Schrif­te­lijke vragen privacy schending GGD-gegevens

Indiendatum: 29 jan. 2021

Toelichting

Op 25 januari jongstleden berichtte de website van RTL Nieuws in een artikel[1] over criminele handel in gegevens van de 25 gemeentelijke gezondheidsdiensten (GGD's) in Nederland die zijn aangeleverd door personen die zich hebben gemeld voor een coronatest of die hebben meegedaan aan bron- en contactonderzoek. De criminele handel is mede mogelijk gemaakt door werknemers van de GGD's die persoonsgegevens uit databases hebben gehaald en hebben doorverkocht aan derden. Criminelen hebben baat bij deze gegevens voor het plegen van identiteitsfraude of voor het doen van ‘phishing’ of stalking, blijkt uit de woorden van een hoogleraar van de Radboud Universiteit die in voornoemd artikel wordt opgevoerd. Vrije toegang tot deze gegevens is mogelijk in de softwarepakketten die de GGD’s hebben aangekocht voor de coronaorganisaties van de GGD’s, te weten CoronIT en HPzone Light, die respectievelijk zijn gebruikt voor het verwerken van gegevens van personen die zich hebben gemeld voor een coronatest en voor het bron- en contactonderzoek.

Naar aanleiding van deze berichtgeving legt de Partij voor de Dieren de volgende vragen aan u voor.

Vragen

1. Weet u of er sprake is van privacy schending of van criminele handel in persoonsgegevens die in beheer zijn gesteld bij de GGD Haaglanden, een gemeenschappelijke regeling waar de gemeente Pijnacker-Nootdorp onderdeel van uitmaakt? Zo nee, bent u bereid dit na te gaan?
2. In een vervolgartikel[2] op de website van RTL Nieuws blijkt dat de GGD’s al maandenlang op de hoogte waren van privacy schending met data aangeleverd door personen die zich hebben gemeld voor een coronatest of die hebben meegedaan aan het bron- en contactonderzoek. De GGD heeft de kritiek op de vrije toegang van de in alle haast aangenomen medewerkers stelselmatig weggewuifd. Wat is de formele reactie van GGD Haaglanden op privacy schending met gegevens van personen die zich tot de coronaorganisaties van de GGD’s hebben gewend voor een test of voor bron- en contactonderzoek?
3. Was de GGD Haaglanden (ook) al maanden bekend met privacy schending van persoonsgegevens? Zo nee, kunt u dat motiveren? Zo ja, heeft de GGD Haaglanden dit met u gecommuniceerd? En zo ja, wat heeft u gedaan met de melding van de GGD Haaglanden dat er privacy schending plaatsvindt met persoonsgegevens of dat alle mogelijkheden aanwezig zijn om over te gaan tot privacy schending, gegeven de vrije toegang van werknemers tot databases?
4. Heeft u eigenstandig signalen opgevangen dat er privacy schending plaatsvindt met gegevens uit databases van de GGD Haaglanden of dat alle mogelijkheden aanwezig zijn om over te gaan tot privacy schending gegeven de vrije toegang van werknemers tot databases? Indien ja, wat heeft u met deze signalen gedaan?
5. In voornoemd vervolgartikel worden enkele werknemers van de GGD geciteerd. Een van de geciteerde werknemers zegt bijvoorbeeld het volgende:
   "Ik heb toegang tot de gegevens uit de coronasystemen van allerlei andere GGD-regio's waar ik helemaal geen toegang tot zou moeten hebben (…). "Iedereen zoekt vrienden, familie of bekende mensen op en met de exportknop kon je er tot voor kort alle gegevens uit halen. Het verbaast me niets dat er wordt gehandeld in die privégegevens."
   Hebben werknemers van de GGD Haaglanden ook inzage in de ‘coronasystemen’ van andere GGD-regio’s? Indien nee, waarom niet? Indien ja, waarom? Indien ja, wat heeft u gedaan om dit te voorkomen?
6. Welke maatregelen worden genomen om privacy schending van persoonlijke gegevens bij de GGD Haaglanden in de toekomst te voorkomen?
7. Vragen over de werking van softwarepakketten gaan er hoofdzakelijk over hoe geschikt ze zijn om gegevens systeemgericht te kunnen verwerken en hoe zij bijdragen aan rechtmatigheid van overheidsuitgaven. Zulke discussies gaan eigenlijk nooit over de wijze waarop zij persoonsgegevens beschermen van medewerkers van de gemeente Pijnacker-Nootdorp en/of burgers die zich voor dienstverlening melden bij de gemeente. Wat kunt u zeggen over bescherming van persoonsgegevens met software die de gemeente Pijnacker-Nootdorp gebruikt?
8. Welk zorgvolgsysteem gebruikt de gemeente Pijnacker-Nootdorp? Welke garanties heeft u dat dit zorgvolgsysteem niet dezelfde problemen heeft ten aanzien van gegevensbescherming als CoronIT?

Carla van Viegen
Fractievoorzitter Partij voor de Dieren
Gemeenteraad Pijnacker-Nootdorp

[1] https://www.rtlnieuws.nl/nieuws/nederland/artikel/5210644/handel-gegevens-nederlanders-ggd-systemen-database-coronit-hpzone
[2] https://www.rtlnieuws.nl/nieuws/nederland/artikel/5211164/ggd-corona-systemen-toegang-vog-coronit-hpzone-light