Privacy had meer aandacht moeten krijgen bij het optuigen van het GGD-systeem waarin de gegevens worden opgeslagen van mensen die op corona zijn getest, geeft coronaminister Hugo de Jonge toe. Tijdens een debat over het datalek bij de GGD, waardoor privacygevoelige gegevens van miljoenen mensen konden worden gestolen, pleiten zowel coalitie- als oppositiepartijen voor manieren om deze data beter te beveiligen.
“We moesten meer, harder en beter, en we hebben onvoldoende aandacht voor privacy gehad,” zegt De Jonge. Hij wil kijken of er minder gevoelige data kunnen worden opgeslagen door bijvoorbeeld een tijdelijke code te gebruiken in plaats van het BSN-nummer van iemand die is getest.
Vanuit de media kwamen al enige tijd signalen dat de beveiliging in die systemen niet op orde was. De minister zegt dat hij daarop aan de GGD heeft gevraagd of die dienst de signalen wilde oppakken. De Jonge vindt nu ook “dat ik er toen scherper bovenop had moeten zitten: wát ga je er dan aan doen?” Aan de ene kant zijn het “niet onze systemen” zegt de bewindsman. “Maar aan de andere kant had ik ook kunnen bedenken dat het kan raken aan het vertrouwen in het testsysteem.”
Kamerleden toonden zich al aan het begin De Jonges relaas kritisch. Fleur Agema (PVV) drong aan op een systeem “dat veel laagdrempeliger werkt”, met veel minder opgeslagen data.
Kees Verhoeven (D66) merkte op dat er op basis van steekproeven dertig mensen bij de GGD zijn ontslagen. Maar als er volledige controle plaatsvond, zou er veel meer misbruik zijn opgespoord.
Vanaf maart moeten de logins in de systemen van de GGD automatisch gecontroleerd worden. Eerder dan dat is niet haalbaar, zegt De Jonge. Tot die tijd worden er door zowel interne als externe controleurs dagelijks “veel” controles uitgevoerd om misbruik tegen te gaan.
Een van de systemen die de GGD gebruikt, HP Zone, wordt “zo snel mogelijk” vervangen, aldus De Jonge. Maar dat moet wel zorgvuldig gebeuren. De Jonge wijst op een brief van RIVM-topman Jaap van Dissel, die zegt dat het problemen kan opleveren voor de crisisbestrijding als er “te snel een onvoldoende geteste en nieuwe datastroom” moet worden gebruikt.