Vijf vragenICT-problemen

Wat is er nu weer aan de hand met GGD-website coronatest.nl?

Op de website coronatest.nl is een testafspraak te maken. De uitslag van die test is er later te bekijken.  Beeld ANP
Op de website coronatest.nl is een testafspraak te maken. De uitslag van die test is er later te bekijken.Beeld ANP

Na het debacle rond het datalek bij de GGD, meldt minister Hugo de Jonge van volksgezondheid nu ICT-problemen op de website coronatest.nl. Vijf vragen.

Ben je snotterig, dan surf je in nu eerder naar coronatest.nl dan dat je naar de badkamer rent voor neusspray. Op de website van de GGD kun je een afspraak maken om je te laten testen op het coronavirus, ook kun je er de uitslag van je test zien door in te loggen met je DigiD. Maar coronatest.nl kampt met ICT-problemen, bleek dinsdag.

Wat is er precies aan de hand?

Dinsdagavond stuurde coronaminister Hugo de Jonge een Kamerbrief van amper een kantje naar de Tweede Kamer. Even daarvoor meldde de NOS op basis van ‘vertrouwelijke stukken’ dat de gegevens van miljoenen mensen die zich hebben laten testen op het coronavirus, onvoldoende beveiligd zouden zijn. Op de site kun je inloggen met DigiD, het digitale paspoort dat je nodig hebt als je gebruikmaakt van overheidsdiensten, zoals bij de belastingaangifte. Voor het gebruik van dit digitale paspoort door een website gelden strenge eisen. Op die eisen wordt toegezien door Logius, ‘het kloppend hart van de digitale overheid’, en onderdeel van het ministerie van binnenlandse zaken. Aan zes normen voldeed coronatest.nl niet. Op vier punten ligt de GGD goed op schema om de veiligheid te verbeteren, maar op twee punten nog niet. De termijn waarbinnen de GGD hiermee aan de slag moest gaan, is overschreden.

Moet ik mij nu zorgen maken over de gegevens die ik op de website achterlaat?

‘Er is geen sprake van een onveilige situatie’ staat in de Kamerbrief. Zeker is dat niet. Omdat het niet duidelijk is om wat voor ICT-problemen het precies gaat, is het lastig te zeggen of er echt geen onveilige situatie is.

Want in het algemeen geldt wel dat áls persoonlijke informatie niet goed beveiligd is, hackers mogelijk toegang kunnen krijgen, zegt Menno Schaatsbergen, informatiebeveiliginsconsultant bij Avensus. En dat kan grote gevolgen hebben. Schaatsbergen: “Met de persoonsgegevens kun je in het slechtse geval persoonsfraude plegen”.

Over wat voor normen gaat het hier eigenlijk?

De twee normen waarmee de GGD nog niet aan de slag is gegaan, hebben volgens de verklaring ‘betrekking op het controleerbaar aantoonbaar maken van de veiligheid van het systeem’. Wat dat concreet inhoudt, wil de GGD op dit moment niet zeggen ‘in het kader van de vertrouwelijkheid’. Als ze dit wel zeggen, weten hackers met verkeerde bedoelingen via welke omweggetjes zij wellicht kunnen inbreken, weet Schaatsbergen. Zelf heeft hij ook weleens een zo’n controle op veilig gebruik van de DigD gedaan, dus hij weet wel waar naar gekeken wordt.

“Dat gaat bijvoorbeeld om welke personen er toegang hebben tot het beheer van de DigiD-applicatie. Ook gaat het om of er regelmatig wordt gezocht naar zwaktes in de systemen.” Net als een auto hebben systemen regelmatig een apk nodig.

Wat als de GGD de veiligheid niet snel verbetert?

Logius geeft de GGD nog een kans: er is een nieuwe termijn gesteld waarbinnen de problemen opgelost moeten zijn. Zo niet, dan mag coronatest.nl geen gebruik meer maken van DigiD, zegt Schaatsbergen. De vraag is wel of dat gebeurt. “Hier ontstaat een duivels dilemma. Wat vind je belangrijker, de publieke gezondheid of de privacy van burgers?”

Wat heeft dit te maken met het datalek waarmee de GGD eerder kampte?

Een maand geleden bleek dat op het darkweb gehandeld werd in privégegevens uit de GGD-systemen. Hiervoor zijn medewerkers gearresteerd die gemakkelijk bij deze data konden. De GGD maakt gebruik van een oud systeem, HPzone, zegt Schaatsbergen, dat snel uitgebouwd moest worden voor het testen en bron- en contactonderzoek. “Als je zo snel moet reageren op een crisis, maak je snel fouten in de beveiliging.”

Lees ook:

Omvang schade door datalek GGD nog onbekend, minister De Jonge door het stof

Hoe groot de schade is van het datalek bij de GGD? Minister De Jonge van volksgezondheid had er geen antwoord op. Wel ging hij in de Tweede Kamer diep door het stof voor het verwaarlozen van de privacy van burgers.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden