Brief regering : Stand van zaken digitale ondersteuning pandemiebestrijding

25 295 Infectieziektenbestrijding

Nr. 258 BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 12 februari 2021

Met deze brief informeer ik u over een aantal actuele onderwerpen in het kader van
de digitale ondersteuning van de bestrijding van de pandemie. Ik zal in deze brief
ingaan op de (I) stand van zaken «acties» die ik in mijn brief van 2 februari jl.1 met uw Kamer gedeeld heb. Ook wil ik een (II) reactie geven op de emailprocedure
met het verzoek tot openbaarmaking van de risicoanalyse. Vervolgens zal ik kort ingaan
op de (III) stand van zaken omtrent de koppeling van coronatest.nl en DigiD. Ten slotte
zal ingegaan worden op een aantal (IV) moties en toezeggingen.

I. Stand van zaken acties

In mijn brief aan uw Kamer van 2 februari jl.2 heb ik een aantal acties geformuleerd. Met deze brief breng ik uw Kamer op de hoogte
van de voortgang op deze acties aan de hand van de opsomming die ik in mijn vorige
brief heb aangehouden.

Korte termijnacties

Onderzoek HPZone

Ik heb uw Kamer gemeld dat de systemen van de GGD’en door externe IT-deskundigen verder
zouden worden doorgelicht. GGD GHOR Nederland meldt mij dat het onderzoek van externe
IT deskundigen naar de kwaliteit van de software en de kwaliteit van de dienstverlening
van de softwareleverancier van HPZone is afgerond en vandaag is besproken door GGD GHOR Nederland
en de directeuren publieke gezondheid (DPG’en) van de GGD. GGD GHOR Nederland heeft
mij vandaag op de hoogte gesteld over de inhoud van dit onderzoek.

De resultaten van dit onderzoek nopen GGD GHOR Nederland tot versnelde vervanging
van HPZone (Lite). In het verleden is HPZone door de GGD’en afzonderlijk aangeschaft
en geïmplementeerd. Afgelopen jaar is in het kader van de bestrijding van de pandemie
daarnaast HPZone Lite geïntroduceerd en was er sprake van een sterke toename van het
aantal gebruikers van deze systemen. De urgente behoefte aan vervanging midden in
de huidige pandemie vraagt om landelijke aansturing. Temeer ook omdat er voor de bestrijding
van de pandemie noodzakelijke verbindingen zijn tussen HPZone, CoronIT en de systemen
van het RIVM. Ik heb GGD GHOR Nederland daarom gevraagd de vervanging van HPZone landelijk
te coördineren en ik zal hierbij op verzoek van GGD GHOR Nederland als opdrachtgever
optreden.

Voor de vervanging van HPZone zijn bij GGD GHOR Nederland meerdere alternatieven (en
combinaties van alternatieven) in beeld. Eén daarvan is het systeem go.data dat onder
verantwoordelijkheid van de WHO is ontwikkeld. De WHO geeft aan dat de broncode van
deze toepassing niet openbaar is maar de toepassing wel beschikbaar is voor alle lidstaten.
Een ander alternatief voor een deel van de functionaliteiten van HPZone is GGD Contact,
waarover ik uw Kamer eerder3 heb geïnformeerd. Deze oplossing wordt op dit moment verder ontwikkeld door VWS samen
met de GGD’en. Deze en overige alternatieven worden zo zorgvuldig en spoedig mogelijk
nader onderzocht door de GGD’en en GGD GHOR Nederland. Een nieuwe voorziening zal
bewijsbaar moeten voldoen aan alle standaarden en vereisten inzake privacy en veiligheid.
Vanzelfsprekend dienen de noodzakelijke functionaliteiten voor COVID-19-bestrijding
in die nieuwe voorziening aanwezig te zijn, zodat de regionale en landelijke surveillance
zonder onderbreking en tijdig uitgevoerd wordt, waarmee zicht en inzicht op het virus
en de bestrijding gewaarborgd blijft.

Export- en printfunctie

Mij is gemeld dat de print- en exportfunctie van HPZone (Lite) zijn uitgeschakeld
bij alle GGD’en. In CoronIT is de printfunctie eveneens uitgeschakeld of slechts toegankelijk
voor een selecte groep specialisten infectieziektebestrijding. Tijdens het debat van
3 februari kwam aan de orde dat er voor een aantal medewerkers in twee GGD-regio’s
nog toegang was tot deze functies. Deze uitzonderingen zijn inmiddels opgelost.

Toegang en zoekmogelijkheden

De zoekmogelijkheden binnen CoronIT en binnen HPZone sterk zijn beperkt vanaf 4 februari
jl. Medewerkers van de callcenters voor testen en vaccineren hebben alleen nog toegang
tot gegeven van personen die getest/gevaccineerd zijn of moeten worden als zij beschikken
over een aantal specifieke (systeemnummer, patiëntnummer of BSN) of combinaties van
gegevens.

Logging en monitoring verdacht gedrag

De gespecialiseerde interne en externe teams zijn dagelijks bezig met het herkennen
van verdachte patronen en het opvolgen van verdacht gedrag. Dit blijven zij doen tot
en met de implementatie van automatische en continue monitoring eind maart.

VOG administratie

Zowel de GGD'en, GGD GHOR Nederland als de gecontracteerde partijen controleren de
aanwezigheid van VOG's in de personeelsdossiers en laten deze zo nodig alsnog aanvragen.
De volledige administratie zal medio maart op orde zijn.

Expertteam

De voorzitter van GGD GHOR Nederland heeft mij eerder4 gevraagd of ik expertise zou kunnen leveren om ondersteuning te bieden bij de uitwerking
van de te nemen maatregelen uit het verbeterplan en de implementatie daarvan. Dat
heb ik onmiddellijk toegezegd en geëffectueerd.

Deze week is een eerste team samengesteld dat bestaat uit experts van binnen en buiten
de overheid op onder meer de terreinen privacy en informatiebeveiliging. Dit team
staat onder leiding van een vrijgesteld en ervaren projectdirecteur bij mijn ministerie.
De eerste activiteiten zijn samen met GGD GHOR Nederland gestart.

Strakker sturen – Verbeterplan DOTT

In mijn stand van zakenbrief van 17 november jl.5 meldde ik uw Kamer dat ik onder verantwoordelijkheid van de Landelijke Coördinatiestructuur
Testcapaciteit (LCT) opdracht heb gegeven tot het oprichten van de Regiegroep Digitale
Ondersteuning Test- en Traceerketen (DOTT). In mijn stand van zakenbrief van 24 december
jl.6 heb ik uw Kamer gemeld dat de Regiegroep DOTT in opdracht van VWS, GGD GHOR Nederland
en RIVM een risicoanalyse heeft opgeleverd. Op basis van deze risicoanalyse is er
in de Regiegroep met alle betrokken ketenpartners een verbeterplan opgesteld met daarin
maatregelen om de eerder gesignaleerde risico’s en kwetsbaarheden in de ketenbrede
digitale ondersteuning en infrastructuur binnen de gehele test en traceerketen te
mitigeren. Dit verbeterplan is op 11 februari jl. in concept vastgesteld door de LCT.

Het verbeterplan DOTT fase 1 «de basis op orde» bestaat uit deelplannen die elk belegd
zijn bij de ketenpartners. Elke ketenpartij is penvoerder voor haar acties en projecten.
In de Regiegroep vindt coördinatie, ondersteuning en sturing plaats ten behoeve van
de rapportages. Het verbeterplan DOTT fase 1 gaat in op de acties met een korte horizon
van zes weken (tot de audit) en drie maanden. Het streven is om eind maart fase 2
op te leveren die zal bestaan uit acties met een horizon van zes maanden of langer.
Deze acties zullen meer innovatief en duurzaam van aard zijn. Daarvoor is het nodig
dat eerst de basis op orde is.

Er zijn in totaal 28 deelplannen geïdentificeerd. GGD’en staan aan de lat voor de
helft van deze deelplannen. Overige deelplannen zijn verdeeld over RIVM, VWS, Dienst
Testen en DOTT als ketenoverstijgende partij. Om deze deelplannen uit te voeren is
veel specifieke capaciteit en projectmanagement nodig. GGD’en worden zoals gezegd
ondersteund door een expertteam geleid door een ervaren projectdirecteur vanuit mijn
ministerie.

De komende dagen wordt de laatste hand gelegd aan het verbeterplan DOTT fase 1 «de
basis op orde». Ik zal uw Kamer daar na oplevering over informeren. Ook kan ik uw
Kamer melden dat de LCT de Regiegroep DOTT heeft verzocht een zogeheten «Gateway Review»
uit te voeren, waartoe is besloten.

II. Openbaarmaking risicoanalyse

Uw Kamer heeft middels een emailprocedure verzocht om openbaarmaking van de risicoanalyse,
die reeds op 9 februari jl. vertrouwelijk ter inzage aan uw Kamer is aangeboden. Naar
aanleiding van uw verzoek heb ik het NCSC om hun advies gevraagd.

Daarbij geven ze aan dat de informatie in de risicoanalyse dieper inzicht geeft in
de beveiligingsarchitectuur van de testketen en dat dit kwaadwillenden kan helpen
om aanknopingspunten voor aanvallen te vinden. Het NCSC meldt mij dat er risico’s
zijn verbonden aan het openbaar maken van deze informatie en dat het vertrouwelijk
houden van de analyse vanuit technisch oogpunt het meest wenselijk is.

Ook het onder mijn verantwoordelijkheid gestarte Red team adviseert mij om niet tot
openbaarmaking over te gaan. Deze risicoanalyse bevat volgens hen informatie die waardevol
kan zijn bij het voorbereiden van een aanval op de systemen en processen van de gehele
test- en traceerketen. De analyse bevat overzichten en beschrijvingen van informatiestromen
en benoemt daarnaast ook de zwakke plekken in de systemen. Zo kan de risicoanalyse
als handleiding voor kwaadwillende dienen en hen in staat stellen om een gerichte
aanval te plaatsen op deze zwakke plekken.

Alle risico’s afwegend is mijn oordeel dat openbaarmaking te veel risico’s kent. Ik
zal daarom de risicoanalyse niet openbaar maken. Zoals eerder aan uw Kamer toegezegd
zal ik bij het opleveren van de audit bezien of het mogelijk is om deze analyse of
delen daarvan te openbaren. Mijn inzet daarbij is zo transparant mogelijk te zijn.

III. Koppeling coronatest.nl met DigiD

Over de koppeling van coronatest.nl met DigiD heb ik uw Kamer op 9 februari jl.7 geïnformeerd. Sindsdien is er nog meer berichtgeving naar buiten gekomen. Deze aansluiting
is aangevraagd en gerealiseerd onder verantwoordelijkheid van GGD GHOR Nederland.
De toezichthouder (Logius) meldt, onder meer op de eigen website, dat nieuwe aansluitingen
een ICT-beveiligingsassessment ondergaan, waarna dit jaarlijks moet worden herhaald.
Logius meldt daarbij dat met GGD GHOR Nederland het reguliere proces doorlopen wordt
en dat op dit moment geen sprake is van een onveilige situatie. De toezichthouder
meldt tot slot dat het doorlopen van dit proces een zaak is tussen Logius als toezichthouder
en GGD GHOR Nederland.

GGD GHOR Nederland meldt mij dat zij donderdag 11 februari 2021 een brief hebben ontvangen
van Logius waarin de toezichthouder aangeeft dat er een aantal bevindingen zijn opgelost.
Openstaande normen uit het assessment moeten nog worden opgelost. Deze openstaande
normen zijn door de toezichthouder voorzien van een opleverdatum. De toezichthouder
heeft mij echter verzekerd dat dit gaat om een regulier toezichtproces. De openstaande
normen hebben niets te maken met datadiefstal of het vrijelijk beschikbaar zijn van
persoonsgegevens.

