image

AP wil opheldering van GGD over onbevoegde inzage uitslagen coronatests

donderdag 17 september 2020, 15:27 door Redactie, 16 reacties

De Autoriteit Persoonsgegevens wil opheldering van de GGD over medewerkers van coronatestlijnen die uitslagen van coronatests kunnen inzien, terwijl ze hier eigenlijk geen toegang toe zouden moeten hebben. In de Tweede Kamer zijn vragen aan minister De Jonge van Volksgezondheid gesteld.

Gisteren maakte Nieuwsuur bekend dat testlijnmedewerkers die toegang tot het CoronIT-systeem hebben, met een geboortedatum en achternaam, een straatnaam en postcode of een burgerservicenummer, alle testafspraken, uitslagen, medische aantekeningen en telefoonnummers kunnen inzien. Ook zouden gegevens, zoals 06-nummers en testuitslagen, soms worden gedeeld in Whatsapp-groepen van medewerkers die elkaar om hulp vragen.

"Het kan absoluut niet. Het medisch beroepsgeheim is hier aan de orde. Als jij iets over je gezondheid deelt met een ander moet die daarover zwijgen. Zeker de mensen die voor de GGD werken. Dat moet goed beveiligd zijn en daar mag je alleen bij als het ook echt moet. Dat mag je zeker niet delen met iemand die daar niet bij kan. Dat is gewoon heel vervelend", aldus AP-voorzitter Aleid Wolfsen tegenover BNR.

De toezichthouder werd al voor de uitzending van Nieuwsuur gebeld met vragen over de situatie. "We gaan nu ook vragen stellen aan de GGD, hoe het zit en of het klopt. De GGD'en zijn er zelf verantwoordelijk voor. Wij houden er toezicht op. Het moet echt netjes, goed en privacyvriendelijk gebeuren. Wat privé is, je gezondheid, met ook privé blijven", aldus Wolfsen.

SP-Kamerlid Hijink wil dat minister De Jonge van Volksgezondheid opheldering geeft. "Hoe lang speelt dit al? Hoe lang zijn u en de GGD hiervan al op de hoogte?", stelt Hijink de vraag. Ook wil het SP-Kamerlid weten of het klopt dat hier de Algemene verordening gegevensbescherming (AVG) wordt overtreden en wat er wordt gedaan om ervoor te zorgen dat het testbeleid aan de AVG voldoet. De minister heeft drie weken de tijd om de vragen te beantwoorden.

Reacties (16)
17-09-2020, 15:55 door karma4
Het ap had dit al lang kunnen inzien met de corona app, Ze lopen achter de feiten aan en reageren op wat in het nieuws hot is.
17-09-2020, 16:01 door MathFox
Door karma4: Het ap had dit al lang kunnen inzien met de corona app, Ze lopen achter de feiten aan en reageren op wat in het nieuws hot is.
Let even op klok en klepel; dit gaat om gegevensverwerking die los staat van de corona-app.
17-09-2020, 16:41 door MrMerlin
Ik kan mij nog vaag een situatie herinneren in het Hagaziekenhuis, met personen die wisten van medisch beroepsgeheim, maar toch even in het dossier van Barbie wilde kijken.

Daarom is autorisatiebeheer nu juist zo belangrijk.

Maar ja dit wordt allemaal Agile uit de grond gestampt en dan komen Security onderwerpen regelmatig in de verdrukking.
17-09-2020, 17:22 door [Account Verwijderd] - Bijgewerkt: 17-09-2020, 17:23
We hebben het over grasduinen, maar er zijn meer overheidsinstanties die (onbedoeld) grasduinen mogelijk maken omdat zij in e-mail het verschil tussen Aan:, CC en BCC niet blijken te kennen.
https://beveiligingnieuws.nl/nieuws/gegevens-van-ruim-honderd-agenten-met-ptss-gelekt
17-09-2020, 18:46 door Anoniem
Door karma4: Het ap had dit al lang kunnen inzien met de corona app,

Goh, dus met de coronoa-app kunnen gebruikers vertrouwelijke gegevens raadplegen van het GGD die niet op hen zelf betrekking hebben. Dus bv van BN'ers.

