De datadiefstal via GGD-systemen is echt ongekend. Net zoals de reactie zojuist in de Kamer van minister Hugo de Jonge. Een aantal punten ontleed:

-GGD heeft zelf nog geen idee van de omvang van het lek
-Ook niet welke systemen het betreft. Men vermoedt (!) CoronIT en HPZone

In CoronIT staan persoonsgegevens, zoals naam, adres, woonplaats, telefoonnummer/emailadres, BSN, geslacht, geboortedatum.

In HPZone staat meer. Zoals medische gegevens en ook met wie je hebt afgesproken (denk hierbij aan journalisten en bronnen, of advocaten en hun cliënten)

Op deze twee uiterst gevoelige systemen (want medische gegevens én persoonsgegevens) waar tienduizenden personen toegang hebben vindt GEEN monitoring plaats. Hoewel de systemen al vanaf de zomer draaien wordt NIET automatisch bijgehouden wie wat opvraagt

De Jonge zegt in de Kamer dat de GGD 'sinds het begin continu controleert' wie toegang heeft en of er misbruik plaatsvindt. Dat continu klinkt mooi, maar betekent in werkelijkheid dat er af en toe een streekproef wordt gedaan

Volgens de minister moest het 'informatiebeheer aan de hoogste standaarden voldoen'. Niet veel later zegt hij dat GGD-systemen pas sinds kort voldoen aan de laatste NEN-norm voor zorg. Een vrij algemene norm voor data-uitwisseling. Desondanks is het enorme datalek niet opgemerkt

'Wij verwerken grote volumes gegevens, en deze actie is in onze controles niet naar voren gekomen', schrijft de GGD als excuus. Wat niet zo verwonderlijk is als er geen monitoring is en de 'controle' bestaat uit steekproeven

'Medewerkers hebben alleen toegang als dat nodig is', zegt De Jonge. Maar als er geen controle is, is dat een wassen neus. Niets staat misbruik in de weg. De politieke oplossing: 'meer controles'. Dat maakt het systeem niet veiliger, enkel de pakkans bij diefstal groter

Een externe partij gaat nu een audit doen. Dit maanden nadat de Volkskrant en Nieuwsuur al berichtten over problemen met de (deels verouderde) systemen en oneigenlijke toegang tot persoonsgegevens en testuitslagen