Het besluit om HPzone te vervangen volgt op onthullingen van RTL Nieuws over de grootschalige handel in gegevens van personen die positief waren getest op corona. Bestanden met daarin namen, adressen en burgerservicenummers worden op internet te koop aangeboden. Voor kwaadwillenden een dankbare bron voor bijvoorbeeld identiteitsfraude.
De databeveiligingsproblemen blijken intern meermaals te zijn aangekaart, maar weggewuifd door leidinggevenden. Kern van het probleem is dat te veel medewerkers toegang hebben tot vrijwel alle gegevens die in het crm-systeem staan. Het vermoeden is dat corrupte GGD-medewerkers de data uit het systeem konden exporteren en vervolgens online aanboden. Afgelopen weekend zijn hiervoor twee verdachten aangehouden.
Fundering
Portefeuillehouder Jeurissen vertelt in de NRC dat de GGD’s al bezig waren ‘de fundering’ van HPzone te versterken, maar dat de organisatie na de recente onthullingen toch kiest voor vervanging. Veel medewerkers vinden dat het huidige systeem traag is en regelmatig vastloopt. ‘Het is niet gemaakt om 4.500 onderzoeken per dag te verwerken’, aldus Jeurissen.
De GGD’s hebben ook een oplossing gevonden voor CoronIT, het systeem dat wordt gebruikt voor het inplannen van coronatesten. Uit dit crm-systeem staan eveneens persoonlijke gegevens online te koop. De zoekfunctie wordt beperkt en bovendien gelogd, meldt de koepelorganisatie GGD GHOR op haar site. Dienstverlener Fox-IT is aangesteld om forensisch onderzoek te doen op zowel de eerdere als toekomstige loggegevens. Het is de bedoeling dat vanaf eind maart een volautomatische continue controle plaatsvindt. Intern spoort ook een team verdachte handelingen op.
Reacties
Overheid.
IT.
Meer hoef ik niet te zeggen.
De log bekijken is de oplossing? Dat is nog steeds achter de feiten aanlopen. Gegevens zijn dan al gejat en/of doorverkocht.
Wat een amateurisme! ik geloof dat dit in het algemeen voor de GGD geldt. Ik word er niet vrolijk van.
Geef open deur een andere kleur want het enige kruid dat helpt tegen bestuurlijke arogantie is buskruit. Waarom krijg ik een déjà vu naar NZa waar de leiding ook alle interne signalen negeerde?
Dit déjà vu gevoel heeft o.a te maken met hoe falende managers binnen de overheden en aanverwante organisaties kunnen rouleren.. Er is al heel lang een carrousel van “toppers” die met veel boter op het hoofd van de ene werkplek doorglibberen naar de andere. Het is een relatief kleine club, veelal gelieerd aan de dominante politieke partijen. Zij kennen het Haagse systeem, ze kennen de zwakheden van de eigen organisatie en die van de organisaties waarmee ze moeten samenwerken. Ze kunnen elkaar onder druk zetten, ze wassen elkaars vuile handen in onschuld, ze houden verbeteringen tegen als dat hen persoonlijk beter uitkomt, ze verzieken de sfeer, zij vinden het normaal om te liegen, zij houden selectief informatie achter, ze kunnen vergeten wat ze willen vergeten, ze snappen niet wat ze niet willen snappen, ze plegen soms bewust kennelijke fouten en plegen daarmee valsheid in geschrifte, ze bedonderen ook wel eens hun politieke bazen. Daardoor krijg je “Yes minister” (no minister) toestanden. Na grote fouten mogen zij gewoon doorgaan bij andere ministeries, zelfstandig bestuursorganen en diensten. Bij grote provincies en de grootste gemeenten, zie je dezelfde carrousels. Young professionals die naar binnen worden gehaald om de cultuur en het dienstenniveau te verbeteren, die worden gedwongen om zich aan te passen aan de oude cultuur of ze worden afgebrand. Toppers die het wel overleven, zijn meestal ervaren zij-instromers.
Naast onmogelijke politieke opdrachten, zijn de carrousels, de reden waarom er wel eens e.e.a. uit te leggen is. En wie kunnen dat zo goed? Juist politici. ZBO’s en staatsbedrijven hebben daarom vaak oud-politici als (titulair) directeur. Die zijn gewend om bagger over zich heen te krijgen en daar de positieve punten uit te halen en om verbeterplannen te verkopen. Na vallen, moet er ook weer worden opgestaan om verder te komen.
Jaap,
Inderdaad moet je na een val weer opstaan om verder te gaan maar als je niet ziet dat iemand de veters van je schoenen aan elkaar gebonden heeft dan ga je weer op je bek als je probeert te rennen. Mijn déjà vu gevoel wordt vooral ingegeven door praktijkcases want als de fundering van een systeem onstabiel wordt door belasting dan zitten er ontwerpfouten in die niet alleen om het privacy-by-design principe gaan. Het is makkelijk om de leidinggevenden de schuld te geven maar treft sommige adviseurs ook geen blaam?
De enige interessante vraag is wat mij betreft waarom toegang tot de informatie in dit systeem niet al in veel eerdere instantie in lijn is gebracht met de AVG, een verplichting die al sinds 2018 uitgevoerd zou moeten zijn...
@Robert D ... omdat een AVG verplichting je niet beschermt tegen corrupte medewerkers; je maakt het ze hooguit wat lastiger
Het lastig maken is een vorm van bescherming ;-)
Je bedoelt waarschijnlijk te zeggen dat je het niet onmogelijk kunt maken.