Is dit een nieuwe feature?
Waar is hier documentatie over te vinden?
Graag nadere informatie svp. Een linkje of zo.
18-09-2020, 00:41 door Anoniem
Door Anoniem:
Door karma4: Het ap had dit al lang kunnen inzien met de corona app,

Goh, dus met de coronoa-app kunnen gebruikers vertrouwelijke gegevens raadplegen van het GGD die niet op hen zelf betrekking hebben. Dus bv van BN'ers.

Is dit een nieuwe feature?
Waar is hier documentatie over te vinden?
Graag nadere informatie svp. Een linkje of zo.

Wat heeft dit artikel met de Corona app te maken?
Als je niet weet waar je over praat moet je niet oordelen...
18-09-2020, 07:26 door Anoniem
Fijn dat watshap er ook weer bij betrokken is. Lang leve veesboek!

Dus dan toch maar voorkomen dat je getest wordt. Met het jaren lang bewaren van de gegevens (die voor de geteste persoon dan geen waarde meer hebben...) was dat hoe dan ook al een goed idee!
Jammer dat men zelfs met zo'n pandemie alles op alles zet om te kunnen datagraaien ipv. het nu eens een keer fatsoenlijk te regelen.
18-09-2020, 11:40 door karma4
Door MathFox: Let even op klok en klepel; dit gaat om gegevensverwerking die los staat van de corona-app.
De klok:
1- Corona app zou bco gaan ondersteunen, gebouwd is een app die een advies geeft om te gaan testen .
2- Het ap was betrokken voor het advies bij de corona app. Ze zagen geen nut want dat moest via een nieuwe wet moeten.
De klepel;
3- De corona app heeft een backend nodig voor de besmette gevallen. Backend in beheer bij de GGD's (RIVM)
4- het testen wat er advies uit de app komt wordt onder beheer bij de GGD's (RIVM) gedaan.
5- BCO is verdwenen hoorde er bij

Klok en klepel maken geluid, dat is de bedoeling. Het doel is bestrijding van besmettelijke ziekte, volksgezondheid.
Wil je het geluid waarom het gaat dan moet je niet 1 onderdeel nemen maar alles uit de lijst.
Pak je een onderdeeltje er uit dan ben snel bezig met een spaak in het wiel te steken.

Door Anoniem: Wat heeft dit artikel met de Corona app te maken?
Als je niet weet waar je over praat moet je niet oordelen...
Zie uitleg, wat er gebeurt als er te veel personen enkel met details en eigen doelen bezig zijn is dat het werkelijke doel verloren gaat. Inderdaad zo'n beetje de situatie in NL.
18-09-2020, 12:34 door MrMerlin
Door karma4:

1- Corona app zou bco gaan ondersteunen, gebouwd is een app die een advies geeft om te gaan testen .

Inderdaad de APP en het GAEN/DP3T protocol gaat ervan uit dat je op een privacyvriendelijke manier aan anderen kunt laten weten dat jij besmet ben geraakt en dat er contact geweest is. Hierbij was dit bedoelt om contacten te kunnen vinden die niet via een normaal BCO zouden worden gevonden.

De App is dus aanvullend op BCO en de enige manier om op een privacy vriendelijke manier de contacten handelingsperspectief te geven is om deze mensen op te roepen om te testen of om in quarantaine te gaan.
18-09-2020, 13:27 door Anoniem
Door karma4: Klok en klepel maken geluid, dat is de bedoeling. Het doel is bestrijding van besmettelijke ziekte, volksgezondheid.
Wil je het geluid waarom het gaat dan moet je niet 1 onderdeel nemen maar alles uit de lijst.
Pak je een onderdeeltje er uit dan ben snel bezig met een spaak in het wiel te steken.
Als duidelijk dat in één onderdeel van de hele keten een fout zit dan heb je niet de hele keten nodig om te kunnen overzien dat die fout in dat ene onderdeel er is.

En dat is hier het geval: in CoronIT, het systeem voor testafspraken en testuitslagen, hebben mensen toegang tot gegevens waar ze geen donder mee te maken hebben en daar zijn ook dingen mee misgegaan. Wat er allemaal goed en niet goed zit in de Corona-app en het backendsysteem daarvoor verandert daar helemaal niets aan.

