GGD's controleren slechts steekproefsgewijs wie gegevens in hun coronasystemen inziet. Daardoor kon grootschalige diefstal van gevoelige data onopgemerkt blijven, zegt minister Hugo de Jonge in een Kamerdebat. 8000 werknemers hadden toegang tot de gegevens.
De minister reageerde dinsdagmiddag in een Tweede Kamer-debat op onderzoek van RTL Nieuws. Dat schreef op maandag dat er grootschalige handel plaatsvond in persoonsgegevens die afkomstig waren uit twee veelgebruikte ict-systemen van de GGD bij het afnemen van coronatests. De systemen zijn sinds de zomer actief. Daarop wordt 'continu' gemonitord, zei de Jonge, maar dat klopt niet. In de praktijk worden er alleen steekproefsgewijs controles uitgevoerd of medewerkers onterecht bij gegevens komen en er is nog geen actueel logsysteem dat continu bijhoudt welke gegevens door wie worden opgevraagd. Dat systeem is pas eind maart klaar.
Ook zegt de minister ten onrechte dat werknemers alleen toegang hadden wanneer dat nodig was. In totaal hadden 8000 medewerkers die toegang. Het gaat om medewerkers van bijvoorbeeld callcenters die hielpen met het bron- en contactonderzoek. De vraag is of GGD's wel alles hebben gedaan dat 'redelijkerwijs kan worden verwacht' om de handel van gegevens uit coronadatabases te stoppen. Volgens de minister heeft de GGD de omvang van het datalek nog niet helemaal helder. Wel is inmiddels duidelijk dat er onder andere een export-knop in de systemen zat waarmee het mogelijk was gegevens te downloaden. De GGD zegt zelf dat het verschillende manieren heeft om misbruik te detecteren. Medewerkers moeten een Verklaring Omtrent Gedrag overleggen en een geheimhoudingsverklaring tekenen.