Oh, ze hebben een "repliek", wat leuk.
GGD-medewerkers opereren al ruim 10 maanden in de vuurlinie, net als al die andere zorgprofessionals.
Ah, natuurlijk als eerste de obligate "vuur/frontlinie" referentie. Niet dat ik wil zeggen dat ze niet hard werken, maar waar die beeldspraak aan het begin van de crisis misschien nog een beeld opriep van heldhaftig en gevaarlijk optreden, nu ondertussen zo'n beetje elke beroepsgroep die nog iets van menselijk contact heeft, van zorg tot buschauffeurs tot vakkenvullers, hem al uit en te na gebruikt heeft, is dat beeld ondertussen toch aardig aan inflatie onderhevig.
Deze week zijn wij allemaal opgeschrikt door het bericht over het onzorgvuldig omgaan met bijzondere persoonsgegevens en het stelen van data uit onze GGD-systemen.
"Wij allemaal"? Was ook de GGD/GHOR-top dan geschokken, terwijl Nieuwsuur al maanden geleden
berichtte over het onzorgvuldig omgaan met gegevens, wat ook leidde tot vragen van de AP, en ook medewerkers aangeven al eerder binnen de GGD dit probleem aangekaart te hebben?
Er is sprake van een ernstig misdrijf met grote impact. Voor ons en eigenlijk voor iedereen in Nederland.
Nou, toch vooral voor de mensen wier data gestolen is, denk ik, Voor de GGD/Ghor zelf lijkt het me slechts imago-schade (als (semi-)overheid verlies je daar geen klanten door), met misschien later nog een financiele tik op de vingers van de AP (broekzak-vestzak).
Verhalen over de GGD en de veiligheid en beveiliging van onze data en ICT-systemen volgden elkaar in rap tempo op. Verhalen vol feiten en verzinsels, onjuistheden en onvolledigheden, terechte en onterechte kritiek. Maar hoe zit het nu echt? Een repliek.
Feiten, terechte kritiek: 2. Verzinsels, onjuistheden, onvolledigheden, onterechte kritiek: 4. Dat geeft dan alvast aan hoe de GGD/Ghor top zelf tegen de berichtgeving aankijkt: als overwegend onjuist.
Deze ernstige situatie roept heel begrijpelijk allerlei emoties op. Bij ons als GGD’ers en ook bij mensen in Nederland. Mensen die zich hebben laten testen, vaccineren en mee hebben gedaan aan bron- en contactonderzoek. Emoties als verontwaardiging, verdriet en frustratie. Bezorgdheid en boosheid. Ongeloof en onbegrip. Wij begrijpen dat heel goed. Wij voelen ook die pijn. Het spijt ons dat dit zo heeft kunnen gebeuren.
Even op de emotionele toer, ok, vooruit. Spijt is al iets.
Omdat dit afleidt van waar we ons in het land allemaal mee bezig zouden moeten houden: ervoor zorgen dat we dat verwoestende en ontwrichtende coronavirus onder controle krijgen én houden. Daar zou alle focus en energie op gericht moeten zijn. Ook die van ons.
Ehh, nee. Natuurlijk zijn er sectoren waar alle focus (terecht) op corona-bestrijding ligt, zoals bij de GGD, en als je in zo'n sector zit en al maanden met niets anders bezig bent, dan verlies je andere dingen misschien wat uit het oog. Maar als mijn baas mij vraagt wat ik de hele dag gedaan heb, en ik antwoord dat ik me bezig heb gehouden met het onder controle krijgen van het corona-virus, dan krijg ik geen pluimpje, maar een dikke vinger. Er zijn in dit land namelijk ook nog steeds een heleboel mensen bezig met ondanks alle beperkingen zo goed mogelijk hun normale werk te doen, die de economie (en daarmee indirect ook de zorg en de corona-bestrijding) nog een beetje draaiend houden. En dan heb ik nog geluk, want er zijn ook zat mensen in hard getroffen sectoren die graag hetzelfde zouden doen, maar nu vooral hun focus en energie nodig hebben om simpelweg het hoofd boven water te houden. Meehelpen door me aan de regeltjes te houden en verder een beetje gezond verstand te gebruiken, ja prima, maar alle focus op corona: nee, echt niet.
En dat je focus primair op corona-bestrijding ligt, wil niet zeggen dat je elementaire zaken maar achterwege moet laten. Ook als je snel ergens met de auto naartoe moet, kun je misschien toch beter even de tijd nemen om je veiligheidsgordel vast te klikken.
Maar goed, ook dit was natuurlijk nog steeds een beroep op emotie, "met z'n allen" tegen het "verwoestende en ontwrichtende" corona-virus (die twee adjectieven moesten er natuurlijk toch even bij, ondanks dat iedereen ondertussen wel de impact van het virus danwel de tegen-maatregelen ondervonden heeft).
