Vertrouwen komt te voet en gaat te paard. Beveiliging van gegevens moet diep in ons dagelijks functioneren geïntegreerd worden. Een volgend kabinet zou hier substantieel in moeten investeren, beschaamd door het recente GGD datalek. Goed ontworpen en goed geïntegreerd hoeft digitale beveiliging geen aantasting van de slagkracht te zijn, maar maakt juist meer transacties digitaal mogelijk, met meer zekerheid.
Beeld: Shutterstock
De Gemeentelijke Gezondheidsdiensten (GGD’en) hebben een strategische rol bij het bestrijden van de huidige Covid pandemie, bijvoorbeeld bij het testen en vaccineren en bij het uitvoeren van bron- en contactonderzoek. Deze GGD’en verwerken medische en persoonlijke gegevens van miljoenen Nederlanders. Daarbij is een datalek ontstaan, misschien wel het grootste ooit in Nederland.
Eind januari onthulde RTL-journalist Daniël Verlaan dat gegevens uit de computersystemen van GGD’en online massaal te koop zijn. Het ging daarbij onder andere om contactinformatie, Burgerservicenummers (BSN’s) en om testuitslagen. De computersystemen die gebruikt worden voor het bron- en contactonderzoek (BCO) bleken standaard een download (en afdruk) mogelijkheid te hebben. Deze systemen worden bediend door zo’n achtduizend haastig aangetrokken medewerkers, veelal via uitzendbureaus. Deze mensen werken vanuit hun eigen huis, zonder systematische controle of monitoring.
Criminele proporties
Niemand van de verantwoordelijken lijkt de waarde en gevoeligheid onderkend te hebben van deze grote verzameling van persoonsgegevens. Ze maakten het de georganiseerde criminaliteit en buitenlandse inlichtingendiensten wel heel eenvoudig: bied iemand tienduizend Euro om bij een GGD te gaan werken en regelmatig op de download knop te drukken. De nalatigheid en desinteresse van deze verantwoordelijken is van criminele proporties, te meer daar in het voorafgaande half jaar herhaaldelijk gewezen is op de kwetsbaarheden.
André Rouvoet, voorzitter van de landelijke koepel GGD GHOR Nederland, erkende op 29 januari bij Nieuwsuur dat onder zijn verantwoordelijkheid een “ernstig misdrijf” heeft plaatsgevonden en dat de GGD’en “een klus hebben om het vertrouwen bij de mensen te herstellen”. Beveiliging heeft volgens hem een negatieve impact op de “slagkracht” van de organisatie. Hij verzette zich tegen de conclusie dat de GGD’en zich niet aan de wet hadden gehouden, want die conclusie was nog niet door de Autoriteit Persoonsgegevens (of een rechter) getrokken. De AVG vereist in artikel 25 dat passende en organisatorische maatregelen genomen worden door de verwerkingsverantwoordelijke, in relatie tot de risico’s. Er is echt geen toezichthouder of rechter voor nodig om hier te concluderen dat de GGD’en daaraan niet hebben voldaan.
Ik heb alle begrip voor de lastige situatie van GGD’en. Deze diensten zijn de afgelopen jaren financieel uitgekleed en moesten plotseling alle zeilen bijzetten. Deze GGD’en vallen onder lokale overheden waardoor het afdwingen van een uniform hoog niveau van beveiliging niet eenvoudig is. De minister van Volksgezondheid heeft geen directe zeggenschap over de GGD’en. Maar de minister is wel degene die met GGD’en overeenkomsten gesloten heeft om massaal te gaan testen en had via die overeenkomsten harde voorwaarden en eigen zeggenschap kunnen afdwingen over adequate beveiligingsmaatregelen.
Rutte nooit getest
Het vertrouwen van burgers moet nu snel hersteld worden! Want tja, het is wel lastig als burgers in een pandemie hun gezondheidsautoriteiten niet meer vertrouwen. Dat kan de bereidheid tot testen en vaccinatie serieus aantasten. Op 5 februari liet premier Rutte zich tijdens een persconferentie ontvallen dat hij zich nog nooit had laten testen. Toen een journalist doorvroeg zei Rutte dat hij nog nooit klachten had gehad en gaf hij het onzinargument dat een PCR-test alleen zin heeft bij klachten. Pardon? Covid kent een hoog percentage asymptomatische besmettingen. Ik vermoed dat de werkelijke reden dat Rutte zich nooit heeft laten testen is dat beveiligingsverantwoordelijken in zijn omgeving hem dat nadrukkelijk afgeraden hebben, om te voorkomen dat zijn gegevens via de GGD zouden uitlekken. En behalve Rutte zijn er tienduizenden andere mensen in Nederland waarvan het helemaal niet fijn is wanneer buitenlandse inlichtingendiensten over hun persoonsgegevens beschikken – zoals we nu moeten aannemen.
Privacy voor eigen veiligheid
Privacy is niet alleen voor bekende Nederlanders van belang, maar ook voor ons, gewone burgers, omwille van onze eigen veiligheid, denk maar aan vrouwen in een blijf-van-mijn-lijf-huis. Bescherming van de persoonlijke levenssfeer is een grondrecht, dat gegarandeerd wordt door onze eigen grondwet (art. 10) en door het Handvest van de grondrechten van de Europese Unie (art. 7). De Nederlandse overheid heeft een zware plicht om zulke grondrechten te beschermen. Maar wat zien we? Behalve het giga-GGD-lek hebben we deze zomer ook een datalek gehad bij het Donorregister. En via de Kamer van Koophandel zijn privé adressen nog steeds toegankelijk voor iedereen die maar betaalt, waardoor huisartsen thuis lastiggevallen worden door viruswappies en advocaten zoals Derk Wiersum wel heel makkelijk te vinden zijn.
