Exporteren van gegevens uit GGD-systeem blijkt al sinds april mogelijk

Het exporteren van lijsten met geteste mensen is al sinds de start van het corona-testsysteem CoronIT van de GGD mogelijk. De functie zit sinds april in het systeem. Dit blijkt uit instructies voor GGD-medewerkers en extern personeel die in handen zijn van de NOS. RTL Nieuws meldt dat de GGD al enkele maanden op de hoogte was van het lek, maar geen maatregelen nam.

De functie is bedoeld voor het maken van rapportages en overdragen van gegevens naar andere systemen. RTL Nieuws meldde maandag echter dat de functie is misbruikt om gegevens te stelen uit de systemen, die vervolgens zijn verhandeld. De GGD maakte hierop het gebruik van de exportfunctie onmogelijk. Het is onduidelijk van hoeveel mensen gegevens zijn gestolen. Ook is vooralsnog niet duidelijk wie slachtoffer is.

In het systeem staan onder meer namen, adresgegevens en burgerservicenummers van mensen die zich bij de GGD hebben laten testen. Ook gegevens van bron- en contactonderzoeken staan in het systeem. Sinds 1 juli 2020 zijn er zo’n 8 miljoen coronatesten afgenomen en 800.000 bron- en contactonderzoeken uitgevoerd.

Zoekfunctie

CoronIT bevat ook een zoekfunctie waarmee gericht naar personen en dossiers kan worden gezocht. Overzichten met deze dossiers kunnen worden geëxporteerd als pdf- of Excel-document. Eenmaal geëxporteerd kunnen zij relatief eenvoudig worden doorgestuurd naar derden.

De GGD maakt ook gebruik van een tweede systeem genaamd HPzone. Ook dit systeem blijkt een zoekfunctie te bevatten voor het zoeken naar personen. In sommige gevallen moet de zoekfunctie per regio worden aangezet voor gebruikers van HPzone, meldt de NOS. Gebruikers kunnen vervolgens zoeken op namen die voorkomen in een bron- en contactonderzoek. Deze gegevens kunnen bijvoorbeeld worden gedeeld door een foto van het scherm te maken.

Al maanden bekend

RTL Nieuws meldt dat het privacylek al maanden bekend was, maar de GGD niet ingreep. Zo hebben medewerkers intern aan de bel getrokken over privacyproblemen, blijkt uit gesprekken van RTL Nieuws met tientallen mensen die voor de GGD betrokken zijn bij het inplannen van testafspraken en het bron- en contactonderzoek. Medewerkers melden dat zij te horen kregen dat de gemelde problemen niet belangrijk genoeg waren, of helemaal geen reactie kregen. De GGD zegt in een reactie niet bekend te zijn met deze signalen en medewerkers die op risico’s wijzen juist te waarderen.

Opvallend is ook dat zowel de GGD als minister Hugo de Jonge benadrukken dat medewerkers die met gevoelige gegevens werken altijd een verklaring omtrent gedrag (VOG) moeten inleveren. Dit blijkt in de praktijk echter niet altijd het geval; RTL Nieuws meldt meer dan tien medewerkers gesproken te hebben die nooit een VOG hebben ingeleverd of die pas maanden nadat zij aan het werk zijn gegaan hebben gedaan. Wel kreeg een aantal van hen deze week de vraag alsnog een VOG in te leveren.

Informatie gedeeld via WhatsApp-groepen

Medewerkers bevestigen ook dat privégegevens van Nederlanders via WhatsApp worden uitgewisseld, waaronder woonadressen, patiëntnummers, 06-nummers, testuitslagen en burgerservicenummers. Het gaat dan met name om medewerkers die werkzaam zijn bij de testafsprakenlijn. Zo worden in WhatsApp-groepen foto’s of video’s van schermen gedeeld bij problemen, waarop volgens een anonieme medewerker in sommige gevallen ook gevoelige persoonsgegevens te zien zijn. Deze groepen zouden nadat het lek naar buiten kwam zijn stopgezet.