Bij de coronatestlijn gingen grote groepen medewerkers na niet meer dan enkele dagen training aan het werk voor tien euro bruto met systemen die onvoldoende beveiligd bleken. De GGD heeft eerdere signalen vanuit de eigen organisatie over gebrekkige applicatiebeveiliging weggewuifd. Zijn de juiste risicoafwegingen gemaakt toen besloten werd om systemen te gebruiken waarvan de gegevensbeveiliging niet op orde was? Deel 2 van een analyse.
De omvang van risico’s kan je bepalen door de rekensom ‘kans maal impact’ te maken. Beide variabelen zijn bekend: de kans op dataproblemen was groot, want het ging om grote groepen medewerkers die met minimale training vanuit huis aan het werk gingen met grote datasets. Ook de impact kon goed worden ingeschat: er werd gewerkt met bijzondere persoonsgegevens van alle Nederlanders ouder dan 18 jaar data, in een context die al onder druk van allerlei maatschappelijke discussies stond.
Snel opschalen
De GGD’en worden gefinancierd door de gemeenten waarvoor ze werken, maar de aansturing is diffuus: zowel het ministerie van VWS (landelijk beleid) als het RIVM (medische protocollen) bemoeien zich met de taakstelling. Maar vanuit de Wet publieke gezondheid (Wpg) hebben de GGD’en zelf de verantwoordelijkheid om bij infectieziektebestrijding op te schalen en om extra middelen bij hun gemeenten te vragen als dat nodig is. Het Rijk heeft rond de coronacrisis al wel in een vroeg stadium te kennen gegeven financieel bij te springen waar nodig. Toch is er bij de GGD’en regelmatig een afwachtende houding en veel discussie over en weer geweest – iets wat niet past bij goed crisismanagement.
De GGD heeft besloten tot uitbesteding omdat de eigen organisatie niet in staat was de verschillende contactcenterlijnen snel op te tuigen. Er is op basis van de aanbestedingsregels gekozen voor een afwijkende procedure waarbij Teleperformance als partner is geselecteerd. Teleperformance staat niet bekend als bedrijf dat doorlopend non-compliant is. In tegendeel, het bedrijf heeft op het vlak van informatiebeveiliging verschillende systemen en methodieken voor in huis, heeft zich in het verleden gepresenteerd als antifraudespecialist in klantcontact en werkt al langere tijd voor vooraanstaande merken uit binnen- en buitenland. Toch ging het mis, en zoals het er nu naar uitziet, ligt dat voor een belangrijk gedeelte bij de GGD’en.
Boetekleed
Minister De Jonge erkent dat in het begin van de coronacrisis is gestuurd op het zo snel mogelijk in de lucht krijgen van ICT-systemen. “Daarbij lag de focus primair op de functionaliteit van het systeem: doet het wat we nodig hebben?” Er is wel gewerkt aan doorlopend verbeteren, maar daarbij is onvoldoende aandacht voor privacy en gegevensbeveiliging geweest, aldus de minister. Ook zouden er wel risicoanalyses en audits zijn uitgevoerd, maar dat gebeurde vaak achteraf of na een incident. Daarnaast zijn in allerijl onnodige, maar risicovolle functies uitgezet, zoals een print- en exportmogelijkheid.
Dienstverlener: wij hanteren strenge regels
Teleperformance (TP) legt desgevraagd uit dat het medewerkers niet is toegestaan om privacygevoelige informatie, of informatie die anderen kan schaden, te delen, ook niet in WhatsApp-groepen. Medewerkers tekenen een geheimhoudingsverklaring met TP of met het uitzendbureau, ze leveren een VOG aan, ze worden expliciet getraind op dataprivacy en hier wordt regelmatig over gecommuniceerd, zo somt het bedrijf op. “Als wij signalen krijgen dat medewerkers dit beleid niet volgen, nemen we passende maatregelen, waarbij ontslag op staande voet een van de mogelijkheden is,” geeft een woordvoerder van Teleperformance aan.
“Medewerkers worden in staat gesteld om met elkaar en hun leidinggevenden te communiceren, hiervoor zijn verschillende tools beschikbaar die voldoen aan onze beveiligingsstandaarden. Uiteraard kunnen wij het medewerkers niet verbieden om collegiale WhatsApp-groepen te vormen. Maar het is strikt verboden om hier gegevens van burgers of klanten in te delen. Medewerkers kunnen zelf overtredingen actief melden via onze fraudehelpdesk.”
Normaal gesproken zou een dienstverlener als TP gebruik kunnen maken van screen recording als controle- en toezichtsmiddel. Maar omdat het Burgerservicenummer een belangrijke rol speelt in de contacten, staat de GGD vanuit privacy-overwegingen niet toe dat screen recording wordt toegepast. Dit soort methoden worden overigens regelmatig ter discussie gesteld door bijvoorbeeld vakbond FNV.
Wie is nu verantwoordelijk voor wat?
Als het gaat om genomen maatregelen op het vlak van de gebruikte systemen, zoals gegevensbeveiliging, functionaliteit en autorisatieniveaus voor specifieke groepen gebruikers, verwijst TP door naar GGD. Ook spreekt TP zich niet uit over de rolverdeling binnen de outsourcing van de GGD-lijnen: “Dit soort afspraken tussen TP en haar opdrachtgevers valt onder geheimhouding.”