Wat is uw geboortedatum?
Vaak bellen we een bedrijf of overheidsinstelling als we iets willen weten of regelen. De organisatie waar we mee bellen stelt dan vast wie we zijn via een paar eenvoudige vragen, zoals: wat is uw volledige naam, geboortedatum, adres of BSN? Antwoorden op zulke vragen zijn via het GGD datalek op straat komen te liggen. Een belangrijk gevolg van het GGD-datalek is dat identiteitsvaststelling via de telefoon onbruikbaar geworden is. Dat was nooit een heel betrouwbare vaststelling, maar nu heeft die methode alle waarde verloren. Het gebruik ervan bij de bespreking van persoonlijke aangelegenheden is daarmee een schending van AVG art. 25 geworden.
In de uitzending van 1 februari toonde het TV-programma Pointer hoe wijdverbreid Whatsapp fraude is: zo’n honderd aangiften per dag, met een gemiddeld schadebedrag van ongeveer vijfentwintighonderd Euro. Veel van de aanvallers maken gebruik van social engineering, waarbij ze persoonsgegevens uit een andere context gebruiken om geloofwaardig over te komen. De gegevens uit het GGD datalek komen daarbij nu goed van pas.
De autoriteiten waarschuwen ons nu om voorzichtig te zijn en goed op onze bankrekening te letten. We moeten het zelf dus maar uitzoeken! Maar ondertussen moeten we vooral wel vertrouwen blijven houden.
Zelfgenoegzaamheid
Nederland is met de huidige pandemie op een groot aantal punten genadeloos door het ijs gezakt. De benodigde testcapaciteit werd stelselmatig onderschat, waardoor grootschalig testen pas dik een half jaar na aanvang van de pandemie kon plaatsvinden. De bescherming in verpleeghuizen is stelselmatig verwaarloosd. Vaccinatie komt tergend traag op gang. En, oeps, oh ja, alle gevoelige persoonsgegevens blijken gelekt, ondanks herhaalde waarschuwingen. En ondertussen blijven we maar denken dat we het zo goed doen. Net zoals we maar blijven denken dat onze voetballers de beste van de wereld zijn. Begin februari vond de conferentie Nederland Digitaal plaats. In een slotsessie kwamen staatssecretarissen Mona Keijzer en Raymond Knops aan het woord, zwelgend in zelfgenoegzaamheid over hoe goed Nederland het wel niet doet op digitaal gebied. En niemand die ’GGD?’ zei. Genant en pijnlijk.
Een begin van herstel van vertrouwen
Vertrouwen komt te voet en gaat te paard. Vertrouwen van burgers kun je niet via een lege bezweringsformule herstellen. Beveiliging van gegevens moet diep in ons dagelijks functioneren geïntegreerd worden. Dan gaat het allereerst om een proportionele identiteitsvaststelling, met persoonskenmerken die betrouwbaar zijn en noodzakelijk in de betreffende situatie. Zulke authenticatie moet plaatsvinden via transparante, open source systemen, zonder achterdeurtjes en bijbedoelingen (profileren van burgers). Authenticatie moet diep in de infrastructuur verankerd worden, bijvoorbeeld bij telefoon- of video-gesprekken, maar alleen daar waar noodzakelijk. Daarnaast moeten digitale handtekeningen systematisch gebruikt worden om de bron en integriteit van informatie te garanderen. Dat helpt ook nog eens tegen desinformatie en deep fakes, en tegen valse tikkies. Met zulke veranderingen kunnen bewindslieden daadwerkelijk bijdragen aan herstel van geloofwaardigheid en vertrouwen.
In dit soort elementaire beveiligingsinfrastructuur zou een volgend kabinet substantieel moeten investeren. Goed ontworpen en goed geïntegreerd vormt digitale beveiliging geen aantasting van de slagkracht, maar een aanjager voor digitale transacties, met zekerheid. Belangrijk daarvoor is dat er een open infrastructuur is die iedereen kan gebruiken, en vertrouwen. Staatssecretaris Knops heeft zojuist een belangrijke stap gezet door aan de Eerste Kamer toe te zeggen dat toegelaten digitale identiteitsmiddelen open source moeten zijn. Dus, als Google of Baidu in Nederland toelating willen voor een eigen eID, zal dat open source moeten zijn. Hiermee wordt een heldere norm gesteld en loopt Nederland internationaal voorop.
GGD’en en RIVM zeggen veel persoonsgegevens nodig te hebben om het verloop van de pandemie te kunnen volgen. In de medische wereld is er een cruciaal onderscheid tussen behandeling en onderzoek. Het Burgerservicenummer, bijvoorbeeld, alleen gebruikt worden voor behandeling en niet voor onderzoek. In onderzoek volstaan pseudoniemen, en geldt nog strengere data-minimalisatie, zodat betrokkenen niet herkenbaar in de gegevens voorkomen. Besef van dit cruciale onderscheid lijkt bij de bestrijding van de huidige pandemie niet of nauwelijks aanwezig: alles moet bewaard worden. Sterker nog, besef dat digitale bescherming in het huidige wereld voorwaardenscheppend is voor medische bescherming lijkt ook afwezig.
Bart Jacobs is hoogleraar computerbeveiliging en privacy aan de Radboud Universiteit in Nijmegen en voorzitter van de stichting Privacy by Design. Voor meer informatie, zie zijn persoonlijke webpagina bij de universiteit.