IV. Moties en toezeggingen

Op 3 februari jl. heeft uw Kamer onder andere moties van het lid Azarkan8, lid Agema9 en leden Van den Berg c.s.10 aangenomen. Tevens heb ik tijdens het debat van 3 februari jl. toegezegd dat ik in
zou gaan op NEN-normen (Handelingen II 2020/21, nr. 52, Debat over een privacy lek
in de systemen van de GGD).

Motie lid Azarkan

De motie van lid Azarkan verzoekt de regering te bewerkstelligen dat aan mensen vooraf
toestemming wordt gevraagd of hun lichaamsmaterialen na een coronatest gebruikt mogen
worden voor onderzoek en gedeeld mogen worden met derden. Wegens juridische en uitvoeringstechnische
vraagstukken wil ik voldoende tijd nemen om uw moties van reactie te voorzien. Ik
streef ernaar dit bij de volgende voortgangsbrief aan uw Kamer te doen toekomen.

Motie lid Agema

De motie van lid Agema verzoekt de regering te bewerkstelligen dat persoonlijke gegevens
in de coronasystemen bij de GGD op verzoek snel verwijderd kunnen worden. GGD GHOR
Nederland geeft aan dat zij in reactie op uw motie informatie over het verwijderen
van persoonsgegevens beschikbaar heeft gesteld. Deze informatie is te vinden op https://ggdghor.nl/actueel-bericht/informatie-over-verwijderen-persoons…. Ik beschouw deze motie hiermee als afgedaan.

Motie Van den Berg c.s.

De motie Van den Berg verzoekt de regering te bevorderen dat zo spoedig mogelijk bij
de GGD GHOR Nederland een chief information officer (CIO) aangesteld wordt. GGD GHOR
Nederland heeft mij medegedeeld dat de procedure om een chief information officer
aan te stellen, opgestart is. Vanuit het eerder genoemde expertteam wordt GGD GHOR
Nederland ondersteund bij het kwartier maken hiervoor.

Toezegging NEN-normen

Tijdens het debat over een privacylek in de systemen van de GGD van 3 februari 2021
heb ik toegezegd schriftelijk terug te komen op de vragen van lid van Esch over NEN-normen.
Middels dit schrijven voldoe ik aan deze toezegging.

De norm NEN 7510 en aanvullende normen stellen eisen aan informatiebeveiliging in
de zorg. Deze normen geven richtlijnen en uitgangspunten voor maatregelen waarmee
de beschikbaarheid, integriteit en vertrouwelijkheid persoonlijke gezondheidsinformatie
kunnen worden beschermd. De normen worden opgesteld door onafhankelijke normcommissies.
Dit wordt gefaciliteerd door NEN. NEN heeft onderdelen van de norm NEN 7510 nader
uitgewerkt in NEN 7512. NEN 7512 gaat over de beveiliging van gegevensuitwisseling
(elektronische communicatie) tussen partijen. In het geval van de diefstal van data
bij de GGD waar RTL Nieuws over berichtte, ging het niet over gegevensuitwisseling
maar over toegang tot gegevens. NEN 7512 is in dat geval niet van toepassing.

NEN evalueert normen iedere 5 jaar – of eerder als de stichting daar aanleiding toe
ziet. NEN 7510 is gepubliceerd op 1 december 2017, een herziene versie verscheen op
1 februari 2020 (dit betrof alleen redactionele wijzigingen). NEN 7512 is gepubliceerd op 1 januari 2015 en wordt momenteel herzien.
NEN verwacht de herziene norm in 2021 te publiceren. Om vast te stellen of aan de
norm is voldaan, kan de zorgaanbieder zelf een beoordeling doen of dat extern laten
toetsen. Belanghebbenden kunnen vragen om vervroegd te evalueren. Uit zo’n evaluatie
kan volgen dat herziening wenselijk is als daar inhoudelijke gronden voor zijn. Het
is aan de NEN en stakeholders om vanuit hun onafhankelijke rol te beslissen of evaluatie
en eventuele herziening geboden zijn.

De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge