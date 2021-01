De Autoriteit Persoonsgegevens (AP) stelt de GGD onder "verscherpt toezicht". Dat doet de privacywaakhond naar aanleiding van berichtgeving van RTL Nieuws over grootschalige datadiefstal bij de GGD.

"In het vervolg zal de GGD onder meer moeten aantonen wat zij heeft gedaan met de kritische vragen van de AP en welke aanpassingen zij hebben doorgevoerd", zegt een woordvoerder.

Nieuwsuur berichtte in september al over privacyrisico's bij de coronatestlijn van de GGD. De AP vroeg de GGD toen om opheldering, maar zag geen aanleiding voor verder onderzoek of verscherpt toezicht. "We zijn ervan uitgegaan dat wat we toen deden afdoende was om het op orde te brengen", zegt de woordvoerder nu.

Geen verplichte risicoanalyse door 'crisissituatie'

Deze week schreef RTL Nieuws over een lek in twee systemen van de GGD. Privégegevens van mensen die een testafspraak hebben gemaakt, of betrokken waren bij bron- en contactonderzoek (BCO), werden door GGD-medewerkers te koop aangeboden. Het downloaden van die gegevens was al sinds de start van het corona-testsysteem in april mogelijk, bleek vandaag.

Omdat het medische gegevens zou gaan verwerken, had de GGD vóór de start van het testen en het BCO een analyse van privacyrisico's moeten uitvoeren. Eind augustus, maanden ná de start, had de GGD die analyse nog niet af.

"De hectiek en acute crisissituatie van deze pandemie maakten het niet mogelijk om de volledige risico-inventarisatie op voorhand van BCO af te ronden en te publiceren", schreef een woordvoerder toen. Nieuwsuur vroeg de AP of die het ontbreken van de risicoanalyse bezwaarlijk vond, maar die zag daar geen reden toe. Inmiddels is de risicoanalyse wel voltooid, zegt de AP.

Lek al maanden bekend, ook bij AP en GGD

In september berichtte Nieuwsuur dat de gegevens van geteste Nederlanders toegankelijk waren voor duizenden medewerkers van de coronatestlijn, ook als ze er volgens de wet niet bij zouden moeten kunnen. Ook bleek dat medewerkers via WhatsApp privégegevens van geteste mensen, onder wie bekende Nederlanders, met elkaar deelden.

Volgens de GGD hadden medewerkers toegang nodig tot alle gegevens "omdat wij niet kunnen voorspellen wie er die dag belt voor het maken van een afspraak". Inmiddels stelt de GGD op haar website dat "alleen mensen die voor hun werk noodzakelijk toegang moeten hebben tot een persoonsdossier, dit dossier mogen inzien". Maar BCO-medewerkers zeggen tegen Nieuwsuur dat zij nog altijd toegang hebben tot alle gegevens.

Hoewel Nieuwsuur de GGD in september wees op de WhatsApp-berichten, zegt de GGD vandaag tegen RTL Nieuws niet bekend te zijn met die berichten. Desondanks wordt medewerkers vandaag gevraagd over te stappen op e-mail, bevestigen bronnen.

Ook een commissie van het ministerie van Volksgezondheid die adviseert over IT-gebruik, waarschuwde de GGD begin december over de risico's en stelde verbeteringen voor. De GGD heeft de commissie nog niet gezegd wat zij met het advies hebben gedaan. De GGD reageerde vandaag niet op verzoek voor commentaar.