Werkende software die voldoet aan privacy-standaarden, blijft lastig voor de GGD en de voltallige Rijksoverheid. Een week nadat bekend werd dat complete lijsten met gevoelige informatie in honderd namen per keer naar een handig Excelletje geëxporteerd konden worden, heeft de afdeling cybercomputerzaken deze controversiële knop eruit gesloopt. Probleem opgelost? Nee. Want de NOS stuitte opnieuw op een tamelijk gênant olifantenpaadje.

Het exporteren van databestanden en contactlijsten kon in verschillende bestandsformaten uitgerold worden. Het GGD-systeem HPzone Lite beschikt nog altijd over een kekke tool waarmee je lijsten kan doorsturen naar een printer. En waar geprint wordt, ontstaat een pdf-bestand dat alsnog dezelfde informatie bevat als de gewraakte sheets waar delinquente bron- en contactonderzoek-medewerkers mee aan de haal gingen.

Hierdoor veranderde privacygevoelige data van duizenden Nederlanders in lucratief handelswaar. Zulke informatie is bijvoorbeeld interessant voor onverlaten met clandestiene intenties die liever niet onder hun werkelijke naam misdaden willen plegen. Meer dan genoeg reden voor de Autoriteit Persoonsgegevens om de GGD onder verscherpt toezicht te stellen.

Social

Cyberveiligheid

De belofte om de export-naar-Excel functie niet meer aan iedere uitzendkracht ter beschikking te stellen is nagekomen. Toch is dit niet het geval bij de printfunctie. De software bevat zo nog steeds een gapend gat waar een stuwmeer aan privédata uit kan leegstromen. De aanpassingen hebben deze hele situatie nog altijd niet opgelost. Al vindt de GGD zelf van wel. Tussen neus en lippen door bekenden ze ook nog dat het veiligheidsrisico al sinds april vorig jaar bekend was. 

In een nieuwe reactie aan de NOS vertelde de GGD dat ze niet van plan zijn opnieuw aan de systemen te sleutelen."Hij is toegankelijk omdat hiermee data van groepen mensen geanalyseerd worden ten behoeve van de bestrijding van het coronavirus," leggen ze uit. De functie wordt gebruikt om contactlijsten uit te draaien waarin ook zaken als bsn-nummers, medische details en naw-gegevens inzichtelijk zijn.

Dat misbruik hierdoor nog altijd eenvoudig is voor kwaadwillenden op zoek naar een aanvullend inkomen bovenop hun tarief als uitzendkracht, wordt weggewuifd. Nadat directeur André Rouvoet spijt betuigde en mag blijven zitten, gaat de GGD aan de bak. Zo moet iedere coronaspeurneus een geheimhoudingscontract ondertekenen en een verklaring omtrent het gedrag overhandigen.

Social

Nederlandse privacystandaard

Dankzij duidelijke do's en don'ts moeten alle medewerkers overtuigd raken dat privacy super hoog in de prioriteitenpikorde staat. Schandalen dankzij fundamentele fouten in prutsprogramma's zonder logboekcontroles, moeten hierdoor voorkomen worden. Misbruik wordt bovendien beschouwd als een misdrijf. Dus dan gebeurt het ook niet. Want anders wordt de politie ingeschakeld en gaat de verklaring omtrent het gedrag door de shredder.

Dit najaar weigerde Nederland in zee te gaan met een 'controversiële testfabriek' in Abu Dhabi. Vanwege onze zorgvuldige en fijnmazige AVG-wet was het volgens minister Hugo de Jonge absoluut onverantwoord om in zee te gaan met een stel privacyhaters in een obscure golfstaat. Het risico dat gevoelige informatie van onschuldige hardwerkende burgers in de grijpgrage klauwen van cybercriminelen kon belanden, was de reden om die hele Abu Dhabi-deal af te blazen.

Voormalig communicatiestrateeg van de GGDGHOR Nederland Sonja plaatste vrijdagavond via LinkedIn een oproep dat ze na dit weekend beschikbaar is voor een nieuwe uitdaging. Woordvoering namens organisaties die een diepe crisis doormaken, zijn naar verluidt haar specialiteit. Of de CV ook op een referentie van RTL-journalist Daniel Verlaan kan rekenen, is twijfelachtig. Aantoonbare werkervaring heeft ze in elk geval wel.

Social