image

Privacytoezichthouder: GGD moet persoonsgegevens beter beschermen

dinsdag 9 november 2021, 12:00 door Redactie, 6 reacties

Tientallen GGD'en en brancheorganisatie GGD GHOR Nederland moeten snel meer maatregelen nemen om persoonsgegevens beter te beschermen. Dat is de uitkomst van een onderzoek van de Autoriteit Persoonsgegevens waaruit blijkt dat er nog steeds wezenlijke risico’s bestaan voor de bescherming van persoonsgegevens bij het testen, vaccineren en het bron- en contactonderzoek tijdens de coronapandemie.

De privacytoezichthouder besloot vanwege verschillende datalekken bij de GGD een onderzoek in te stellen. Uit het onderzoek blijkt dat een aantal aangekondigde verbetermaatregelen inmiddels zijn genomen om het risico op datalekken te verminderen. Toch zijn er nog risico's voor de bescherming van persoonsgegevens die aanvullende maatregelen vereisen. Het gaat met name om risico’s die verband houden met het grote aantal partijen dat betrokken is bij de verwerkingen van persoonsgegevens in verband met het testen, vaccineren en bron- en contactonderzoek.

De AP onderzocht of er voldoende verbetermaatregelen zijn getroffen met het oog op toegangsbeveiliging, verleende autorisaties en autorisatiebeheer, logging van de gebruikte systemen, controle op deze logging en om het ongeoorloofd exporteren/printen van persoonsgegevens uit de systemen te voorkomen. Ook werd gekeken of aangekondigde maatregelen met betrekking tot beperking van de zoekfuncties van gebruikers in de systemen ook daadwerkelijk zijn getroffen.

Uit het onderzoek komt naar voren dat de drie onderzochte GGD-systemen vanaf eigen apparatuur rechtstreeks kunnen worden benaderd via een url, zonder dat medewerkers eerst moeten zijn ingelogd op een beveiligde werkomgeving. Wel wordt bij de drie systemen tweefactorauthenticatie toegepast. Verder blijkt dat een grote groep medewerkers, waaronder medewerkers van de landelijke partners, op eigen apparatuur werkt. Daar zijn geen afspraken over gemaakt.

De AP stelt dat het gebruik van eigen apparatuur in combinatie met de mogelijkheid om op de onderzochte systemen in te loggen buiten een beveiligde werkomgeving, kan leiden tot beveiligingsrisico’s. Ook bestaat het risico dat software op de apparatuur wordt geïnstalleerd die risico’s voor de bescherming van persoonsgegevens met zich meebrengt. "Het feit dat via een internetbrowser en dus ook buiten een beveiligde werkomgeving kan worden ingelogd op de onderzochte systemen, kan dan ook, zoals gezegd, tot beveiligingsrisico’s leiden", laat de privacytoezichthouder weten.

Verder concludeert de AP dat het proces rond het tijdig aanpassen of intrekken van autorisaties nog niet altijd goed verloopt. Zo zijn duidelijke afspraken tussen de betrokken partijen hierover niet aangetroffen, wat ook geldt voor de controle van logbestanden. "Hierdoor is onvoldoende duidelijk wie waarvoor verantwoordelijk is en wie welke maatregelen in dit verband dient te treffen. Dat vergroot de kans op nieuwe tekortkomingen in de beveiliging van persoonsgegevens", aldus de toezichthouder.

"GGD GHOR en de GGD’en hebben verschillende verbeteringen doorgevoerd. Zo is de zoekfunctie beperkt en de groep personen die gegevens uit de systemen kan exporteren aanzienlijk beperkt", zegt AP-vicevoorzitter Monique Verdier. "Maar na onderzoek is ons duidelijk geworden dat dit nog onvoldoende is en er nog verdere verbeteringen nodig zijn. Dat moet snel gebeuren."

