Overslaan en naar de inhoud gaan

Toegang tot persoonsgegevens bij GGD op functieniveau geregeld

GGD-werknemers die afspraken maken voor tests of bron- en contactonderzoek doen, kunnen alle persoonsdossiers inzien uit het systeem waartoe ze toegang hebben. Daarvoor is geen specifieker toegangsbeheer ingeregeld. Dat zei minister Hugo de Jonge tijdens het vragenuur waarin hij inging op het datalek van de GGD-systemen die worden gebruikt voor testafspraken en bron- en contactonderzoek. RTL Nieuws onthulde afgelopen maandag dat er wordt gehandeld in persoonsgegevens uit CoronIT en HP Zone.
Stapel papieren dossiers
© CC - Flickr
CC - Flickr

“Toegang is gecompartimenteerd. Dus een medewerker heeft toegang tot de gegevens waar hij ook wat mee moet. Dus mensen die met testafspraken bezig zijn, hebben toegang tot het adresbestand van de testafspraken. Dat is op dit moment ingeregeld. Maar of dat nog verder in te regelen is, is momenteel onderdeel van een verbeterplan”, aldus De Jonge. Op de vraag van Tweede Kamerlid Kathalijne Buitenweg hoeveel mensen dan toegang hebben tot persoonsgegevens, antwoordde de minister dat er 8000 bron- en contactonderzoekers zijn plus "een paar duizend mensen" die via een callcenter testafspraken maken. Zij hebben dus ieder toegang tot een andere database (vaak met dezelfde personen) waarin persoonsgegevens staan.

Exportfunctie

Daarnaast zei de minister dat de exportfunctie, die tot gisteren nog ingebouwd was in HP Zone, inmiddels verwijderd is. Het verwijderen van die functionaliteit zou al op de planning hebben gestaan na een risicoanalyse afgelopen december. Nadat bekend werd dat persoonsgegevens uit de GGD-databases grootschalig worden verhandeld, worden de vereiste maatregelen nu versneld doorgevoerd.  Het verwijderen van de exportfunctie was daar één van.

De GGD doet nu forensisch onderzoek naar het datalek. Uit dat onderzoek moet naar voren komen van wie de persoonsgegevens zijn gelekt. Het is niet duidelijk of de GGD monitort welke records door medewerkers worden opgevraagd. Daarover zei de minister alleen dat vanaf nu meer controles worden uitgevoerd en ook geautomatiseerd zullen worden uitgevoerd. “Zo wordt de pakkans vergroot”, aldus De Jonge. De minister zegt dat de reikwijdte van het datalek nog wordt onderzocht.

De GGD schreef gisteren ook dat de monitoring van het gebruik van de systemen verder wordt opgeschaald. “We verwachten eind maart systemen te implementeren die automatisch en continu zullen controleren. Hier werken wij al geruime tijd aan.”

Veiligheid systeem

De Jonge schreef eerder nog in een Kamerbrief dat externe (onafhankelijke) experts het IT-systeem CoronIT hebben getest voor oplevering van het systeem voor testen. Dat gebeurde met zogenaamde pentesten. Ook de registratie én doorgifte van data zijn getoetst aan de regelgeving ten aanzien van de bescherming van persoonsgegevens. Naar aanleiding van die testen zijn er maatregelen voorgesteld, maar die zijn dus nog niet allemaal doorgevoerd.

Gerelateerde artikelen
Gerelateerde artikelen

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in