GGD datalek: een doorkijkje vanuit de theorie

Inleiding

We schrijven februari 2021. Na bijna een jaar Corona-stress lijkt de samenleving onder hoogspanning te staan. Recente maatregelen – een tijdelijke avondklok – leidde tot rellen in het land. Mensen zijn het thuiszitten beu en ondernemers hebben het zwaar. Eén van de belangrijke partijen in de keten van organisaties die cruciaal is bij het onder de duim krijgen van het virus is de GGD. Het blijkt dat de GGD het moeilijk heeft met de landelijke opschaling van hun ICT-systemen voor Covid. Een lijstje met koppen uit het nieuws karakteriseert de problematiek:

• Op 29 januari kopt NU.nl: GGD wil vanwege datalek snel overstappen op ander softwaresysteem
• Op 30 januari kopt NOS.nl: Trage vaccinatie, een GGD-datalek: problemen stapelen zich op voor De Jonge
• Op 30 januari kopt NOS.nl ook: GGD schakelt printfunctie toch uit na datalek
• Op 1 februari kopt het AD: Kans op identiteitsfraude na datalek GGD is klein
• Op 2 februari kopt het Parool: Derde verdachte aangehouden voor datadiefstal GGD

Een genuanceerder beeld

De ernst van de situatie vraagt om een genuanceerdere blik. Op 3 februari woedt er een verhit debat in de Tweede Kamer. Kamerleden bevragen de minister van volksgezondheid Hugo de Jonge over de privacyproblemen in het systeem waarmee de GGD-medewerkers, met de beste bedoelingen, aan de slag zijn gegaan. Gezien de benodigde snelheid van handelen, blijkt dat bescherming van privacy hierbij niet de benodigde aandacht heeft gehad. GGD medewerkers hadden toegang tot informatie die in men in principe niet nodig had en de Tweede Kamer vraagt zich af hoe het toezicht hierop is geregeld.

Verantwoordelijk voor het toezicht op de privacy is de Autoriteit Persoonsgegevens (verder: AP). Zij zijn verantwoordelijk om meldingen op te pakken en organisaties te verplichten tot correctieve acties, indien er risico’s ontstaan. Echter, de AP kampt structureel met personeelstekort. In het jaarverslag 2019 van de AP staat dat slechts in 0,3% van alle meldingen zijn onderzocht. De AP heeft aangegeven meer capaciteit voor toezicht nodig te hebben.

Het vooraf voorkomen van privacy problemen is beter, dan achteraf moeten corrigeren. De term die hiervoor gebruikt wordt is privacy by design. Dit houdt in dat bij de ontwikkeling van ICT systemen vanaf het allereerste begin rekening houden met privacyoverwegingen, zoals beschreven in de AVG. Voorkom bij het ontwikkelen en het gebruik van het informatiesysteem dat er handelingen plaats kunnen vinden die niet toegestaan zijn. 

Thesis aan de Hogeschool Utrecht

Ter afsluiting van zijn Master of Informatics schrijft Dennis Teuben onder begeleiding van Bas van Gils een thesis die onverwacht actueel blijkt te zijn. Dennis constateert in zijn (nog lopende) onderzoek dat de AP niet bij machte lijkt te zijn om voldoende toezicht te houden op de rechtmatigheid —compliance — voor het verwerken van persoonsgegevens door een overheidsorganisatie. Nog daargelaten dat de AP zijn adviesfunctie kan invullen of voor organisaties kan acteren als adviesorgaan.

De doelstelling van het ontwerpgerichte onderzoek is om na te gaan of en hoe toezicht door de AP efficiënter en effectiever zou kunnen zijn als gebruik gemaakt wordt van het zogenaamde horizontale toezichtsprincipe. Het onderzoek is gebaseerd op een uitgebreide literatuurstudie en validatie met experts uit het veld. Het onderzoek bevindt zich momenteel in de afrondende fase waarin de resultaten verder worden gevalideerd, waarna de thesis kan worden geschreven.

Eén van de resultaten van het onderzoek is dat (horizontaal) toezicht effectief kan zijn als organisaties en toezichthouder investeren op drie aspecten; begrip, vertrouwen en transparantie. Dit is een mooi resultaat, maar privacy by design als filosofie biedt nog weinig concrete handvatten voor organisaties om zelf aan de slag te gaan. De inzichten zijn met de design science aanpak vertaald naar een privacy control framework. Hiermee krijgen organisaties een instrument in handen waarmee privacy belangen en het toezicht erop in de organisaties geborgd kunnen worden.

Conclusies

Het lijkt een open deur dat bij het ontwikkelen van informatiesystemen, dus ook het GGD-registratiesysteem, privacy by design in acht genomen wordt. In dit digitale tijdsgewricht kan je niet anders als je naar duurzame oplossingen streeft waarin alle belangen van stakeholders goed geborgd zijn. Deze lijn kan ook doorgetrokken naar de fase waarin het systeem actief gebruikt wordt (de ‘beheerfase’). Dit blijkt in de praktijk lang niet altijd aan de hand te zijn.

Goed omgaan met privacybelangen vraagt om periodieke evaluaties waarbij bekeken moet worden of het systeem nog voldoet en compliant is. Op basis van het genoemde onderzoek concluderen we enerzijds dat privacy by design een wat vaag geformuleerde aanpak is, en dat een doorvertaling naar een privacy control framework helpt om hier een concrete invulling aan te geven.

Een eerste advies is: zorg dat je niet doorslaat! De valkuil is om het systeem dermate strak in te regelen, door bijv. functies uit te zetten of autorisaties minimaal toe te bedelen, dat hiermee een inflexibele werksituatie ontstaat en een aanzienlijke bureaucratie. De crux zit hem erin hier een balans te vinden, streng waar dat moet, soepel waar dat kan.

Een tweede advies is: onderzoek – als de crisis bezworen is – hoe het toezicht door de AP effectiever en efficiënter kan. Horizontaal toezicht kan hierbij interessant zijn. Dat vraagt wel dat organisaties en toezichthouder werk maken van de criteria begrip, vertrouwen en transparantie. Dat vraagt een investering in de AP omdat zij werk moeten maken van het invullen van hun adviesfunctie en het zijn van ‘autoriteit’ voor organisaties met vragen.

Ons onderzoek kan een eerste aanzet zijn tot het praktisch toepasbaar maken van privacy by design en mogelijke toepasbaarheid van horizontaal toezicht. Het perspectief wat daarmee wordt geboden is ten eerste om onrechtmatig gebruik van informatiesystemen te voorkomen, maar ook om de toezichthouder te ontlasten.