Reacties (6)
09-11-2021, 12:09 door majortom - Bijgewerkt: 09-11-2021, 12:10
Ik mag hopen dat de AP dan ook heeft gekeken naar welke data wordt opgeslagen en de noodzaak ervan met betrekking tot het doel van de systemen. Want dat rammelt nu ook aan alle kanten. Alles wat je niet opslaat kan niet lekken, dus dat zou stap 1 moeten zijn.
09-11-2021, 12:28 door [Account Verwijderd]
Kortom, het is daar nog steeds 1 grote kolere zooi.
Je komt er later wel achter waar jou gegevens zomaar ineens opduiken.
En met hoeveel "partners" wordt er van alles en nog wat gedeeld.
En wie zijn dit trouwens? En hoeveel zijn het er?
09-11-2021, 12:45 door Anoniem
Door BertG.: Kortom, het is daar nog steeds 1 grote kolere zooi.
Je komt er later wel achter waar jou gegevens zomaar ineens opduiken.
En met hoeveel "partners" wordt er van alles en nog wat gedeeld.
En wie zijn dit trouwens? En hoeveel zijn het er?

Daar heb je een privacy verklaring voor, staat er gewoon in hoor ;)
Ik denk dat het grootste probleem vooral is, de ggd moet tools van VWS gebruiken. De GGD komt in het nieuws en VWS komt er weer mee weg.
09-11-2021, 12:56 door Anoniem
Typisch dat ze vele miljoenen "investeren" in een buitenproportionele QR tracking app die een groot gevaar voor de privacy en vrijheden is maar dat ze geen zak doen aan de privacy issues bij de GGD, dit laat ook zien dat het defunden van het AP ten faveure van de Politie en de AIVD bewust beleid is om de rechtstaat te verzwakken.

Zo jammer dat deze pandemie gekomen is tijdens een van de meest rechtstaat onvriendelijke regeringen die we ooit gehad hebben, ze hebben er helaas maximaal misbruik van weten te maken en hebben nu door dat ze kunnen flikken wat ze willen als "demissionair" kabinet.
09-11-2021, 14:28 door majortom
Door Anoniem:
Door BertG.: Kortom, het is daar nog steeds 1 grote kolere zooi.
Je komt er later wel achter waar jou gegevens zomaar ineens opduiken.
En met hoeveel "partners" wordt er van alles en nog wat gedeeld.
En wie zijn dit trouwens? En hoeveel zijn het er?

Daar heb je een privacy verklaring voor, staat er gewoon in hoor ;)
Ik denk dat het grootste probleem vooral is, de ggd moet tools van VWS gebruiken. De GGD komt in het nieuws en VWS komt er weer mee weg.
Niet helemaal. De GGD heeft het CoronIT systeem vorig jaar volledig nieuw gebouwd. Jammer dan dat ze hierbij in de haast de security en privacy uit het oog hebben verloren.

Volgens de AP:
Vertrouwen is essentieel

Verdier: 'Met het uitbreken van de pandemie werden de GGD’en voor een enorme opgave gesteld. Zij moesten in zeer korte tijd zorgdragen voor het op grote schaal testen van personen, het uitvoeren van bron- en contactonderzoek en het vaccineren van personen.'

'Hoewel wij als AP begrip hebben voor hoe lastig deze opgave was, is het hoe dan ook essentieel dat mensen vertrouwen houden in de GGD. En dat zij niet gaan aarzelen om zich te laten vaccineren of testen door de angst dat daarna hun persoonsgegevens op straat belanden.'

'Dat mag nooit een drempel zijn. Vooral ook omdat het hier om een uitzonderlijk grote groep mensen gaat. Zeker nu het virus weer zo snel om zich heen grijpt, moet dit bij de GGD echt in orde zijn.'
Precies dit is waarom ik, zolang dit soort systemen niet adequaat worden opgezet mij inderdaad niet zal laten testen op Corona bij de GGD (en waarom ik mijn data na vaccinatie heb laten verwijderen). Overigens ook niet bij al die andere aanbieders: ik heb er nog minder vertrouwen in dat die hun zaakjes wel voor elkaar hebben.
04-02-2022, 09:52 door [Account Verwijderd] - Bijgewerkt: 04-02-2022, 09:53
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.