Kamer debatteert over privacylek GGD

3 februari 2021, debat - Privégegevens van mensen in GGD-databestanden zijn online te koop aangeboden. De Kamer vraagt minister De Jonge (Volksgezondheid) en minister Dekker (Rechtsbescherming) hoe dit heeft kunnen gebeuren. En wat wordt er gedaan om verdere datadiefstal te voorkomen?

Sinds 24 januari jongstleden verschijnen in de pers berichten dat mensen die voor de GGD's werken, persoonsgegevens te koop aanbieden. Het gaat onder meer om gegevens afkomstig uit systemen voor coronatests en bron- en contactonderzoek.

Van den Berg (CDA) vindt het onbegrijpelijk dat de GGD's niet eerder hebben gemeld welke problemen men had. Wat is daar mis met de cultuur? Ook bij het ministerie is er een gebrek aan checks-and-balances, vult Kuiken (PvdA) aan.

Mensen moeten erop kunnen vertrouwen dat medische gegevens goed beveiligd worden, zegt minister De Jonge. Dat er data gelekt zijn, vindt de minister "heel ernstig" voor mogelijke slachtoffers, en voor het vertrouwen in het beleid en in alle GGD-medewerkers die te goeder trouw zijn.

Reactie op signalen

In de zomer waren ambtenaren van het ministerie al op de hoogte van het datalek, constateert Azarkan (DENK). Waarom heeft minister De Jonge daar niks mee gedaan? Baudet (FvD) meent dat de minister opnieuw "persoonlijk heeft gefaald".

Het is kwalijk dat criminelen bij de gegevens konden, maar het is nog erger dat interne kennis daarover is genegeerd, vindt Kuiken (PvdA). Agema (PVV) concludeert dat pandemiebestrijding boven privacyveiligheid is gegaan.

Minister De Jonge zegt dat hij in actie is gekomen toen in het najaar steeds meer instabiliteit in de gegevensuitwisseling optrad. De privacy heeft in eerste instantie te weinig aandacht gekregen en ik had sneller moeten reageren op signalen, erkent de minister.

Verbeteracties

Er zijn inmiddels een aantal verbeteracties ingezet, betoogt De Jonge. In maart zal volautomatische logincontrole bij de GGD's geïnstalleerd zal zijn. Tot dat moment voeren interne en externe teams dagelijks intensieve controles uit. De minister zegt dat print-, export- en zoekfuncties van gegevens zijn ingeperkt en dat externe deskundigen alle systemen doorlichten. Minister Dekker voegt toe dat de Autoriteit Persoonsgegevens de verbeteracties monitort.

Slachtoffers

Veldman (VVD) vraagt naar de omvang van het lek. Hij dringt erop aan dat slachtoffers zo snel mogelijk worden geïnformeerd als hun gegevens zijn gestolen. De zorg is de sector met de meeste datalekken, zegt Van Esch (PvdD), terwijl het lekken van data letterlijk levensgevaarlijk is.

Wie gaat er juridische bijstand verlenen als criminelen bijvoorbeeld leningen afsluiten met de buitgemaakte gegevens? Van Brenk (50PLUS) vindt dat gedupeerden gecompenseerd moeten worden. Kunnen mensen op hun verzoek een nieuw bsn-nummer krijgen, vraagt Van der Graaf (ChristenUnie).

Zodra de GGD weet van wie gegevens zijn gestolen, zullen de mensen daarover worden ingelicht, zegt De Jonge. Hij voegt toe dat de GGD aansprakelijk is voor de schade die mogelijk voortvloeit uit het datalek. Als daarvoor ondersteuning vanuit het ministerie nodig is, geef ik die, aldus de bewindsman.

Minister Dekker is zeer terughoudend als het gaat om nieuwe bsn-nummers, omdat die op vele terreinen, bijvoorbeeld in de zorg en voor belastingen, gebruikt worden. Maar hij zegt toe er met de verantwoordelijke staatssecretaris van Binnenlandse Zaken over te zullen spreken.

Structurele oplossing

IT-overmoed en een heilig datageloof leiden tot maatschappelijke schade, zegt Verhoeven (D66). Hij benadrukt het belang van een betere uitvoering en controle, want anders "hollen we de rechtsstaat uit". De hele overheid moet haar datahuishouding verbeteren, aldus de D66'er. Van der Staaij (SGP) bepleit steviger privacywaarborgen in de dienstverleningsovereenkomst met de GGD's.

Privacy by design moet het uitgangspunt zijn, zegt Kröger (GroenLinks). Hijink (SP) wil dat de Autoriteit Persoonsgegevens veel meer middelen krijgt om actief datalekken op te sporen.

Minister Dekker betoogt dat de Autoriteit Persoonsgegevens een van de best bemenste autoriteiten in Europa is en dat preventief zoeken naar datalekken niet tot haar taken behoort. Hij wijst erop dat privacy by design verplicht is op grond van de Algemene verordening gegevensbescherming. Minister De Jonge benadrukt het belang van dataminimalisatie: we moeten alleen noodzakelijke gegevens gebruiken.

De Kamer stemt op 9 februari over de tijdens het debat ingediende moties.

Zie ook: