Raads­vragen: Criminele handel en priva­cy­schending persoons­ge­gevens GGD

Indiendatum: 28 jan. 2021

Geacht college,

Op 25 januari jongstleden berichtte de website van RTL Nieuws in een artikel[1] over criminele handel in gegevens van de 25 gemeentelijke gezondheidsdiensten (GGD’s) in Nederland die zijn aangeleverd door personen die zich hebben gemeld voor een coronatest of die hebben meegedaan aan bron- en contactonderzoek. De criminele handel is mede mogelijk gemaakt door werknemers van de GGD’s die persoonsgegevens uit databases hebben gehaald en hebben doorverkocht aan derden. Criminelen hebben baat bij deze gegevens voor het plegen van identiteitsfraude of voor het doen van ‘phishing’ of stalking, blijkt uit de woorden van een hoogleraar van de Radboud Universiteit die in voornoemd artikel wordt opgevoerd. Vrije toegang tot deze gegevens is mogelijk in de softwarepakketten die de GGD’s hebben aangekocht voor de coronaorganisaties van de GGD’s, te weten CoronIT en HPzone Light, die respectievelijk zijn gebruikt voor het verwerken van gegevens van personen die zich hebben gemeld voor een coronatest en voor het bron- en contactonderzoek.

1. Weet u of er criminele handel bestaat in persoonsgegevens die in beheer zijn gesteld bij de GGD Rotterdam-Rijnmond, een gemeenschappelijke regeling waar de gemeente Rotterdam onderdeel van uitmaakt? Indien nee, bent u bereid dit na te gaan?

In een vervolgartikel[2] op de website van RTL Nieuws blijkt dat de GGD’s al maandenlang op de hoogte waren van privacyschending met data aangeleverd door personen die zich hebben gemeld voor een coronatest of die hebben meegedaan aan het bron- en contactonderzoek. De GGD heeft de kritiek op de vrije toegang van de in alle haast aangenomen medewerkers stelselmatig weggewuifd.

2. Wat is de formele reactie van GGD Rotterdam-Rijnmond op privacyschending met gegevens van personen die zich tot de coronaorganisaties van de GGD’s hebben gewend voor een test of voor bron- en contactonderzoek? Kunt u die hier woordelijk herhalen?

3. Was de GGD Rotterdam-Rijnmond (ook) al maanden bekend met privacyschending van persoonsgegevens? Indien nee, kunt u dat motiveren? Indien ja, heeft de GGD Rotterdam-Rijnmond dit met u gecommuniceerd? En indien ja, wat heeft u gedaan met de melding van de GGD Rotterdam-Rijnmond dat er privacyschending plaatsvindt met persoonsgegevens of dat alle mogelijkheden aanwezig zijn om over te gaan tot privacyschending gegeven de vrije toegang van werknemers tot databases?

4. Heeft u eigenstandig signalen opgevangen dat er privacyschending plaatsvindt met gegevens uit databases van de GGD Rotterdam-Rijnmond of dat alle mogelijkheden aanwezig zijn om over te gaan tot privacyschending gegeven de vrije toegang van werknemers tot databases? Indien ja, wat heeft u met deze signalen gedaan?

In voornoemd vervolgartikel worden enkele werknemers van de GGD geciteerd. Een van de geciteerde werknemers zegt bijvoorbeeld het volgende:

"Ik heb toegang tot de gegevens uit de coronasystemen van allerlei andere GGD-regio's waar ik helemaal geen toegang tot zou moeten hebben (…). "Iedereen zoekt vrienden, familie of bekende mensen op en met de exportknop kon je er tot voor kort alle gegevens uit halen. Het verbaast me niets dat er wordt gehandeld in die privégegevens."

5. Hebben werknemers van de GGD Rotterdam-Rijnmond ook inzage in de ‘coronasystemen’ van andere GGD-regio’s? Indien nee, waarom niet? Indien ja, waarom? Indien ja, wat heeft u gedaan om dit te voorkomen?

Voor ondersteuning van haar processen gebruikt de gemeente Rotterdam in ieder geval de volgende softwarepakketten: Oracle PM, Workforce ADP, GOUW/ONS en Socrates. Discussies over de werking van deze pakketten gaan er hoofdzakelijk over hoe geschikt ze zijn om gegevens systeemgericht te kunnen verwerken en hoe zij bijdragen aan rechtmatigheid van overheidsuitgaven. Zulke discussies gaan eigenlijk nooit over de wijze waarop zij persoonsgegevens beschermen van medewerkers van de gemeente Rotterdam en/of burgers die zich voor dienstverlening melden bij de gemeente.

6. Wat kunt u zeggen over bescherming van persoonsgegevens door software die de gemeente Rotterdam gebruikt?

De gemeente Rotterdam gebruikt het zorgvolgsysteem GIDSO in het sociaal domein, te weten voor ondersteuning van de wijkteams, maatwerkverlening in het kader van de Wet maatschappelijke ondersteuning (Wmo), en jeugdhulp. GIDSO wordt geleverd door een bedrijf dat ook CoronIT heeft ontwikkeld of er in ieder geval nauw bij betrokken is geweest. De commissie Zorg, Onderwijs, Cultuur en Sport (ZOCS) wacht al tijden op een technische sessie van de zijde van het college over een uitleg over dit zorgvolgsysteem en hoe het zich verhoudt tot de Algemene verordening gegevensbescherming (Avg).

7. Welke garanties heeft u dat GIDSO niet dezelfde problemen heeft ten aanzien van gegevensbescherming als CoronIT? En hoe voorkomt u criminele handel in verkregen gegevens uit de databases van GIDSO?

8. Wanneer bent u bereid de commissie ZOCS een technische sessie aan te bieden over GIDSO, met daarin ook onderdelen die gaan over autorisatie om ingevoerde persoonsgegevens over cliënten in het sociaal domein in te zien?

Wij zien uw beantwoording met belangstelling tegemoet.

[1] https://www.rtlnieuws.nl/nieuws/nederland/artikel/5210644/handel-gegevens-nederlanders-ggd-systemen-database-coronit-hpzone

[2] https://www.rtlnieuws.nl/nieuws/nederland/artikel/5211164/ggd-corona-systemen-toegang-vog-coronit-hpzone-light