Teleperformance heeft als dienstverlener andere verantwoordelijkheden dan uitbesteder GGD, maar zowel de gegevensverantwoordelijke als de gegevensverwerker (zie kader verderop) moeten op grond van de AVG in ieder geval ‘passende technische en organisatorische maatregelen nemen om een op het risico afgestemd beveiligingsniveau te waarborgen (inclusief testprocedure)’.
Juridisch spanningsveld
Wie nu precies wat moet doen, dus waar de verantwoordelijkheden hiervoor nu precies beginnen en eindigen, is inderdaad een spanningsveld, zegt Menno Weij, Partner/Lawyer Tech & Privacy Law bij BDO Legal. “De AVG zegt enerzijds (artikel 28): ‘verantwoordelijke, u mag alleen in zee gaan met een verwerker die afdoende garanties biedt met betrekking tot beveiligingsmaatregelen’. Maar zegt vervolgens ook nog (art 32): ‘verantwoordelijke en verwerker, u dient samen passende beveiligingsmaatregelen te treffen ter borging van een passend beveiligingsniveau’.”
Dat spanningsveld komt ook terug in de aansprakelijkheid, vervolgt Weij. “Maar op grond van de AVG (art. 82) kan de verantwoordelijke de verwerker wel aansprakelijk stellen voor externe schade (zoals bij gedupeerden), indien deze door de verwerker verwijtbaar is veroorzaakt. Bijvoorbeeld wanneer bij verwerking niet is voldaan aan de specifiek tot de verwerker gerichte verplichtingen van de AVG. Of wanneer de verwerker in strijd met de instructies van de verwerkingsverantwoordelijke heeft gehandeld.”
Better safe than sorry
Volgens Weij is de strekking van de AVG wel dat de verantwoordelijke wel degelijk ook zelf een plicht heeft na te gaan of de verwerker aan de beveiligingseisen van de AVG kan voldoen. “Hoe ver deze onderzoeksplicht reikt, is weer niet omschreven in de AVG”, aldus Weij. “Vanuit het perspectief van risicobeheersing is het dus raadzaam om beveiligingsmaatregelen (relatief) ver door te voeren.”
In de AVG wordt onderscheid gemaakt tussen twee rollen: de gegevensverwerker en de gegevensverantwoordelijke. De gegevensverantwoordelijke is de partij die beslist waarom gegevens worden verwerkt. De gegevensverwerker verwerkt op instructie en in opdracht van de verantwoordelijke. In de AVG is breed omschreven wat het verwerken van data inhoudt: “Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.” Kortom, het gaat om alles wat je met gegevens doet, dus ook inzien, anonimiseren of verwijderen. Zowel de gegevensverantwoordelijke als de gegevensverwerker kunnen onderdeel zijn van een organisatie, bij uitbesteding gaat het over het algemeen om twee verschillende organisaties.
De GGD wilde tot nu toe niet reageren, maar heeft wel al aangekondigd versneld van de gebruikte systemen af te willen. Directeur publieke gezondheid bij de GGD-regio Brabant-Zuid-Oost Ellis Jeurissen heeft tegen NRC Handelsblad gezegd dat er met man en macht aan de overstap naar een ander, veel veiliger portaal wordt gewerkt. Je wil niet dat mensen zich niet meer laten testen, omdat ze zich zorgen maken over hun gegevens.”
Nederland: relatief lakse houding ten aanzien van gegevensbeveiliging
Angela Vos (GGD) breekt op Twitter een lans voor collega’s.
Ook de problemen rond de databeveiliging van de GGD’en staan niet op zichzelf. Deze week werd bekend dat Nederland tamelijk laag scoort op het gebied van cyberveiligheid, ondanks de grote afhankelijkheid van digitale infrastructuur. Dat concludeert accountants- en advieskantoor PwC na onderzoek. Door de coronacrisis en het vele thuiswerken door personeel zet een derde van de ICT-bestuurders bij bedrijven in Nederland meer in op veiligheid, maar wereldwijd is dit circa de helft. Bijna 20 procent van de Nederlandse ICT-eindverantwoordelijken bij bedrijven denkt dat corona geen effect heeft op cyberveiligheid, maar wereldwijd denkt slechts 5 procent dat. In Nederland wordt ook minder in cyberveiligheid geïnvesteerd.
Wanneer je aan de bevindingen van PwC toevoegt dat Nederlandse publieke organisaties de afgelopen jaren flink aan executiekracht hebben ingeboet, dan is dit een uiterst zorgwekkende ontwikkeling die meer aandacht verdient – ook binnen de klantcontactsector.
Lees ook deel 1 van deze analyse: datalek geen kinderziekte maar een structureel probleem.
Ook interessant
-
Klantenservice-m,edewerkers van Booking-kantoren in Barcelona en Berlijn zijn ontevreden over hoe de reorganisatie van de klantenservice verloopt.
-
De door Teleperformance gehanteerde praktijk rond het niet betalen van inlogtijd is niet ongebruikelijk in zowel facilitaire als inhouse contactcenters.
-
Oppositiepartij Groen voorziet geen kleinere, maar een grotere werklast omdat een extern callcenter minder goed geïnformeerd is dan eigen personeel.