image

AP slecht bereikbaar door vragen over handel in privédata uit GGD-systemen

woensdag 27 januari 2021, 09:56 door Redactie, 5 reacties

De Autoriteit Persoonsgegevens is door vragen over de handel in privégegevens uit GGD-systemen op het moment slecht bereikbaar, zo laat de privacytoezichthouder via de eigen website weten. Afgelopen maandag bleek dat twee GGD-medewerkers gegevens van mensen die zich op corona hebben laten testen te koop op internet aanboden. Het gaat om privédata afkomstig uit twee coronasystemen van de GGD waar de medewerkers toegang toe hadden.

De Autoriteit Persoonsgegevens (AP) heeft hierover zeer veel telefoontjes van ongeruste mensen gekregen. "Daarom zijn we op dit moment telefonisch slecht bereikbaar. De wachttijden zijn lang", aldus de toezichthouder. De aangeboden gegevens bestonden onder andere uit naam, adresgegevens, geboortedatum en burgerservicenummer.

Wie zich op corona heeft laten testen en zich zorgen maakt over de datahandel wordt aangeraden om eerst contact op te nemen met de GGD. De Autoriteit Persoonsgegevens gaat pas met klachten van mensen aan de slag als ze die eerst schriftelijk zelf bij de GGD hebben ingediend. De privacytoezichthouder heeft de GGD om opheldering gevraagd en laten weten dat het mensen over de diefstal moet informeren. Dit moet de GGD onder andere via de website en een informatienummer doen.

Via de eigen website meldt de GGD dat het vanwege het lopende onderzoek momenteel geen uitspraken over de zaak kan doen. "Wij verwachten dat deze criminele actie vragen oproept over de veiligheid van het laten testen en de manier waarop de GGD’en met de persoonsgegevens omgaan." Om de vragen te beantwoorden is dit document online gezet (pdf).

Image

Reacties (5)
27-01-2021, 10:04 door Anoniem
Het probleem blijft natuurlijk dat die gegevens er zijn terwijl ze niet nodig zijn...
Maar ja, daar hoor je AP niet over.
27-01-2021, 10:16 door Anoniem
Door Anoniem: Het probleem blijft natuurlijk dat die gegevens er zijn terwijl ze niet nodig zijn...
Maar ja, daar hoor je AP niet over.
Dat is hun taak ook niet!
27-01-2021, 11:25 door Anoniem
De inkt van miskleun 1 is nog niet droog of miskleun 2 komt er achteraan:

Vervolgens hebben wij controles uitgevoerd in onze systemen én volledige toegang gegeven aan de politie tot onze systemen om de opsporing zo goed mogelijk plaats te kunnen laten vinden.

Niet dat het verkeerd is toegang tot logs en dergelijke of zelfs tot de schijven te geven, maar op forensische trainingen wordt geleerd dat je dat niet onvoorwaardelijk moet doen. Dat geldt natuurlijk extra voor gegevens waarover een medisch beroepsgeheim bestaat en waar je dus nog steeds een verantwoordelijkheid over draagt daar vertrouwelijk mee om te gaan (en eindverantwoordelijk bent voor wat de politie er mee gaat doen, want de betrokkene heeft een vertrouwensrelatie met jou en niet de politie). Dit nodigt uit tot toeslagenaffaire-achtige zaken, of zo'n kwestie als de Mossad die een keer andermans identiteit ongevraagd gebruikt heeft voor een aanslag op een Hamas-lid, waarop onze onschuldige derde een serie doodsbedreigingen in zijn inbox vond...

Wij controleren op verschillende manieren hoe onze medewerkers omgaan met de informatie in onze systemen. En dat heeft eerder geleid tot de ontdekking van onregelmatigheden en tot het nemen van maatregelen.

De kunst van het politiek bedrijven bestaat uit het met gebruik van zo veel mogelijk woorden zo min mogelijk zeggen... Dat het niet afdoende is gebleken staat vast. Of het naar de stand der techniek voldoende is geweest mag de Autoriteit Persoonsgegevens uitzoeken.

De Autoriteit Persoonsgegevens heeft tot nu toe geen aanvullende vragen gesteld over de werkwijze.

OK, dus als een overbelaste controle organisatie je - nog - niet betrapt heeft, is dat bewijs dat je goed bezig bent... Juist ja...

Alleen mensen die voor hun werk noodzakelijk toegang moeten hebben tot een persoonsdossier, mogen dit dossier inzien.

Mogen zal wel kloppen. Kunnen is een ander verhaal zoals blijkt uit het feit dat alle 26000 medewerkers toegang tot alle gegevens hadden. Dat legt de uiteindelijke keuze bij de medewerker. Stel dat kernwapens zo werkten. "Beste soldaat, je mag ze alleen afvuren op bevel van de president, maar hier heb je de sleutels waarmee je ze allemaal kan afvuren"......

Daarnaast schalen we de monitoring van het gebruik van onze systemen verder op. We verwachten we eind maart systemen te implementeren die automatisch en continu zullen controleren. Hier werken wij al geruime tijd aan.

Hetgeen een bekentenis is dat deze dingen voorheen en ook nu niet in place zijn. Geen IT draaiboeken misschien voor een eventualiteit dat je op stel en sprong een grootschalige database moet opzetten?

Wij leggen persoonsgegevens vast zoals naam, adres, woonplaats, telefoonnummer/e-mailadres, BSN, geslacht, geboortedatum.

Het woordje zoals schept onduidelijkheid. Is het nou ja, of nee. Of in sommige gevallen wel en in andere gevallen niet (en als je het precies wil weten voor jezelf, stuur dan een mail aan...). Wat is dit voor informatievoorziening? Wat er nu precies in de gevarenzone zit is nu juist de kern van het nemen van eventuele maatregelen tegen ID-fraude. En juist daar grijpt men naar het politieke antwoord.

Dat hangt van de rol van de gebruiker af: De gebruiker ziet alleen diegegevens die hij of zij op dat moment voor zijn werk nodig heeft.

De wens lijkt hier bepaald de vader van de gedachte te zijn, gezien iederen access tot alles had. Ergo, men zegt hier hoe men had gehoopt hoe het zou zijn en niet hoe het is.

En tot slot ontbreken er een paar punten die hier absoluut in hadden moeten staan.

- Waar kan ik een informatieverzoek indienen?
- Hoe kan ik contact opnemen met de verwerkingsverantwoordelijke?
- Hoe kan ik contact opnemen met de Functionaris Gegevensbescherming?
- Wat zijn de belangrijkste potentiële risico's voor mij als betrokkene?
- Welke stappen kan ik ondernemen om die risico's te verminderen?

Uit het ontbreken van uitgerekend deze punten blijkt dat de GGD - zoals gewoonlijk - het veel te druk heeft met het potentiële risico op negatieve publiciteit om zich ook maar een seconde te bekommeren om de eventuele risico's voor de betrokkenen. Die mogen het lekker zelf uitzoeken...

Plus dat we zonder meer nog een stuk of wat (deels nieuwe) overtredingen AVG kunnen vaststellen... Waarvan akte en/of klacht...
27-01-2021, 13:55 door Anoniem
"De Autoriteit Persoonsgegevens gaat pas met klachten van mensen aan de slag als ze die eerst schriftelijk zelf bij de GGD hebben ingediend."
Dus je moet dan nogmaals jouw persoonsgegevens aan de GGD geven, waar ze eerder niet zo heel zuinig mee omsprongen. Strak plan.

Nog afgezien van dat je ook al jouw persoonsgegevens aan de AP moet geven. Ook gegevens die totaal niet relevant zijn, anders wordt de klacht niet behandeld. Wat staat daar ook alweer over in de AVG?
01-02-2021, 16:47 door Anoniem
En tot slot ontbreken er een paar punten die hier absoluut in hadden moeten staan.

- Waar kan ik een informatieverzoek indienen?
- Hoe kan ik contact opnemen met de verwerkingsverantwoordelijke?
- Hoe kan ik contact opnemen met de Functionaris Gegevensbescherming?
- Wat zijn de belangrijkste potentiële risico's voor mij als betrokkene?
- Welke stappen kan ik ondernemen om die risico's te verminderen?

Uit het ontbreken van uitgerekend deze punten blijkt dat de GGD - zoals gewoonlijk - het veel te druk heeft met het potentiële risico op negatieve publiciteit om zich ook maar een seconde te bekommeren om de eventuele risico's voor de betrokkenen. Die mogen het lekker zelf uitzoeken...

Plus dat we zonder meer nog een stuk of wat (deels nieuwe) overtredingen AVG kunnen vaststellen... Waarvan akte en/of klacht...

Dat laatste hadden ze nou net wel op orde: https://ggdghor.nl/privacyverklaring-coronit/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.