Hugo de Jonge moest gistermiddag in de Tweede Kamer verklaren hoe het in vredesnaam mogelijk is dat persoonlijke gegevens van miljoenen Nederlanders toegankelijk zijn via het ict-systeem voor de coronatests. Volgens deskundigen,
geraadpleegd door de Volkskrant, hebben minister en GGD geen flauw benul van informatiebeveiliging.
WaanzinZo zei De Jonge dat de GGD de systemen continu controleert, terwijl de GGD zelf spreekt van steekproefsgewijze checks. Jaap-Henk Hoepman, universitair hoofddocent privacy aan de Radboud Universiteit en Rijksuniversiteit Groningen: "Er wordt kennelijk niet bijgehouden wie welke gegevens opvraagt. Dat is voor een systeem met zulke gevoelige gegevens echt waanzin."
Ook blijkt dat alle testmedewerkers bij bijvoorbeeld bsn-nummers kunnen. Hoepman: "Dat is bizar. Waarom wordt een bsn-nummer überhaupt opgeslagen? Net zoals het heel vreemd is dat gegevens bewaard blijven ook nadat mensen hun uitslag hebben opgevraagd of doorgebeld gekregen." Verder bleek het tot deze week mogelijk om data te exporteren uit het systeem. "Die exportfunctie bedenk je niet. Dat kan gewoon niet," aldus Hoepman.
OnacceptabelMathieu Paapst, universitair docent IT-recht aan de Rijksuniversiteit Groningen, zegt dat er niet nagedacht is over de 'basishygiëne'. "Het zijn simpele dingen: welke informatie sla je op en hoe lang? De Algemene Verordering Gegevensbescherming is daar duidelijk over: je wil zo weinig mogelijk data zo kort mogelijk opslaan om risico’s te voorkomen."
Ook moet je kijken naar wie er toegang krijgt. Hoepman: "Maar GGD-medewerkers hebben via CoronIT toegang tot alle gegevens. Dat is volstrekt onacceptabel en onvoldoende. Je kunt het anders inrichten en duidelijker rollen definiëren."
Paapst: "Het woord knullig is nog veel te aardig uitgedrukt. Dit is gewoon een club die geen flauw idee heeft hoe ze met informatiebeveiliging omgaat."