‘Een klap in het gezicht’ noemde André Rouvoet, voorzitter van de overkoepelende GGD-organisatie GGD-GHOR, de datadiefstal door twee GGD-medewerkers. Daarmee verbloemde hij dat alle GGD-bestuurders, beslissers en managers zelf verantwoordelijk zijn voor de belabberde beveiliging van gegevens waarmee de medewerkers moesten werken. Want vanaf het begin van de corona-crisis in maart 2020 was het al bij deze groep bekend dat de beveiliging van de twee gebruikte coronasystemen niet op orde was.

 

Op vlak van digitaal leiderschap behalen, naar mijn mening, deze bestuurders en leidinggevenden van de GGD’en een dikke onvoldoende. Dit vanwege hun naïviteit rond gegevensbescherming, vanwege het maandenlang verzwijgen van het datalek en voor het daarmee in gevaar brengen van de vele inwoners van Nederlander die zich de afgelopen 10 maanden op corona hebben laten testen. Met hun beslissing om het niet te vertellen en te verhelpen zorgden ze dat thuiswerkende inwoners in coronatijd onbewust extra vatbaar waren voor identiteitsfraude.

Het alom gebruikte R-getal over de reproductie van virussen is namelijk helaas ook van toepassing op de reproductie van gelekte persoonsgegevens op het internet. De ‘R’ van gelekte persoonsgegevens is hoog op het Darkweb. In een mum van tijd wordt bijvoorbeeld een gelekt BSN-nummer op duizenden servers geplaatst, aangevuld met andere persoonsgegevens en verhandeld onder criminelen die identiteitsfraude met deze gegevens kunnen plegen. Uit eigen ervaring kan ik helaas melden dat je van oplichting via internet goed ziek kunt zijn en dat zo’n ervaring niet bevorderlijk is voor je gezondheid. De betreffende verantwoordelijken deden met hun handelswijze daarom ook geen recht aan de missie van de GGD’en om de gezondheid van inwoners van Nederland te beschermen, te bewaken en te bevorderen.

Niet alleen de GGD’en, maar ook de Autoriteit Persoonsgegevens (AP) en het Ministerie van VWS waren al geruime tijd op de hoogte van de gebrekkige beveiliging. De AP koos in september 2020 in eerste instantie voor een waarschuwing richting de GGD’en. Pas op 21 januari 2021 werden de GGD’en onder verscherpt toezicht geplaatst. Juist deze lakse handelswijze van de GGD’en, Autoriteit Persoonsgegevens en het Ministerie van VWS samen is, mijns inziens, een klap in het gezicht van alle mensen die dachten dat de overheid op zorgvuldige wijze met hun gegevens zou omgaan.

De gebrekkige beveiliging op de twee gebruikte coronasystemen doen ook het ergste vermoeden voor andere gebruikte systemen, procedures en checks bij de 25 GGD’en in Nederland. Het roept bij mij gelijk ook vragen op als: Hoe is de beveiliging geregeld bij consultatiebureaus, bij schoolartsen en bij het door de GGD’en uitgevoerde toezicht op de kinderopvang?

Veel vragen en ondanks dat GGD-GHOR voorzitter André Rouvoet aangeeft te willen gaan starten met het herstellen van het vertrouwen verwacht ik dat een langdurige en kansloze weg is. Zelf heb ik weinig vertrouwen meer dat dezelfde personen en instanties bekwaam genoeg zijn om nu wel de juiste en transparante beslissingen op het digitale vlak te nemen.

Het is dan ook sowieso de vraag of we digitalisering en de juiste keuzes voor de zorgvuldige en doelmatige omgang van persoonsgegevens wel kunnen overlaten aan bestuurders en leidinggevenden. Zijn ze wel bekwaam en bewust genoeg om over zoiets belangrijks en ingrijpends te beslissen? Moeten we niet zelf als inwoner veel meer zelf het heft in handen nemen en zelf onze eigen persoonsgegevens gaan beheren en bepalen met wie, voor welk doel en langs welke weg deze worden gedeeld? Geen zaken die we nu gelijk kunnen oplossen.

Echter wat we nu wel als inwoner, burger, klant, huurder, kiezer, patiënt, cliënt, verzekerde, aanvrager, indiener, student of elke andere rol zelf en direct kunnen doen is veel bewuster te worden met wie we onze gegevens delen en te blijven checken hoe deze (overheids-) organisaties daarmee omgaan. Ook moeten we ons realiseren hoe gevaarlijk de ‘privacy-data-lek-epidemie’ in onze digitale samenleving gaat worden met digitale ‘nono’s’ aan het roer van organisaties. Stel daarom ook hoge eisen aan bestuurders en leidinggevenden op het vlak van digitalisering. Digitaal is niet het speeltje van techneuten, maar de verantwoordelijkheid van iedereen.

Arne Keuning is strategisch adviseur & partner bij Upstream

 

1 feb. 2021 was het World Password-dag. Doe jezelf een groot plezier en verander vandaag minimaal 5 wachtwoorden van websites, tools en apparaten. Check wat een goed wachtwoord is op https://laatjeniethackmaken.nl/ Alleen samen krijgen we datadiefstal onder controle!

Opinie, Technologie