Persoonsgegevens van burgers zijn gestolen. En het lijkt erop dat zij die gegevens uit onze GGD-systemen te koop hebben aangeboden of gedeeld met onbevoegden. Voor de duidelijkheid: wij (GGD en politie en justitie) hebben vernomen dat er datasets worden aangeboden, maar er is niet waargenomen dat deze ook daadwerkelijk zijn verkocht of verhandeld. Dit is allemaal nog onderdeel van het grootschalige en grondige onderzoek van politie en justitie. Zij nemen deze situatie zeer hoog op. En daar zijn wij blij mee.
Dat zou dan een gelukje voor de slachtoffers zijn, als er nog niets daadwerkelijk verhandeld is. Maar dat verandert weinig aan wat er fout is gegaan bij de GGD. Waarom is de GGD er trouwens blij mee dat politie en justitie dit grootschalig en grondig gaan onderzoeken? Een alinea eerder moest nog alle energie en focus van iedereen richting het bestrijden van corona?

Hoe het ook precies blijkt te zitten, wij kunnen er niet omheen dat dit heeft kunnen gebeuren. Mensen hebben misbruik kunnen maken van data omdat ze daar ruim toegang toe hadden. De gelegenheid maakt de dief.
Kijk, da's inderdaad het punt.
Wij hebben naar eer en geweten keihard gewerkt en keihard ons best gedaan. Maar het was niet genoeg. Er zijn fouten gemaakt. Daar lopen wij niet voor weg.[...] Ervoor zorgen dat zoveel mensen zo snel mogelijk getest konden worden. Dat was de opdracht die we kregen. In die strijd hebben we lastige keuzes moeten maken over systemen en de inrichting daarvan.
Natuurlijk had niemand de bedoeling dat dit zou gebeuren, en natuurlijk hebben de meeste mensen naar eer en geweten gewerkt. Maar in een bedrijf dat toch al een beetje gewend zou moeten zijn aan het omgaan met medische, dus gevoelige, gegevens, zou je toch verwachten dat de bedrijfscultuur er voor zou zorgen dat zorgvuldigheid niet helemaal aan de kant wordt geduwd voor snelheid ("ja, we zijn langzaam, maar wel zorgvuldig", zou een bepaalde minister dan zeggen)? En dat als er signalen komen over problemen op dat vlak, dat die ook opgepakt worden?
Hier zijn de GGD’en mee gaan werken toen wij de opdracht kregen van het ministerie van VWS om mensen te gaan testen op het coronavirus. Dit was tot dat moment geen rol van de GGD.
Nou ben ik geen jurist, maar als ik de
Wet Publieke Gezondheid art. 6 en art. 14 lees, dan krijg ik sterk de indruk dat dat juist wel al altijd tot het takenpakket van de GGD behoorde...
Een goed en veilig systeem– en dat is het ook.
QED?
Overigens zijn er in het najaar van 2020 naar aanleiding van berichten in de media vragen aan ons gesteld door de Autoriteit Persoonsgegevens (AP) over CoronIT. Deze vragen hebben wij beantwoord, waarna de AP geen aanvullende vragen had.
De AP
geeft toch een iets andere nuancering:
De AP heeft na de Nieuwsuur-berichtgeving in september één keer navraag gedaan bij de GGD. "Dat is een reguliere werkwijze", zegt een woordvoerder vandaag. "Een waarschuwing, een serieus gesprek. We hebben daarna geen tussenrapportage uitgevoerd." De toezichthouder ging ervan uit dat het voldoende was. Bij nieuwe "signalen/klachten" kan de AP handhavend optreden, liet de toezichthouder toen wel weten aan de GGD."
Elk systeem is zo sterk als de zwakste schakel en meestal zijn de mensen de zwakste schakel. Dat lijkt ook in dit geval zo te zijn.
Inderdaad. Iedereen die een security-opleiding/training heeft gehad heeft ingeprent gekregen dat mensen meestal de zwakste schakel zijn. Eigenlijk is het verder dus onnodig om op applicatie/technisch niveau iets aan informatiebeveiliging te doen

Wij zijn blij dat er afgelopen weekend – toen bekend werd dat er persoonsgegevens buiten onze ‘poorten’ terecht waren gekomen – direct twee mensen zijn gearresteerd.
Ondanks de GGD, die bij gebrek aan monitoring nergens vanaf wist (of op z'n minst de schijn kon ophouden), maar dankzij werk van journalisten en politie/justitie.
Enzovoorts. Nou ja, in ieder geval komen ze met een spijtbetuiging, in plaats van het jaren door te laten sudderen of onder de pet te houden, zoals sommige andere overheidsdiensten...
[Reactie gewijzigd door tympie op 22 juli 2024 13:44]