Met het lastig maken bedoel ik dat niet iedereen meer zomaar bij kan (wat ook meespeelde wat ik begreep), maar als ik vanuit mijn rol overal bij kan, kan ik de gegevens door verkopen. Daar helpt geen avg aan
Niet helemaal, AVG dwingt af dat er maatregelen genomen worden om dit soort onrechtmatig gebruik van data te voorkomen, en dat kun je onder meer doen door niet iedereen overal bij te laten kunnen. Ergo, men had er iets aan kunnen doen.
Als ik rechtmatig bij data kan welke onder de AVG valt, kan mij gevraagd worden een verklaring te ondertekenen dat ik daar op vertrouwelijke wijze mee om ga. Zet ik daar mijn handtekening onder, en ga ik toch met de data aan de haal, dan heb je als eigenaar van de data netjes aan de regels voldaan.
(en ben ik frauduleus bezig en kan ik achteraf vervolgd worden, maar de AVG als dusdanig staat me dan dus niet in de weg om data te lekken)
Robert, de achteraf verguisde CRM applicatie HPzone was blijkbaar bedoeld voor gebruik door een beperkt aantal zorgprofessionals en niet bedoeld voor grootschalig gebruik door duizenden call center medewerkers. De keuze voor HPzone is vreemd. De verwerking van gegevens bij normale meldplichtige ziekten is heel wat anders dan het verwerken van gegevens bij een pandemie. Er zijn in de afgelopen jaren in verschillende regio’s crisisoefeningen geweest m.b.t. fictieve SARS en Mexicaanse griep pandemieën. Dit heeft evaluatierapporten en bijbehorende aanbevelingen opgeleverd van allerlei goedwillende deelnemende partijen. Maar de evaluaties waren geen aanleiding voor de keten van onder meer GGD / GOHR Nederland, RIVM en VWS, om zich daadwerkelijk voor te bereiden op grootschalig inzet, dus ook niet van applicaties door call center medewerkers. De HPzone applicatie was niet ingericht of aangepast om te voldoen aan de AVG bij massaal gebruik. De privacy kreeg te weinig aandacht, wat doorgaans in de zorg wel gebeurt. Daar begint afscherming via autorisatie en controle daarop, normaal te worden. Er is ook geen (goede) ketentest geweest. Daarom werd het systeem te traag bij grootschalig gebruik. De “fundering” van HPzone i.v.m. de traagheid is uiteindelijk wel verstevigd.
Ewout, welke adviseurs bedoel je? En ja, leidinggevenden zijn altijd eindverantwoordelijk, zij stellen de vragen, zij beoordelen de adviezen en zij nemen de besluiten.
Wat VWS heeft gedaan of juist heeft nagelaten, laat zien dat VWS een beleidsministerie is en niet gewend is om nationale zaken te regelen. Alles moest tot voor kort lokaal of regionaal worden opgepakt. De specialisten volksgezondheid wisten natuurlijk wel wat een pandemie inhoud, maar zij kregen geen steun van de politiek en de ambtelijke top. VWS keek toe hoe feestvierders het virus massaal meenamen en weer snel verder verspreiden; alsof de puberende St. Viruswaarheid het beleid dicteerde. Toen kwamen de eerdere voorspellingen van de GGD uit. VWS liep steeds achter de feiten aan. Een ministerie moet zo veel mogelijk voorkomen dat er met snelle tijdelijke oplossingen gewerkt moet worden en die mogen nooit als structureel gezien worden.
Volgens diverse onderzoeksjournalisten zou de GGD / GOHR Nederland de onbeschermde exportfunctie hebben laten inbouwen / aanzetten als standaardfunctionaliteit, die ook via de printfunctie gebruikt kon worden. Mij is onbekend wie dat besluit heeft genomen. De schuld geven aan HPzone is nogal kinderachtig. Hoe zat het ook weer: continuïteit, beschikbaarheid, integriteit, vertrouwelijkheid, non-repudiation (toerekenbaarheid)? Dat zullen ze bij GGD / GOHR Nederland ook wel weten.
Jaap,
Ik vrees dat niet alleen VWS een beleidsministerie is waar ICT als stuwend middel in de regievoering van processen gezien wordt terwijl uitvoer van die processen uitbesteed wordt aan lagere echolons. Aangaande het fundament wijs ik op de paradigma wisseling van e-overheid naar i-overheid waardoor er volgens de Wetenschappelijk Raad Regeringsbeleid sprake is van begripsverwarring aangaande de keten omdat de informatie zelf via netwerken gaat. De leidinggevende in de operationele keten is dan ook niet de (eind)verantwoordelijke in het informatieproces als we kijken naar alle adviseurs.
Het is geen geheim dat aangaande de stuwende beginselen van de i-overheid niet alleen de privacy als een sta-in-de-weg gezien wordt bij het 'ontschotten' van informatieketens maar ook de individuele keuzevrijheid. En of privacy in de zorg echt goed geregeld is valt nog te bezien als er nog vele exportfuncties zijn zonder enige vorm van anonimisering. Er is namelijk nog altijd een groot politiek enthousiasme voor nieuwe applicaties en koppelingen van systemen en informatiestromen zonder het 'verankeren' van de individuele rechten in de procesmatig beginselen van de overheid via transparantie en accountability.