De inkt van miskleun 1 is nog niet droog of miskleun 2 komt er achteraan:
Vervolgens hebben wij controles uitgevoerd in onze systemen én volledige toegang gegeven aan de politie tot onze systemen om de opsporing zo goed mogelijk plaats te kunnen laten vinden.
Niet dat het verkeerd is toegang tot logs en dergelijke of zelfs tot de schijven te geven, maar op forensische trainingen wordt geleerd dat je dat niet
onvoorwaardelijk moet doen. Dat geldt natuurlijk extra voor gegevens waarover een medisch beroepsgeheim bestaat en waar je dus nog steeds een verantwoordelijkheid over draagt daar vertrouwelijk mee om te gaan (en eindverantwoordelijk bent voor wat de politie er mee gaat doen, want de betrokkene heeft een vertrouwensrelatie met jou en niet de politie). Dit nodigt uit tot toeslagenaffaire-achtige zaken, of zo'n kwestie als de Mossad die een keer andermans identiteit ongevraagd gebruikt heeft voor een aanslag op een Hamas-lid, waarop onze onschuldige derde een serie doodsbedreigingen in zijn inbox vond...
Wij controleren op verschillende manieren hoe onze medewerkers omgaan met de informatie in onze systemen. En dat heeft eerder geleid tot de ontdekking van onregelmatigheden en tot het nemen van maatregelen.
De kunst van het politiek bedrijven bestaat uit het met gebruik van zo veel mogelijk woorden zo min mogelijk zeggen... Dat het niet afdoende is gebleken staat vast. Of het naar de stand der techniek voldoende is geweest mag de Autoriteit Persoonsgegevens uitzoeken.
De Autoriteit Persoonsgegevens heeft tot nu toe geen aanvullende vragen gesteld over de werkwijze.
OK, dus als een overbelaste controle organisatie je - nog - niet betrapt heeft, is dat bewijs dat je goed bezig bent... Juist ja...
Alleen mensen die voor hun werk noodzakelijk toegang moeten hebben tot een persoonsdossier, mogen dit dossier inzien.
Mogen zal wel kloppen. Kunnen is een ander verhaal zoals blijkt uit het feit dat alle 26000 medewerkers toegang tot alle gegevens hadden. Dat legt de uiteindelijke keuze bij de medewerker. Stel dat kernwapens zo werkten. "Beste soldaat, je mag ze alleen afvuren op bevel van de president, maar hier heb je de sleutels waarmee je ze allemaal kan afvuren"......
Daarnaast schalen we de monitoring van het gebruik van onze systemen verder op. We verwachten we eind maart systemen te implementeren die automatisch en continu zullen controleren. Hier werken wij al geruime tijd aan.
Hetgeen een bekentenis is dat deze dingen voorheen en ook nu niet in place zijn. Geen IT draaiboeken misschien voor een eventualiteit dat je op stel en sprong een grootschalige database moet opzetten?
Wij leggen persoonsgegevens vast zoals naam, adres, woonplaats, telefoonnummer/e-mailadres, BSN, geslacht, geboortedatum.
Het woordje zoals schept onduidelijkheid. Is het nou ja, of nee. Of in sommige gevallen wel en in andere gevallen niet (en als je het precies wil weten voor jezelf, stuur dan een mail aan...). Wat is dit voor informatievoorziening? Wat er nu precies in de gevarenzone zit is nu juist de kern van het nemen van eventuele maatregelen tegen ID-fraude. En juist daar grijpt men naar het politieke antwoord.
Dat hangt van de rol van de gebruiker af: De gebruiker ziet alleen diegegevens die hij of zij op dat moment voor zijn werk nodig heeft.
De wens lijkt hier bepaald de vader van de gedachte te zijn, gezien iederen access tot alles had. Ergo, men zegt hier hoe men had gehoopt hoe het zou zijn en niet hoe het is.
En tot slot ontbreken er een paar punten die hier absoluut in hadden
moeten staan.
- Waar kan ik een informatieverzoek indienen?
- Hoe kan ik contact opnemen met de verwerkingsverantwoordelijke?
- Hoe kan ik contact opnemen met de Functionaris Gegevensbescherming?
- Wat zijn de belangrijkste potentiële risico's voor mij als betrokkene?
- Welke stappen kan ik ondernemen om die risico's te verminderen?
Uit het ontbreken van uitgerekend deze punten blijkt dat de GGD - zoals gewoonlijk - het veel te druk heeft met het potentiële risico op negatieve publiciteit om zich ook maar een seconde te bekommeren om de eventuele risico's voor de betrokkenen. Die mogen het lekker zelf uitzoeken...
Plus dat we zonder meer nog een stuk of wat (deels nieuwe) overtredingen AVG kunnen vaststellen... Waarvan akte en/of klacht...