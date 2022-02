Het kan "een korte tijd" duren voordat oud-medewerkers van de GGD geen toegang meer tot coronasystemen met persoonsgegevens hebben, zo laat de organisatie tegenover de Gelderlander weten. Een oud-medewerker vertelde de krant dat hij zeker anderhalve maand nadat hij uit dienst was getreden nog vanuit huis in de coronasystemen van de GGD kon inloggen. Hij kon daarbij allerlei persoonlijke gegevens inzien, waaronder BSN-nummer en e-mailadres.

Vorig jaar november waarschuwde de Autoriteit Persoonsgegevens dat het gebruik van eigen apparatuur door GGD-medewerkers in combinatie met de mogelijkheid om op coronasystemen in te loggen buiten een beveiligde werkomgeving, kan leiden tot beveiligingsrisico’s. Ook concludeerde de toezichthouder dat het proces rond het tijdig aanpassen of intrekken van autorisaties nog niet altijd goed verloopt.

Training

Daarnaast deed zich in december een incident voor waarbij tijdens een een training voor nieuwe GGD-medewerkers de persoonsgegevens van een vrouw, die die dag gevaccineerd zou worden, klassikaal werden getoond, zo laat een uitzendkracht van de GGD weten. Het ging hierbij om onder meer BSN-nummer, e-mailadres, adresgegevens en zelfs ziekte en medicijngebruik.

"Dit is eenmalig gebeurd", reageert een woordvoerder van koepelorganisatie GGD GHOR. "Dit hoort niet en is ook niet onze gebruikelijke gang van zaken. Elke opleiding wordt gegeven vanuit een testomgeving met fictieve personen en gegevens." Volgens de woordvoerder is de fout het gevolg van het opschalen van de GGD's voor de boosterprikcampagne.

"Toen in december bekend werd dat de GGD’s zo snel mogelijk moesten beginnen met de boostercampagne, zijn in een korte tijd veel mensen aangetrokken en opgeleid. Tijdens één van deze trainingen was bij de GGD Gelderland-Midden de testomgeving niet beschikbaar en is het systeem geïllustreerd aan de hand van daadwerkelijke persoonsgegevens."

Op dit moment zijn er duizenden uitzendkrachten die op de GGD-systemen kunnen inloggen. Volgens de GGD is het niet mogelijk om ervoor te zorgen dat tijdelijke medewerkers minder persoonsgegevens te zien krijgen dan vaste medewerkers. "De snelheid van de opschalingsoperatie maakte het niet mogelijk onderscheid te maken tussen vaste en tijdelijke medewerkers."