Als op deze fout wijzen een spaak in het wiel steken is, dan suggereer je als de klagers naar de hele keten (volksgezondheid, bestrijding van de epidemie) hadden gekeken ze zouden hebben geconcludeerd dat de privacyschending er niet is of dat die acceptabel is. Dat klopt niet: dit gegevenslek is in dat grotere geheel precies even groot als die nu is.

Ik denk overigens dat dit allemaal met grote haast uit de grond gestampt is, en dat die haast ook nodig was om aan het werk te kunnen. Dat er dan dingen niet goed zitten is onvermijdelijk. Dat wil niet zeggen dat het dan maar goed gevonden moet worden, een fout is een fout en is niet in orde. Ook als je begrip hebt voor de omstandigheden verandert de conclusie niet dat er wat aan gedaan moet worden. En dat moet hier, want aan de AVG voldoen is een wettelijke verplichting. Dat aankaarten is geen spaak in het wiel steken maar noodzakelijk om de fouten eruit te halen. Een applicatie werkt pas naar behoren als die aan de eisen voldoet, of het nou om gegevenslekken of om andere problemen gaat. Deze applicatie werkt duidelijk nog niet naar behoren, en daar moet dus iets aan gedaan worden. En dat gebeurt niet als niemand erover valt en van zich laat horen.
18-09-2020, 13:46 door Anoniem
Door karma4: De klok:
1- Corona app zou bco gaan ondersteunen, gebouwd is een app die een advies geeft om te gaan testen .
2- Het ap was betrokken voor het advies bij de corona app. Ze zagen geen nut want dat moest via een nieuwe wet moeten.
De klepel;
3- De corona app heeft een backend nodig voor de besmette gevallen. Backend in beheer bij de GGD's (RIVM)
4- het testen wat er advies uit de app komt wordt onder beheer bij de GGD's (RIVM) gedaan.
5- BCO is verdwenen hoorde er bij

Zucht,


En vervolgens (na dit verhaal) komt de data van de uitslag en het contactenonderzoek en andere prive-gegevens van personen in een systeem van de GGDs terecht (PUNT 6).

En nog weer later komt die data op Whatsapp of bij kennissen van de mensen die op de testlijn werken terecht (PUNT 7).

Het gaat fout bij PUNT 7.
Daar kan de app niets aan doen. (vandaar klok - klepel. het echte probleem zit hem in de personen die de beiechtgeheimen doorvertelt)

Dit is een fout in de inrichting van de systemen van de GGD (want privacy en security staan weer eens achteraan) en bij de manier waarop medewerkers werken.
Het bewustzijn dat je zorgvuldig met gevoelige data omgaat zit daar niet tussen de oren.

In de hele gezondheidszorg (ziekenhuizen, ggds, etc) mioet meer dan alleen bewustzijns-campagnes gehouden worden. Die werken blijkbaar niet.
Individuen die dit doen moeten financieel afgestraft worden. En dit duidelijk gemaakt krijgen bij in dienst treding.

Of moeten we wachten tot de data van BN-ers (politici of koninklijk huis) gelekt is, voordat er actie ondernomen wordt. Iets van de put dempen als het kalf al verdronken is.
18-09-2020, 15:13 door Anoniem
Door karma4:
Door MathFox: Let even op klok en klepel; dit gaat om gegevensverwerking die los staat van de corona-app.
De klok:
1- Corona app zou bco gaan ondersteunen, gebouwd is een app die een advies geeft om te gaan testen .
2- Het ap was betrokken voor het advies bij de corona app. Ze zagen geen nut want dat moest via een nieuwe wet moeten.
De klepel;
3- De corona app heeft een backend nodig voor de besmette gevallen. Backend in beheer bij de GGD's (RIVM)
4- het testen wat er advies uit de app komt wordt onder beheer bij de GGD's (RIVM) gedaan.
5- BCO is verdwenen hoorde er bij

Klok en klepel maken geluid, dat is de bedoeling. Het doel is bestrijding van besmettelijke ziekte, volksgezondheid.
Wil je het geluid waarom het gaat dan moet je niet 1 onderdeel nemen maar alles uit de lijst.
Pak je een onderdeeltje er uit dan ben snel bezig met een spaak in het wiel te steken.

Door Anoniem: Wat heeft dit artikel met de Corona app te maken?
Als je niet weet waar je over praat moet je niet oordelen...
Zie uitleg, wat er gebeurt als er te veel personen enkel met details en eigen doelen bezig zijn is dat het werkelijke doel verloren gaat. Inderdaad zo'n beetje de situatie in NL.

