image

GGD-medewerkers bekeken ongeoorloofd dossiers van BN'ers

dinsdag 3 november 2020, 16:39 door Redactie, 24 reacties

Enkele medewerkers van de GGD hebben dossiers van twee bekende Nederlanders bekeken die een coronatest lieten doen. Dat meldt GGD GHOR, de koepelorganisatie van de GGD'en en GHOR-bureaus, via de eigen website. In de dossiers staan bsn-nummers, telefoonnummers en adresgegevens.

Volgens GGD GHOR moeten GGD-medewerkers alle dossiers kunnen inzien om hun werkzaamheden voor de GGD’en goed uit te kunnen voeren. "Hoewel wij hier veel aandacht aan besteden, brengt dit een risico met zich mee. Daarom tekenen medewerkers een overeenkomst bij de start van hun werkzaamheden en voert GGD GHOR Nederland steekproefsgewijs en risicogestuurd controles uit", zo laat de koepelorganisatie weten.

In september verscheen al het nieuws dat testlijnmedewerkers uitslagen van coronatests en bijbehorende gegevens onbevoegd kunnen inzien. Met een geboortedatum en achternaam, een straatnaam en postcode of een burgerservicenummer kunnen alle medewerkers die toegang tot het CoronIT-systeem hebben alle testafspraken, uitslagen, medische aantekeningen en telefoonnummers inzien.

CoronIT (pdf) is het digitaal registratiesysteem dat GGD'en ondersteunt met het aanmelden van te testen mensen, het inplannen van afspraken voor te testen mensen, afname en registratie van monsters, het vastleggen van testuitslagen en het genereren van landelijke en regionale overzichten van het aantal afgenomen testen en resultaten. Testlijnmedewerkers kunnen zo testgegevens van bekende Nederlanders, collega's, familie of kennissen opvragen, ook al hoeven ze deze personen niet te bellen.

In de verklaring die medewerkers tekenen staat dat zij alleen dossiers zullen inzien die in het kader van hun werk nodig is. De dossiers van de twee BN'ers zijn niet in dit kader bekeken. Tegen de betreffende medewerkers is actie ondernomen, stelt GGD GHOR. Om wat voor maatregelen het precies gaat wordt niet vermeld. Tevens is er een melding gedaan bij de Autoriteit Persoonsgegevens.

De namen van de bekende Nederlanders zijn niet bekendgemaakt, maar het AD meldt dat het in ieder geval gaat om de Rotterdamse burgemeester Ahmed Aboutaleb. Volgens de persoon die de krant over het bekijken van de dossiers tipte zouden ook telefoonnummers van knappe mannen en vrouwen die zijn getest worden uitgewisseld.

Reacties (24)
03-11-2020, 17:00 door Anoniem
Auditing en logging werkte dus goed.
03-11-2020, 17:11 door Erik van Straten - Bijgewerkt: 03-11-2020, 17:12
Wat een verrassing. Huur ongescreende thuiswerkende uitzendkrachten in en pay peanuts. Guess what you get...

Volgens GGD GHOR moeten GGD-medewerkers alle dossiers kunnen inzien om hun werkzaamheden voor de GGD’en goed uit te kunnen voeren.
Als je daar zo min mogelijk aan uit wilt geven, dan "moet" dat ja. Ik hoop dat de AP hen uitlegt dat je er inderdaad iets moet, namelijk de risico's verlagen. Dit is immers niet het eerste incident bij dit deel van de GGD.
03-11-2020, 17:44 door Anoniem
Op het moment dat zo'n dossier geopend moet worden zouden ze het 4 eyes principe moeten toepassen.
03-11-2020, 18:41 door Anoniem
Kalf. Put.

En het erge is... 'men' heeft die put zelf gegraven ondanks alle waarschuwingen voor het kalf.

