'GGD gaat nog steeds slecht om met beschermen van privégegevens'

Nog altijd heeft de GGD zijn zaken op privacygebied niet goed voor elkaar. Zo kunnen oud-medewerkers van de GGD soms meer dan een maand na hun ontslag vanuit huis nog bij persoonsgegevens van alle Nederlanders. En in de regio Arnhem/Ede werden klassikaal aan nieuwe medewerkers vertrouwelijke gegevens getoond, meldt De Gelderlander op basis van informatie die de krant in handen heeft gekregen.

De GGD’s liggen sinds januari vorig jaar onder het vergrootglas bij de privacywaakhond, toen bleek dat er grootschalig werd gehandeld in de miljoenen adresgegevens, telefoon- en burgerservicenummers uit de coronasystemen van de GGD. Medewerkers konden eenvoudig bij de gegevens en deze ook makkelijk exporteren uit het computersysteem. De Autoriteit Persoonsgegevens eiste daarop extra maatregelen om te zorgen dat persoonsgegevens beter beveiligd worden.

Er werden verbeteringen doorgevoerd, maar eind vorig jaar bleek dat de persoonsgegevens van Nederlanders die zich laten testen, vaccineren of meewerken aan het bron- en contactonderzoek nog steeds niet voldoende waren beschermd. ‘Wezenlijke risico’s’, zo bestempelde de Autoriteit Persoonsgegevens dat.

Echte gegevens getoond bij training

Dat bleek. In december werden bij een training voor nieuwe medewerkers bij GGD Gelderland-Midden (regio Arnhem/Ede) de persoonsgegevens van een vrouw die die dag in Arnhem gevaccineerd zou worden klassikaal getoond, zo meldt een uitzendkracht van de GGD.  Het ging hierbij om onder meer BSN-nummer, mailadres, adres en zelfs ziekte en medicijngebruik.

"Dit is eenmalig gebeurd’’, reageert een woordvoerder van de landelijke GGD/GHOR op de krant. "Dit hoort niet en is ook niet onze gebruikelijke gang van zaken. Elke opleiding wordt gegeven vanuit een testomgeving met fictieve personen en gegevens."

Volgens een woordvoerder van de GGD heeft de dienst in korte tijd veel medewerkers hebben moeten opleiden om te helpen in de boostercampagne. "Tijdens een van deze trainingen was bij de GGD Gelderland-Midden de testomgeving niet beschikbaar en is het systeem geïllustreerd aan de hand van daadwerkelijke persoonsgegevens."

Vanuit huis bij persoonsgegevens

Maar het is niet het enige incident. Volgens een oud-medewerker was het nog mogelijk, nadat hij al zes weken uit dienst was, om vanuit huis in de coronasystemen van de GGD kon komen. Hij kon daarbij alle persoonlijke gegevens inzien die hij maar wilde. "Zoals het BSN-nummer en het mailadres, en dat is als je kwaad in de zin hebt toch een gevaarlijke combinatie."

De Autoriteit Persoonsgegevens (AP) heeft naar de incidenten die De Gelderlander meldt geen onderzoek gedaan, aldus een woordvoerster. De GGD moet in maart aantonen welke verbeteringen de organisatie heeft doorgevoerd op het gebied van bescherming van persoonsgegevens en de AP wacht die rapportage af.