Nog altijd heeft de GGD z’n zaken op privacygebied niet goed voor elkaar. Zo kunnen oud-medewerkers van de GGD soms meer dan een maand na hun ontslag vanuit huis nog bij persoonsgegevens van alle Nederlanders. En in de regio Arnhem/Ede werden klassikaal aan nieuwe medewerkers vertrouwelijke gegevens getoond. 

Eind vorig jaar bleek dat de persoonsgegevens van Nederlanders die zich laten testen, vaccineren of meewerken aan het bron- en contactonderzoek nog steeds niet voldoende waren beschermd. ‘Wezenlijke risico’s’, zo bestempelde de Autoriteit Persoonsgegevens het.

Dat bleek. In december werden bij een training voor nieuwe medewerkers bij GGD Gelderland-Midden (regio Arnhem/Ede) de persoonsgegevens van een vrouw die die dag in Arnhem gevaccineerd zou worden klassikaal getoond, zo meldt een uitzendkracht van de GGD.  Het ging hierbij om onder meer BSN-nummer, mailadres, adres en zelfs ziekte en medicijngebruik.

,,Dit is eenmalig gebeurd’’, reageert een woordvoerder van de landelijke GGD/GHOR. ,,Dit hoort niet en is ook niet onze gebruikelijke gang van zaken. Elke opleiding wordt gegeven vanuit een testomgeving met fictieve personen en gegevens.’’ Tijdens één van deze trainingen was bij de GGD Gelderland-Midden de testomgeving niet beschikbaar en is het systeem geïllustreerd aan de hand van daadwerkelijke persoonsgegevens.’’

En dat is niet het enige incident. Een oud-medewerker, die net als de uitzendkracht anoniem wil blijven, meldt dat hij nog zeker anderhalve maand nadat hij uit dienst was in de coronasystemen van de GGD kon inloggen. Hij kon daarbij alle persoonlijke gegevens inzien die hij maar wilde. ,,Zoals het BSN-nummer en het mailadres, en dat is als je kwaad in de zin hebt toch een gevaarlijke combinatie.’’

De Autoriteit Persoonsgegevens zegt dat het proces rond het tijdig aanpassen of intrekken van de toegang ‘nog niet altijd goed verloopt’. Ook is de privacywaakhond eind vorig jaar gebleken dat er diverse medewerkers zijn die toegang hebben tot persoonsgegevens die zij voor hun werkzaamheden niet of niet langer nodig hebben.

De Autoriteit Persoonsgegevens wil niet ingaan op de huidige situatie bij de GGD’s. In november is een lijst met bevindingen gepresenteerd en in maart wordt bekeken wat daar van terecht is gekomen. ,,Tot die tijd doen we geen mededelingen’’, stelt een woordvoerder, ,,en hebben ze de tijd om dingen te verbeteren.’’

Tweede Kamerlid Attje Kuiken (PvdA) noemt het 'zeer schadelijk’ dat de GGD's hun zaakjes nog niet voor elkaar hebben.  ,,Terwijl het over zeer persoonlijke gegevens gaat waar kwaadwillenden veel schade mee kunnen aanrichten. Ondanks de beloftes aan de Tweede Kamer van het kabinet is het dus nog steeds niet op orde.’’

Alles bij de bron; deGelderlander