Uiteindelijk is er maar 1 oplossing: niet testen. Triest. En eh... waarom zou de GGD het testresultaat überhaupt in moeten kunnen zien? Resultaat. Brief. Print. Komt geen GGDer aan te pas.
03-11-2020, 18:46 door Anoniem
Door Erik van Straten: Wat een verrassing. Huur ongescreende thuiswerkende uitzendkrachten in en pay peanuts. Guess what you get...

Het lijkt mij dat die medewerkers gewoon een VOG moeten overleggen en geheimhoudingsverklaring ondertekenen. Anders zou dat wel problematisch zijn.
03-11-2020, 19:41 door Anoniem
Door Anoniem: Auditing en logging werkte dus goed.
Alleen als je een bekende Nederlander bent
03-11-2020, 19:53 door Anoniem
Door Anoniem: Op het moment dat zo'n dossier geopend moet worden zouden ze het 4 eyes principe moeten toepassen.

Waarbij elk paar ogen een eigen 2FA-token nodig heeft, die alleen werkt met een wachtwoord én een vingerafdruk :-)
03-11-2020, 20:30 door Anoniem
Door Anoniem:
Door Anoniem: Auditing en logging werkte dus goed.
Alleen als je een bekende Nederlander bent
Anders is het toch niet interessant?
03-11-2020, 20:31 door Anoniem
Door Anoniem: Auditing en logging werkte dus goed.

Klopt, net zo goed als ons rechtssysteem. Als je iemand doodschiet wordt je veroordeeld, simpel.

Voorkomen is nergens voor nodig.


Lees even de volgende kop:
Ingehuurde GGD'er verkoopt 500.000 medische dossiers en krijgt 20 uur taakstraf.
03-11-2020, 20:33 door Anoniem
Door Anoniem:
Door Anoniem: Op het moment dat zo'n dossier geopend moet worden zouden ze het 4 eyes principe moeten toepassen.

Waarbij elk paar ogen een eigen 2FA-token nodig heeft, die alleen werkt met een wachtwoord én een vingerafdruk :-)

Niet per se, ik denk dat er voldoende rem zit op het moment dat een medewerker toestemming van een collega moet krijgen.
03-11-2020, 21:05 door Anoniem
GGD-ers zijn net mensen...
03-11-2020, 21:22 door Tintin and Milou - Bijgewerkt: 03-11-2020, 21:22
Door Anoniem: Op het moment dat zo'n dossier geopend moet worden zouden ze het 4 eyes principe moeten toepassen.
Door Anoniem:
Waarbij elk paar ogen een eigen 2FA-token nodig heeft, die alleen werkt met een wachtwoord én een vingerafdruk :-)
Dus bij ieder telefoontje moet nu door 2 personen afgehandeld worden? Wow dan hebben we in eens dubbel zoveel mensen nodig. We kunnen nu BCO al niet meer goed. Te veel werk.
We doen even 200.000-300.000 tests per week. Dus hoe gaan we al deze mensen via 4 ogen principe doen?

Waarbij dit ook een nutteloze toevoeging is. Want misbruikt stop je niet.

Maar dit laat heel mooi zien, dat auditing en logging goed werkt. Want het misbruikt kon getraceerd worden.

Door Anoniem:
Door Anoniem: Auditing en logging werkte dus goed.
Alleen als je een bekende Nederlander bent
Nee, dat staat er los van. Maar het is wel makkelijker op te sporen.
03-11-2020, 22:24 door Anoniem
Door Anoniem: Auditing en logging werkte dus goed.

Dat misschien wel. Maar dat callcenter belt mensen om de uitslag door te geven, dus de autorisaties zijn echt veel te ruim.

Zo'n callcentermedewerker hoeft helemaal niet iemand "op te kunnen zoeken". Dat moet gewoon zijn: jij belt nu meneer of mevrouw X met uitslag X en klikt op afgehandeld als jij dat telefoontje hebt verricht.

Ik neem overigens aan dat de betreffende medewerkers op staande voet zijn ontslagen.
03-11-2020, 23:49 door Anoniem
Door Erik van Straten: Wat een verrassing. Huur ongescreende thuiswerkende uitzendkrachten in en pay peanuts. Guess what you get...

