Toegang tot persoonsgegevens bij GGD op functieniveau geregeld
GGD-werknemers die afspraken maken voor tests of bron- en contactonderzoek doen, kunnen alle persoonsdossiers inzien uit het systeem waartoe ze toegang hebben. Daarvoor is geen specifieker toegangsbeheer ingeregeld. Dat zei minister Hugo de Jonge tijdens het vragenuur waarin hij inging op het datalek van de GGD-systemen die worden gebruikt voor testafspraken en bron- en contactonderzoek. RTL Nieuws onthulde afgelopen maandag dat er wordt gehandeld in persoonsgegevens uit CoronIT en HP Zone.
© CC - Flickr
CC - Flickr
“Toegang is gecompartimenteerd. Dus een medewerker heeft toegang tot de gegevens waar hij ook wat mee moet. Dus mensen die met testafspraken bezig zijn, hebben toegang tot het adresbestand van de testafspraken. Dat is op dit moment ingeregeld. Maar of dat nog verder in te regelen is, is momenteel onderdeel van een verbeterplan”, aldus De Jonge. Op de vraag van Tweede Kamerlid Kathalijne Buitenweg hoeveel mensen dan toegang hebben tot persoonsgegevens, antwoordde de minister dat er 8000 bron- en contactonderzoekers zijn plus "een paar duizend mensen" die via een callcenter testafspraken maken. Zij hebben dus ieder toegang tot een andere database (vaak met dezelfde personen) waarin persoonsgegevens staan.
Exportfunctie
Daarnaast zei de minister dat de exportfunctie, die tot gisteren nog ingebouwd was in HP Zone, inmiddels verwijderd is. Het verwijderen van die functionaliteit zou al op de planning hebben gestaan na een risicoanalyse afgelopen december. Nadat bekend werd dat persoonsgegevens uit de GGD-databases grootschalig worden verhandeld, worden de vereiste maatregelen nu versneld doorgevoerd. Het verwijderen van de exportfunctie was daar één van.
De GGD doet nu forensisch onderzoek naar het datalek. Uit dat onderzoek moet naar voren komen van wie de persoonsgegevens zijn gelekt. Het is niet duidelijk of de GGD monitort welke records door medewerkers worden opgevraagd. Daarover zei de minister alleen dat vanaf nu meer controles worden uitgevoerd en ook geautomatiseerd zullen worden uitgevoerd. “Zo wordt de pakkans vergroot”, aldus De Jonge. De minister zegt dat de reikwijdte van het datalek nog wordt onderzocht.
De GGD schreef gisteren ook dat de monitoring van het gebruik van de systemen verder wordt opgeschaald. “We verwachten eind maart systemen te implementeren die automatisch en continu zullen controleren. Hier werken wij al geruime tijd aan.”
Veiligheid systeem
De Jonge schreef eerder nog in een Kamerbrief dat externe (onafhankelijke) experts het IT-systeem CoronIT hebben getest voor oplevering van het systeem voor testen. Dat gebeurde met zogenaamde pentesten. Ook de registratie én doorgifte van data zijn getoetst aan de regelgeving ten aanzien van de bescherming van persoonsgegevens. Naar aanleiding van die testen zijn er maatregelen voorgesteld, maar die zijn dus nog niet allemaal doorgevoerd.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee