Vaccin voor GGD's om geschaad vertrouwen te herstellen

01 februari, 2021
Grote commotie deze week: gegevens van vele burgers lagen massaal voor het grijpen en zijn zelfs verkocht in het criminele circuit. Dat is niet alleen een pure privacy-kwestie – wie kan het waarderen dat zijn of haar medische gegevens op straat komen te liggen? – ook ligt daarmee meteen het risico van identiteitsfraude op de loer. Inmiddels zijn in de media ook al verschillende gevallen van daadwerkelijke fraude gemeld.

De minister zou beter moeten weten
Minister Hugo de Jonge liet onder meer weten: ‘Alles wordt gedaan om te zorgen dat het zo veilig mogelijk is, maar uiteindelijk is tegen dit type misdaad natuurlijk geen kruid gewassen’. Het is waar: als je iets onderneemt, gaat dat altijd met risico nemen gepaard, maar is er echt alles aan gedaan om de privacy van burgers te beschermen? Dat is moeilijk te geloven. Sterker nog, het heeft er alle schijn van dat er nauwelijks iets aan is gedaan.

De minister zou beter moeten weten. De wettelijke eisen voor privacybescherming, zoals vastgelegd in de Algemene Verordening Gegevensverwerking (AVG), omschrijven niet alleen de rechten van de personen over wie gegevens zijn opgeslagen, maar stelt ook heldere eisen aan alle organisaties die persoonsgegevens verwerken. Kennelijk zijn de minister en de GGD’s niet te rade gegaan bij privacy-experts met verstand van organisatie-inrichting en IT. Die kunnen zonder veel omhaal uitleggen hoe het vrij eenvoudig te regelen is dat elke medewerker alleen die gegevens ter beschikking krijgt die voor het werk nodig zijn, op basis van het need to know principe. Ook kunnen zij vertellen dat het helemaal niet zo’n toer is, om te voorkomen dat willekeurige medewerkers gegevens downloaden. Tot slot kan er met technische maatregelen, gebaseerd op logging, zicht worden verkregen op welke medewerkers welke gegevens hebben opgevraagd en of die daartoe wel bevoegd waren.

Veelheid aan fundamentele fouten
Volgens de – ook door de GGD’s bevestigde – berichten in verschillende nieuwsmedia, is er een veelheid aan fundamentele fouten gemaakt. Burgers die zich melden voor een test of vaccinatie wordt gevraagd een heel scala aan privacygevoelige gegevens op te geven. Om te beginnen is het niet duidelijk of al die verzamelde gegevens werkelijk nodig zijn. Dit terwijl veel van deze gegevens volgens de AVG, de privacywet dus, in de categorieën persoonsgegevens of zelfs bijzondere persoonsgegevens vallen. Persoonsgegevens moeten goed beschermd worden, terwijl voor de bijzondere persoonsgegevens daar bovenop extra beschermingseisen gelden. In de AVG is de verplichting opgenomen om vooral niet meer gegevens te verzamelen dan strikt noodzakelijk. Dit principe wordt aangeduid als dataminimalisatie. Het laat zich aanzien dat de GGD’s zich niet hebben afgevraagd of het bij de gegevensverwerking ‘een onsje minder mag’. Van minimalisatie lijkt daarom geen sprake.

Bovendien kunnen de door de GGD’s ingeschakelde medewerkers onbelemmerd alle persoonsgegevens, ook de bijzondere persoonsgegevens, zonder expliciete toestemming inzien. Dit geldt ook voor gegevens van GGD’s buiten hun regio. Ook kan elke medewerker eenvoudig alle gegevens downloaden en meenemen.

Hoe het geschonden vertrouwen terug te winnen
Deze kwestie heeft het vertrouwen van burgers en politiek ernstig geschaad. Dat vertrouwen is terug te winnen door zich goed te laten adviseren door privacy-deskundigen met expertise op het gebied van techniek en inrichting van organisaties. Het bewijs van een gegevensverwerking die aan de privacy-vereisten voldoet kan worden geleverd door een deugdelijk privacy-adviesonderzoek gevolgd door een-op-een opvolging van de adviezen, afgerond met een privacy-audit.
NOREA, de beroepsorganisatie van IT-auditors, heeft voor privacy-audits en privacy-adviesonderzoeken het Privacy Control Framework (PCF) ontwikkeld met daarin beheersingsdoelstellingen, afgeleid uit de AVG en verrijkt met praktische voorbeelden van controles. In de bijbehorende gebruiksvoorwaarden is vastgelegd hoe organisaties het NOREA logo Privacy Audit Proof kunnen verkrijgen door het succesvol doorlopen van een audit, met het PCF als normenkader. Voor het uitvoeren van de privacy-audit is aansluiting gezocht bij internationale auditstandaarden. Met het logo kunnen organisaties naar partners en personen van wie gegevens worden verwerkt, aantonen dat de organisatie voldoet aan de vereisten uit het PCF, en aan de uit de AVG afgeleide doelstellingen om de gegevensverwerking te beheersen.

Als de minister en de GGD’s zich laten inenten met een privacy-audit als vaccin, wordt het geschonden vertrouwen hersteld, keert de rust rond de gegevensverwerking terug en kunnen de GGD’s zich weer op hun kerntaken focussen: het testen en vaccineren van burgers.