Vertel eens, wat voor soort screening voorkomt dit ?
Denk je dat wat nieuwsgierigheid naar BNers alleen voorkomt bij mensen die geen VOG kunnen krijgen ?

En hakken op 'thuiswerk' is ook niet zo fraai gezien de reden dat ongeveer iedereen moet thuiswerken - noch erg relevant - wat stel je je voor qua kantooromgeving dat verschil zou maken ?
Dat schouderkijkende collega'tje ?

En waarom denk je dat meer betalen eigenlijk uitmaakt ?

Die zorgmedewerkers die even keken in dossier 'Barbie' werkten niet thuis, waren geen uitzendkracht, waren gescreend en verdienden meer dan onderkant callcenter .
04-11-2020, 00:27 door Anoniem
Door Erik van Straten: Wat een verrassing. Huur ongescreende thuiswerkende uitzendkrachten in en pay peanuts. Guess what you get...
Lijkt me duidelijk: Helaas pindakaas!!!

;-)
04-11-2020, 07:45 door Anoniem
Door Anoniem: Auditing en logging werkte dus goed.
Kan zijn. Maar het blijft mosterd na de maaltijd. Feit is dat die gegevens gewoon geheim hadden moeten blijven. Achteraf constateren dat dat (oh zo voor de hand liggend...) niet gelukt is... Tsja... Mosterd. Maaltijd.
04-11-2020, 09:36 door Anoniem
Door Anoniem:
Door Erik van Straten: Wat een verrassing. Huur ongescreende thuiswerkende uitzendkrachten in en pay peanuts. Guess what you get...

Het lijkt mij dat die medewerkers gewoon een VOG moeten overleggen en geheimhoudingsverklaring ondertekenen. Anders zou dat wel problematisch zijn.

En dat was nu net niet het geval. Toegang tot databank werd gegeven zonder geheimhoudingsverklaring en VOG check. met name omdat dat tijd kost en test straten snel opgezet moesten worden.
04-11-2020, 09:54 door Anoniem
Door Anoniem:
Door Anoniem: Auditing en logging werkte dus goed.
Kan zijn. Maar het blijft mosterd na de maaltijd. Feit is dat die gegevens gewoon geheim hadden moeten blijven. Achteraf constateren dat dat (oh zo voor de hand liggend...) niet gelukt is... Tsja... Mosterd. Maaltijd.
Maar zonder maaltijd had je heen mosterd nodig.

Men moet bij dit soort gegevens kunnen vanuit hun werkzaamheden, anders kunnen ze hun werkzaamheden niet uitvoeren.

Hoe hadden ze dit anders moeten oplossen? De oplossing moet wel werkbaar zijn.
Fraude en misbruik is niet te voorkomen, dus bouw je audit en logging in. En dat heeft hier zijn nut bewezen. Natuurlijk zou het mooier zijn, als dit niet nodig was geweest. Maarja... We leven natuurlijk in een perfecte wereld.... o wacht...
04-11-2020, 11:54 door karma4 - Bijgewerkt: 04-11-2020, 11:55
[
Door Anoniem:
Door Anoniem:
Door Anoniem: Auditing en logging werkte dus goed.
Kan zijn. Maar het blijft mosterd na de maaltijd. Feit is dat die gegevens gewoon geheim hadden moeten blijven. Achteraf constateren dat dat (oh zo voor de hand liggend...) niet gelukt is... Tsja... Mosterd. Maaltijd.
Maar zonder maaltijd had je heen mosterd nodig.

Men moet bij dit soort gegevens kunnen vanuit hun werkzaamheden, anders kunnen ze hun werkzaamheden niet uitvoeren.

Hoe hadden ze dit anders moeten oplossen? De oplossing moet wel werkbaar zijn.
Fraude en misbruik is niet te voorkomen, dus bouw je audit en logging in. En dat heeft hier zijn nut bewezen. Natuurlijk zou het mooier zijn, als dit niet nodig was geweest. Maarja... We leven natuurlijk in een perfecte wereld.... o wacht...
Men heeft het over mijn privacy en mijn vrijheid.... het is de grote ik. Tegelijkertijd wenst mijn totale controle over wat anderen zouden kunnen doen een dictatoriale insteek zonder privacy en zonder vrijheid.

Het wonderlijke bij vele reaguurders is dat men beiden eist. Helaas zien ze de eigen tegenspraak niet wat enkel tot chaos en verval leidt. Het is de weg van de minste weerstand geplaveid met goede voornemens.
04-11-2020, 12:54 door Erik van Straten - Bijgewerkt: 04-11-2020, 12:57
Door Anoniem: Vertel eens, wat voor soort screening voorkomt dit ?
Elke screening die de kans op een volgende baan verkleint.

Door Anoniem: Denk je dat wat nieuwsgierigheid naar BNers alleen voorkomt bij mensen die geen VOG kunnen krijgen ?
Nee. Zie mijn vorige antwoord.

Door Anoniem: En hakken op 'thuiswerk' is ook niet zo fraai gezien de reden dat ongeveer iedereen moet thuiswerken - noch erg relevant - wat stel je je voor qua kantooromgeving dat verschil zou maken ?
Bij goede auditing is een heterdaadje mogelijk. Ongeacht daarvan, als je op kantoor zit en je word gepakt voor de ogen van jouw collega's, weten zij dat het menens is. Bij thuiswerkers is bovendien het risico groter dat zij worden overgehaald (of zelfs gedwongen) om iets op te zoeken. Of hun computer niet locken als ze koffie gaan zetten.

Door Anoniem: En waarom denk je dat meer betalen eigenlijk uitmaakt ?
Omdat mensen dan een hogere levensstandaard hebben en, met strafblad, maar moeten zien of ze dat inkomen ooit nog (legitiem) terugkrijgen.

Door Anoniem: Die zorgmedewerkers die even keken in dossier 'Barbie' werkten niet thuis, waren geen uitzendkracht, waren gescreend en verdienden meer dan onderkant callcenter .
Vermoedelijk is hun inkomen niet veel hoger. Nee dit was niet goed, maar wel heeft dit incident de privacy-awareness op veel plaatsen in de zorgsector vergroot. In veel gevallen zal men er niet meer met een waarschuwing vanaf komen.

Door Anoniem:Men moet bij dit soort gegevens kunnen vanuit hun werkzaamheden, anders kunnen ze hun werkzaamheden niet uitvoeren.

Hoe hadden ze dit anders moeten oplossen? De oplossing moet wel werkbaar zijn.
Ik kan zo drie methodes bedenken om de bedoelde risico's te verlagen.

1) Geef uitzendkrachten uitsluitend toegang tot de gegevens van personen in hun regio. Als zij incidenteel toegang moeten hebben tot een dossier van iemand uit een andere regio, moet een leidinggevende (digitaal) toestemming geven om het betreffende dossier benaderbaar te maken. Hier bescherm je Aboutaleb niet mee in de regio Rotterdam, maar wel de meeste landelijk verspreide BN'ers.

2) Koppel aan elk BSN een vertrouwelijkheidsClassificatieIndicator. Zet deze bij BN'ers op hoog. Toegang tot dossiers van personen met een hoge vertrouwelijkheidsClassificatieIndicator is toestemming nodig van een daartoe geautoriseerde leidinggevende.

3) Zorg dat vóór het openen van elk dossier een andere collega (bij voorkeur willekeurig door het systeem te selecteren) daar toestemming voor moet geven (vier ogen principe). Als achteraf misbruik blijkt, worden beiden ontslagen, wordt een vooraf bekend gemaakte boete gevorderd van beiden en wordt voor beiden aangifte gedaan bij de politie.
04-11-2020, 14:51 door -Peter-
Door Erik van Straten:2) Koppel aan elk BSN een vertrouwelijkheidsClassificatieIndicator. Zet deze bij BN'ers op hoog. Toegang tot dossiers van personen met een hoge vertrouwelijkheidsClassificatieIndicator is toestemming nodig van een daartoe geautoriseerde leidinggevende.

Waarom is de privacy van iemand die toevallig denkt goed te kunnen zingen, of zich graag op TV laat zien, belangrijker dan die van mij?

3) Zorg dat vóór het openen van elk dossier een andere collega (bij voorkeur willekeurig door het systeem te selecteren) daar toestemming voor moet geven (vier ogen principe). Als achteraf misbruik blijkt, worden beiden ontslagen, wordt een vooraf bekend gemaakte boete gevorderd van beiden en wordt voor beiden aangifte gedaan bij de politie.

Gooi er maar weer een aantal extra mensen tegenaan (of verlaag de effectiviteit).
Hoe veel miljoen dossiers zijn er bekeken en er blijken er nu twee door onbevoegden te zijn bekeken.
Zijn we nu niet allemaal de boel ongelooflijk aan het opblazen?
Hoeveel % van de dossiers worden foutief opgevraagd en hoeveel % kunnen we straks door de maatregelen minder behandelen? Ik geef nu niet aan dat privacy niets waard is, maar als 0,0001% fout gaat, dan gaan je geen maatregelen nemen waardoor er 30% tot 50% minder effectief gewerkt gaat worden.
Of je moet dan extra mensen aan gaan nemen. Wel een oplossing om het horeca personeel aan het werk te houden.

Peter
04-11-2020, 20:21 door Anoniem
Kijk hier gaat het al mis "Volgens GGD GHOR moeten GGD-medewerkers alle dossiers kunnen inzien om hun werkzaamheden voor de GGD’en goed uit te kunnen voeren." Men heeft niet de volledige dossiers van iedereen nodig. Alleen sommige functies hebben misschien toegang tot alle dossiers en alle data nodig, maar dat kan je beperken.

Ook zijn de maatregelen te zacht die hier aan zijn verbonden. Als men het volgende zou doen, dan zou het probleem minder voor komen 1) ontslag 2) vervolging van rechts wege. Bij het laatste alleen de vraag waarvoor, maar goed ik ben geen jurist.

Bij de zaak van het ziekenhuis / Barbie heeft het ook geen grote gevolgen gehad voor de daders.
05-11-2020, 07:57 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Auditing en logging werkte dus goed.
Kan zijn. Maar het blijft mosterd na de maaltijd. Feit is dat die gegevens gewoon geheim hadden moeten blijven. Achteraf constateren dat dat (oh zo voor de hand liggend...) niet gelukt is... Tsja... Mosterd. Maaltijd.
Maar zonder maaltijd had je heen mosterd nodig.

Men moet bij dit soort gegevens kunnen vanuit hun werkzaamheden, anders kunnen ze hun werkzaamheden niet uitvoeren.

Hoe hadden ze dit anders moeten oplossen? De oplossing moet wel werkbaar zijn.
Fraude en misbruik is niet te voorkomen, dus bouw je audit en logging in. En dat heeft hier zijn nut bewezen. Natuurlijk zou het mooier zijn, als dit niet nodig was geweest. Maarja... We leven natuurlijk in een perfecte wereld.... o wacht...

Is inderdaad best een uitdaging om de risico's zo klein mogelijk te maken, zonder dat de werkbaarheid teveel in het geding komt. Alles volledig dichttimmeren is niet mogelijk, uiteindelijk zal bepaalde informatie door personen moeten kunnen worden ingezien.

Voldoende dichtzetten aan de voorkant, de juiste afspraken vastleggen met de medewerkers (geheimhouding en gevolgen als men niet aan de afspraken voldoet) audit en logging aan de achterkant. En dan vooral ook direct de juiste actie als iets niets goed gaat (in ernstige gevallen bv. ontslag). Tot slot regelmatig aandacht voor bewustzijn bij de medewerkers.
06-11-2020, 11:36 door Erik van Straten
Door -Peter-:
Door Erik van Straten:2) Koppel aan elk BSN een vertrouwelijkheidsClassificatieIndicator. Zet deze bij BN'ers op hoog. Toegang tot dossiers van personen met een hoge vertrouwelijkheidsClassificatieIndicator is toestemming nodig van een daartoe geautoriseerde leidinggevende.