Die hele corona APP heeft hier geen drol mee te maken, het gaat om de applicatie die de GGD afsprakenlijn gebruikt en dat is niet de CORONA app.

Het gaat mis bij mr. de jonge die dingen roept en dan moet de GGD het maar regelen, daarnaast levert dat uitzendbureau dus zwaar onbetrouwbare medewerkers aan dat callcenter.... die hun geheimhouding overtreden.

Plus, het is zwaar overdreven dat mensen niet weten wat ze moeten doen want ze hoeven niets anders te doen dan een afspraak te plannen, ze hoeven helemaal geen :medische" vragen te beantwoorden. Kijk het filmpje, hij spreekt zichzelf tegen want hij doet alsof ie dat moet doen en z'n collega zegt dat ze die moeten doorverbinden naar de GGD.

Waarschijnlijk zit er dus een kern van waarheid in maar is het ook weer zwaar overdreven. Er zitten tussen die 2100 medewerkers gewoon wat rotte appels, net zoals bij de politie corrupte politieagenten werken.
18-09-2020, 15:31 door karma4 - Bijgewerkt: 18-09-2020, 15:33
Door Anoniem:
En vervolgens (na dit verhaal) komt de data van de uitslag en het contactenonderzoek en andere prive-gegevens van personen in een systeem van de GGDs terecht (PUNT 6).
....
Inderdaad dat is 6. Alleen hebben de GGD"'s sinds jaar en dag de betreffende bevoegdheden en verantwoordelijkheden.
Het is geen probleem dat ze gericht persoonsgegevens verwerkenm het hoort bij de taak.
Privacy zit bij de GGD's wel degelijk tussen de oren.

Het is een probleem dat in het geheel niet voorzien is dat die verwerkingen massaal zouden toenemen. Ze richten er aan de voorkant van alles voor in dat mensen zich gaan laten testen. Niemand dacht na hoe dat aan de backend zou uitpakken.
Systemen niet opgepakt gericht onderscheid bijvoorbeeld regio-s / tijd, ik lees er niets over.
Ik lees wel dat men snel een blik mensen op een extern contract aan het werk heeft gezet.
Het AP en kennis over de medische wereld? Ik ben inmiddels overtuigd dat het AP beweert overal verstand van te hebben: ICT gezondheid overheid marketing, maar daar absoluut niet in thuis is.
18-09-2020, 16:44 door Anoniem
Door karma4: Het is geen probleem dat ze gericht persoonsgegevens verwerkenm het hoort bij de taak.
Privacy zit bij de GGD's wel degelijk tussen de oren.

Dan zou dit probleem nu niet spelen.
Privacy is niet iets dat je alleen maar in een computersysteem stopt.
Het is ook de manier waarop je medewerkers (al dan niet ingehuurd) werken. In dit geval via whatsapp en door informatie met hun kennissen te delen, in plaats van hun werk doordacht te doen. Dit is nooi goed te praten. Ook oevrwerk en epidemie zijn geen excuses voor dit laakbaar gedrag van deze mensen.
Ook bij inhuur mag je aannemen dat er bepaalde voorwaarden opgenomen zijn in het contract. Een geheimhoudingsplicht bijvoorbeeld. En als er een bureautje ingehuurd wordt, een verwekersovereenkomst.
Daar gaat het dus wel degelijk bij de GGDs fout.
En blijkbaar signaleren de GGDs dit niet als een probleem, anders hadden ze er al wat aan gedaan.


Door karma4: Het is een probleem dat in het geheel niet voorzien is dat die verwerkingen massaal zouden toenemen. Ze richten er aan de voorkant van alles voor in dat mensen zich gaan laten testen. Niemand dacht na hoe dat aan de backend zou uitpakken.

GGDs zijn ingericht op het kunnen opschalen. Dat is keer op keer geroepen.
Daarnaast heeft het volume niets te maken met zorgvuldigheid. Extra mensen inhuren, betekent niet dat je je processen los laat.(mag ik hopen)
Het zorgvuldig omgaan met gegevens zou dus juist wel al in hun processen ingebed moeten zijn, als alles op orde was.
Maar gezondheidszorg en privacy/secuirty is al sinds jaar en dag een probleem. Niet alleen bij de GGDs.


Door karma4: Het AP en kennis over de medische wereld? Ik ben inmiddels overtuigd dat het AP beweert overal verstand van te hebben: ICT gezondheid overheid marketing, maar daar absoluut niet in thuis is.

Het AP is een controlerende instantie. Waarom moet het AP detail kennis hebben van de medische wereld? Is die anders dan de rest van de wereld? Heeft de medische wereld een status-aparte?
Waarom zou de medische wereld zich niet aan de geldende regels hoeven te houden. En waar is dat in vast gelegd?

Ga naar de GGDs (of het ministerie) toe, als het gaat om het opstellen en implementeren van goede processen en procedures. Die zouden kennis in huis moeten hebben van zowel gezondheid als privacy/security.
En erop toezien dat de medewerkers zich daar vervolgens ook aan houden. En er op toezien dat dit gebeurt.
Daar zit de faal. Niet bij het AP.

Het AP kan wel beoordelen of de opgestelde processen en procedures voldoen aan de eisen die de wet er aan stelt. Daarin is de medische wereld niet anders dan de rest van de (maatschappelijke) wereld.
18-09-2020, 21:15 door Anoniem
Onbevoegde inzage, goh, had echt niemand zien aankomen. *zucht*
Straks nog: ja, we hadden gezegd het niet voor die doeleinden te gaan gebruiken, maar gaan we toch maar wel doen, en koppelen aan de duizenden andere databases die we net zo "goed" beheren, want onze bevriende lobbyisten vinden dat wel een goed idee. Kost maar tig miljoenen belastinggeld, maar wij krijgen dan leuke grafiekjes te zien, waarop wij dan beleid gaan bepalen. Garbage in, garbage out, en de burger betaalt wel, steeds meer, meer, meer.
19-09-2020, 08:05 door karma4
Door Anoniem:

Dan zou dit probleem nu niet spelen.
Privacy is niet iets dat je alleen maar in een computersysteem stopt.
Het is ook de manier waarop je medewerkers (al dan niet ingehuurd) werken. In dit geval via whatsapp en door informatie met hun kennissen te delen, in plaats van hun werk doordacht te doen. Dit is nooi goed te praten. Ook oevrwerk en epidemie zijn geen excuses voor dit laakbaar gedrag van deze mensen.
...

Ga naar de GGDs (of het ministerie) toe, als het gaat om het opstellen en implementeren van goede processen en procedures. Die zouden kennis in huis moeten hebben van zowel gezondheid als privacy/security.
En erop toezien dat de medewerkers zich daar vervolgens ook aan houden. En er op toezien dat dit gebeurt.
Daar zit de faal. Niet bij het AP.

Het AP kan wel beoordelen of de opgestelde processen en procedures voldoen aan de eisen die de wet er aan stelt. Daarin is de medische wereld niet anders dan de rest van de (maatschappelijke) wereld.
Het was allemaal in maart al bekend dat de inzet van mensen bij de GGD's een groot probleem zou worden.
Als oplossing werd bedacht dat met een app op mankracht te besparen was en dat er opgeschaald moest worden.

Het AP is wel degelijk een probleem met hun houding.
Wat doen ze:
- Reageren op nieuws is als er iets fout gaat en dan nog meer de focus op problemen en hoe erg het wel niet is leggen.
- Op de stoel van anderen gaan zitten en wel achteraf, dat anderen het alleen maar fout doen en dat zij wel zullen optreden.
- Op kleine details gaan eisen dat er veranderingen aangebracht moeten worden en wetten veranderd
Wat doen ze niet:
- Proactief handvatten geven hoe je iets goed zou moeten inrichten
- Meedenken als er een groot probleem is met visie over de ketens heen.
Bijvoorbeeld epidemie bestrijding dan wel fraude bestrijding of ... (neem maar).
Met cookies en andere zaken blijven ze opvallend passief.

Het enkel voldoen aan wat zij denken wat de wet is, gaat ook al niet goed.
Als voorbeeld het gebruik BSN waarvan ze beweren dat het tot fraude leidt. Volgens de wet is der verwerker verantwoordelijk voor een gedegen controle. Als hij dan toch verhaalt naar een slachtoffer is dat een privacyinbreuk en niet wettelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.