Beveiliging persoonsgegevens bij GGD’en nog niet op orde

In november 2021 heeft de Autoriteit Persoonsgegevens (AP) de brancheorganisatie GGD GHOR geïnformeerd over het onderzoek dat de AP heeft uitgevoerd nadat bleek dat onbevoegden toegang konden krijgen tot GGD-persoonsgegevens van mensen die zich hadden laten testen. Het ging om toegang tot adressen, telefoonnummers en testresultaten. Deze gegevens uit de systemen van de GGD werden gestolen en verhandeld.  

Tekst: Katrijn van Berkum en Timo van Oosterhout

Op dit moment zijn er bij GGD GHOR nog geen passende technische en organisatorische maatregelen om de beveiliging van persoonsgegevens te waarborgen. In de brief geeft de AP aan welke verbetermaatregelen GGD’en moeten treffen.

Bij de verwerkingen van persoonsgegevens is een groot aantal partijen betrokken. Het gaat minimaal om de 25 regionale GGD’en, GGD GHOR, zes  landelijke partnerorganisaties (callcenters en alarmcentrales) en diverse uitzendbureaus en IT-leveranciers. De AP concludeert dat er geen duidelijke afspraken tussen deze partijen zijn over bepaalde beveiligingsaspecten rondom de systemen die voor bron- en contactonderzoek worden gebruikt. Hierdoor is onvoldoende duidelijk wie waarvoor verantwoordelijk is en wie welke maatregelen dient te treffen. Dit betekent wezenlijke risico’s voor de beveiliging van persoonsgegevens die aanvullende verbetermaatregelen vereisen. 

Nieuwe systemen

De AP benadrukt dat ook bij de ontwikkeling en implementatie van nieuwe ICT-systemen voor bron- en contactonderzoek rekening moet worden gehouden met AVG-verplichtingen. De AP ziet erop toe dat genoemde noodzakelijke verbeteringen tijdig door de GGD’en worden doorgevoerd.

Senior jurist Katrijn van Berkum en advocaat Timo van Oosterhout zijn werkzaam bij stichting VvAA Rechtsbijstand