Waarom is de privacy van iemand die toevallig denkt goed te kunnen zingen, of zich graag op TV laat zien, belangrijker dan die van mij?
Die is niet belangrijker.

Waar het om draait is dat, hoogstwaarschijnlijk, veel meer GGD'ers geïnteresseerd zijn in de gegevens van BN'ers dan die van jou. Dus is de kans groter dat, omgeautoriseerd, gegevens van BN'ers worden ingezien dan van die van jou. Ook de impact kan groter zijn, nl. als die informatie verder wordt gedeeld of wordt gepubliceerd. Ik had het dan ook over het verlagen van risico's.

Door -Peter-:
3) Zorg dat vóór het openen van elk dossier een andere collega (bij voorkeur willekeurig door het systeem te selecteren) daar toestemming voor moet geven (vier ogen principe). Als achteraf misbruik blijkt, worden beiden ontslagen, wordt een vooraf bekend gemaakte boete gevorderd van beiden en wordt voor beiden aangifte gedaan bij de politie.

Gooi er maar weer een aantal extra mensen tegenaan (of verlaag de effectiviteit).
Hoe veel miljoen dossiers zijn er bekeken en er blijken er nu twee door onbevoegden te zijn bekeken.
Als jij slachtoffer wordt van ongeautoriseerde inzage in jouw medisch dossier en gegevens daaruit het AD halen, zal het jou een biet zijn hoe vaak het niet fout gaat (dan zouden we ook niks aan terrorismebestrijding hoeven te doen, want daar gaan immers vééééél minder mensen aan dood dan aan Covid-19 of verkeersongevallen).

Dit was niet het eerste incident met inhuurkrachten bij de GGD, en deze keer ging het om ongeautoriseerd inzien van (uit het redactie-artikel) "dossiers van twee bekende Nederlanders". Uit https://ggdghor.nl/actueel-bericht/enkele-ggd-medewerkers-zien-ongeoorloofd-dossiers-in-van-bekende-personen/:
GGD-medewerkers moeten alle dossiers kunnen inzien om hun werkzaamheden voor alle 25 GGD’en goed uit te kunnen voeren. Hoewel wij hier veel aandacht aan besteden, brengt dit een risico met zich mee. Daarom tekenen medewerkers een overeenkomst bij de start van hun werkzaamheden en voert GGD GHOR Nederland steekproefsgewijs en risicogestuurd controles uit. Hoe wij dit doen lichten wij verder niet toe, in het belang van de effectiviteit van deze controles.

Specifiek deze overtreding werd geconstateerd naar aanleiding van een vraag van een krant.
Eén van die overtredingen hadden zij dus niet eens zelf ontdekt. Het gebeurt ongetwijfeld vaker dat ongeautoriseerd dossiers worden ingezien, ook van kennissen en familieleden (net als dat gebeurt bij de politie, gezondheidszorg en op alle plaatsen waar mensen vertrouwelijke gegevens van anderen kunnen inzien en mogelijk zelfs wijzigen).

Vandaar dat dit geen verrassing mag zijn, waarbij de AVG eist dat je passende maatregelen neemt om dit soort risico's redelijkerwijs zo laag mogelijk te maken. Daarbij hebben we het hier over medische gegevens. Beveiligen kost tijd en geld.

De nog onbeantwoorde vraag is of de te verwachten risico's (als je peanuts betaalt, ongescreende monkeys krijgt, wat steekproefjes doet en door buitenstaanders op misbruik wordt gewezen) redelijkerwijs waren gemitigeerd - ik denk van niet. En uit niks blijkt dat de maatregelen nu zullen worden aangescherpt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.