronasystemen beveiligd lijken te zijn. Je verwacht een hoge beveiliging, zowel organisatorisch als technisch, zeker nu er ook gevoelige gegevens als BSN en medische informatie worden verwerkt van zoveel mensen. Maar wat blijkt? Medewerkers worden aan de poort gecontroleerd (VOG en geheimhoudingsverklaring), steekproefsgewijs vinden er controles plaats en de systemen worden beschermd tegen aanvallen van buitenaf. Op welke wijze dat gebeurt, is onduidelijk. Er vinden geen continue monitoring en controle van login plaats en een goed autorisatiebeheer lijkt te ontbreken. Er kunnen te veel GGD medewerkers bij te veel gegevens.
Dat bij de toelichting op getroffen maatregelen begonnen wordt met de opmerking dat medewerkers een VOG moeten overleggen en aansprakelijk zijn als ze de geheimhoudingsverklaring schenden, is veelzeggend. Het overleggen van een VOG en het tekenen van een geheimhoudingsverklaring kan een sluitstuk zijn van een veelheid aan beveiligingsmaatregelen, maar zijn zeker niet de belangrijkste. Bovendien, deze medewerkers zullen toch niet persoonlijk aansprakelijk gesteld worden voor de schade die burgers lijden? Hooguit kan het arbeidsrechtelijke consequenties hebben.
Privacy en bescherming persoonsgegevens zijn grondrechten
Als dit het is, vragen wij ons af hoe serieus privacy en bescherming van persoonsgegevens genomen zijn. Privacy en bescherming van persoonsgegevens zijn grondrechten. Als burger moet je erop kunnen vertrouwen dat organisaties de (bijzondere) gegevens, die je aan ze toevertrouwt, goed beveiligen. Als dat niet zo blijkt te zijn, zoals in het geval van het GGD datalek, dan krijgt dit vertrouwen een deuk. Door in de media dit zeer ernstige datalek te bagatelliseren met “de GGD had niet veel meer kunnen doen om verlies van deze data te voorkomen”, “iemand die echt kwaad in de zin heeft, daar is geen kruid tegen gewassen”, wordt het vertrouwen eerder meer geschaad dan hersteld.
Natuurlijk is een datalek nooit helemaal te voorkomen. Maar de risico’s op een datalek moeten zo veel als mogelijk worden gereduceerd. De GGD is hierin pijnlijk tekort geschoten.
Uit ervaring weten wij dat de bescherming van persoonsgegevens en de privacy van betrokkenen door diverse organisaties gelukkig wel serieus wordt genomen. Deze organisaties zijn constant bezig om te voldoen aan privacywetgeving, om ervoor te zorgen dat de technische en organisatorische maatregelen passend zijn en afgestemd op het risico van de verwerkingen. Deze organisaties investeren in kennis van hun medewerkers, in goed opgeleide FG’s die daadwerkelijk toezicht houden op de naleving van de AVG.
Regie bij de betrokkene
Zij realiseren zich terdege dat privacy by design en privacy by default geen loze begrippen zijn, dat een datalek geen ‘Act of God‘ is waar geen ‘kruid tegen gewassen is’ en dat privacy en bescherming van persoonsgegevens grondrechten zijn. Deze organisaties beseffen ook dat de regie over persoonsgegevens uiteindelijk bij de betrokkene ligt, en dat dit goed moet worden geregeld. Als burger, als betrokkene, weet je dat jouw persoonsgegevens er in goede handen zijn. Het onderwerp privacy en bescherming van persoonsgegevens staat er daadwerkelijk op de agenda.
Juist van een publieke organisatie als de GGD mag je als burger verwachten dat privacy en bescherming van persoonsgegevens, de grondrechten die onze democratie en onze rechtstaat beschermen, worden gerespecteerd. Als dit niet gebeurt, is dat ontluisterend en schendt dat het vertrouwen in de overheid in ernstige mate.
Het herstellen van het vertrouwen zal een lastige opgave zijn. Het begint in ieder geval met het respecteren van de grondrechten van de burgers, met het serieus nemen van privacy en bescherming van persoonsgegevens en dat daadwerkelijk implementeren in organisaties.
Meer informatie
Heeft u vragen of heeft u behoefte aan een afspraak? Neem gerust contact met ons op via +31 0 (70) 392 22 09 of info@duthler.nl.