Waar blijft voor GGD het vaccin tegen datalekken?

De GGD is volop in het nieuws wegens het lekken van data. Hoe kan een organisatie die alle beginselen van informatiebeveiliging én crisiscommunicatie heeft geschonden, haar vertrouwen terugwinnen?

Hoeveel kromme tenen kun je krijgen in een week? Persoonsgegevens van Nederlanders liggen op straat en de baas van de GGD ontkent dat er een probleem is. Pas na twee dagen volgde een magere ‘sorry, maar we hadden een beetje haast en eigenlijk valt het allemaal wel mee'. Het leed was toen al geschied. Door niet meteen een adequate publiekelijke reactie te geven, daarna de fout te bagatelliseren en door het ontbreken van snelle ict-acties werd het spreekwoordelijk wrijven in een vlek.

Wat ging hier mis en hoe kan de GGD het publieke vertrouwen terugwinnen, zijn de interessante vragen die komende week bij het Kamerdebat aan de orde komen.

Boegbeeld André Rouvoet

Allereerst de organisatie van de GGD. Er is eigenlijk niet één GGD hetzelfde: er zijn 25 verschillende Gemeentelijke Gezondheidsdiensten met een regionale aansturing; GGD GHOR – met als boegbeeld/voorzitter André Rouvoet – is landelijk belangenbehartiger voor de publieke gezondheid en veiligheid in Nederland. Deze constructie maakt informatiebeveiliging complex en werkt vertragend op crisiscommunicatie bij incidenten, zoals afgelopen week duidelijk werd.

De GGD is uitvoerder van een aantal Covid-maatregelen dat door het kabinet wordt opgelegd. Namens het kabinet is minister Hugo de Jonge verantwoordelijk. Om het vertrouwen terug te winnen, helpt het niet als de minister de Tweede Kamer aantoonbaar met onjuiste antwoorden komt, die publiekelijk meteen worden tegengesproken.

Risicovolle cocktail

Hoe kon het zover komen? Voor deze vraag moet je terug naar de GGD waar bestaande informatiesystemen worden gebruikt bij de verwerking van privacygegevens rondom corona. Die informatiesystemen worden normaliter gebruikt voor reguliere GGD-basistaken: een beperkt aantal zorgmedewerkers heeft dan toegang tot zo’n systeem. Door de plotselinge coronamaatregelen is er sprake van een risicovolle cocktail: een grote politieke druk, veel vertrouwelijke persoonsgegevens bij elkaar, veel tijdelijke medewerkers, weinig tijd voor screening en instructie en geen tijd voor controles.

Ongetwijfeld zullen alle gebruikelijke stappen en vinkjes zijn gezet. Maar basale it-veiligheidsmaatregelen zijn niet of onvoldoende genomen. Zaken zoals bijvoorbeeld het beperken van het aantal opvragen per dag, voorkomen van downloaden van complete lijsten, afschermen van een deel van het burgerservicenummer (bsn) en stevige monitoring op ongebruikelijk gedrag, kunnen door ervaren it'ers in een paar weken worden gerealiseerd. Zelfs op verouderde en/of slecht gebouwde systemen. Waarom is dit dan niet gebeurd?

Het lijkt erop dat is ingeschat dat het realiseren van maatregelen te veel vertraging van corona-testen zou opleveren. En dat de risico’s aanvaardbaar zijn. Dat klinkt logisch, maar is het niet. Het accepteren van het risico dat de gevoelige gegevens (naam, adres, postcode, woonplaats in combinatie met burgerservicenummers) van honderdduizenden Nederlanders gelekt worden, ligt waarschijnlijk ver buiten het mandaat van de GGD. Aanvullende maatregelen zijn dan noodzakelijk om ‘in control’ te blijven. Juist in crisistijd – waar iedereen gefocust is op het blussen van de brand – had ‘ingevlogen’ expertise voor een frisse blik kunnen zorgen: vasthouden aan basale informatiebeveiligingseisen en de experts voldoende mandaat geven om tenminste basismaatregelen meteen in te voeren. Dat is óók daadkracht en dan is er geen RTL-journalist nodig om gebreken in het systeem openbaar te maken en zijn nieuwsgierige medewerkers die op zoek gaan naar de persoonsgegevens van bekende Nederlanders ook snel op te sporen.

Scherpte

Voor crisiscommunicatie geldt hetzelfde. Een communicatieteam dat langdurig betrokken is bij een calamiteit, verliest scherpte, iets wat overigens ook geldt voor bestuurders. Vreemde ogen dwingen dan het best. Snelle en actieve openheid is nog steeds de beste medicijn om het vertrouwen van het publiek terug te winnen. In het belang van iedereen blijft testen noodzakelijk om coronabesmettingen vroegtijdig te kunnen opsporen. Dan moeten privacygegevens bij de overheid wel veilig zijn.

Het is deze week aan minister De Jonge om de Kamer volledig en juist te informeren. En aan de GGD om in het openbaar duidelijk te maken dat ze lessen heeft getrokken uit deze privacykwestie, om te beginnen door duidelijk alle publieksvragen en spelregels rondom het vastleggen van gegevens actief te communiceren.

Lees hier het originele artikel.

Website: https://www.computable.nl/artikel/opinie/security/7130143/1509029/waar-blijft-voor-ggd-het-vaccin-tegen-datalekken.html

Auteurs: Arjan van de Leur, specialist crisiscommunicatie, en Jerry van de Leur, it-architect en specialist informatiebeveiliging

Delen via