Tijdens een training bij de GGD Gelderland-Midden zijn persoonsgegevens van een bestaand iemand getoond, bevestigt koepelorganisatie GGD GHOR Nederland na berichtgeving van De Gelderlander. Ook bevestigt de organisatie dat het kan zijn dat een medewerker die uit dienst trad “korte tijd” nog gebruik kon maken van het account waarmee kan worden ingelogd in de GGD-systemen.
Begin vorig jaar werd bekend dat medewerkers van de GGD persoonlijke gegevens van mensen die zich laten testen op corona of vaccineren hadden gestolen en doorverkocht op de zwarte markt. Afgelopen november meldde de Autoriteit Persoonsgegevens dat er “nog steeds wezenlijke risico’s” voor de bescherming van persoonsgegevens bestaan bij de GGD en dat de organisatie meer moet doen om die gegevens te beschermen.
Over het tonen van persoonsgegevens tijdens de training zegt een woordvoerster van GGD GHOR vrijdag: “Dit is eenmalig gebeurd. Dit hoort niet en is ook niet onze gebruikelijke gang van zaken. Elke opleiding wordt gegeven vanuit een testomgeving met fictieve personen en gegevens. Een medewerker die aan deze training heeft meegedaan heeft dit gemeld bij de GGD Gelderland-Midden. De training is daarop direct aangepast.”
Ze verwijst naar de snelle uitbreiding van de GGD’en en de vele mensen die moesten worden ingewerkt toen in december vorig jaar duidelijk werd dat de GGD’en in korte tijd zoveel mogelijk mensen een boosterprik tegen corona moesten geven. “Tijdens een van deze trainingen was bij de GGD Gelderland-Midden de testomgeving niet beschikbaar en is het systeem geïllustreerd aan de hand van daadwerkelijke persoonsgegevens.”
De Gelderlander meldt verder dat een oud-medewerker van de GGD “nog zeker anderhalve maand” nadat hij met het werk was gestopt kon inloggen in de coronasystemen en daarmee persoonsgegevens, zoals BSN-nummers en mailadressen kon inzien. GGD GHOR zegt daarover: “Wanneer een medewerker niet meer in dienst is zet de regionale GGD het account stop. Dit account is nodig om met het systeem CoronIT te kunnen werken. Het kan zijn dat er bij de GGD Gelderland-Midden een korte tijd heeft gezeten tussen het uit dienst gaan en het stopzetten van het account.”
De Autoriteit Persoonsgegevens (AP) heeft naar de incidenten die De Gelderlander meldt geen onderzoek gedaan, aldus een woordvoerster. De GGD moet in maart aantonen welke verbeteringen de organisatie heeft doorgevoerd op het gebied van bescherming van persoonsgegevens en de AP wacht die rapportage af.