Demissionair minister De Jonge van Volksgezondheid maakt de risicoanalyse van de GGD-systemen vooralsnog niet openbaar, zoals gevraagd door de Tweede Kamer. Daarnaast blijkt dat de GGD de eigen systemen "grotendeels automatisch" op misbruik monitort. Eerder stelde De Jonge nog dat dit "volautomatisch" zou gebeuren. Dat blijkt uit een brief die de minister over de digitale ondersteuning bij de coronabestrijding naar de Tweede Kamer stuurde.
De Jonge liet vorig jaar een een risicoanalyse uitvoeren naar de it-systemen en gegevensuitwisseling in de test- en traceerketen van de GGD. "Dit om te beoordelen of en waar een versteviging, uitbouw en – waar nodig – herontwerp van de onderliggende ict-infrastructuur verstandig is", aldus de minister eind december. De risicoanalyse legde enkele kwetsbaarheden bloot, onder meer op het gebied van informatiebeveiliging, it-continuïteit, datakwaliteit en toekomstbestendigheid.
De Tweede Kamer vroeg vervolgens om de openbaarmaking van deze risicoanalyse. Vorige maand maakte de minister duidelijk dat hij de analyse niet openbaar ging maken, omdat dit teveel risico's met zich zou meebrengen. "De analyse bevat overzichten en beschrijvingen van informatiestromen en benoemt daarnaast ook de zwakke plekken in de systemen. Zo kan de risicoanalyse als handleiding voor kwaadwillende dienen en hen in staat stellen om een gerichte aanval te plaatsen op deze zwakke plekken", stelde de minister.
D66-Kamerlid Verhoeven en PVV-Kamerlid Agema vroegen De Jonge vervolgens om opheldering. "Deze kwetsbaarheden zijn inmiddels toch opgelost en vormen daardoor toch geen bedreiging meer?" Daarop stelt de minister dat er mitigerende maatregelen zijn genomen waarmee de eerder gevonden kwetsbaarheden tot het minimum zijn gereduceerd. Om alle kwetsbaarheden op te lossen zullen enkele applicaties echter moeten worden vervangen.
"Bent u bereid de risicoanalyses alsnog openbaar te maken zodat de Kamer op basis van zo volledig en transparant mogelijke informatie haar taak kan uitvoeren?", vroegen Agema en Verhoeven verder. "Zowel het NCSC als het Red team heeft mij geadviseerd openbaarmaking op dit moment teveel risico’s kent. Zoals eerder toegezegd zal ik bij het opleveren van de audit heroverwegen of het mogelijk is deze analyse of delen van deze analyse openbaar te maken. Mijn inzet is om zo transparant mogelijk te zijn" antwoordt De Jonge.
De Kamerleden van D66 en de PVV wilden verder weten of er inmiddels ‘volcontinu’ en ‘volautomatisch’ wordt gecontroleerd op misbruik van de GGD-systemen, zoals De Jonge eerder had aangegeven. "Ja, er wordt continu en grotendeels automatisch gemonitord op misbruik van de GGD systemen. Indien er afwijkingen worden geconstateerd, vindt hier direct een afgewogen actie op plaats", reageert de minister (pdf).
Deze posting is gelocked. Reageren is niet meer mogelijk.