Alle testlijnmedewerkers die afspraken voor coronatesten moeten inplannen kunnen bij persoonsgegevens van andere dan hun eigen bellers. Dat blijkt uit een rondgang van Nieuwsuur.
Het actualiteitenprogramma sprak (ex-)medewerkers die allemaal het zelfde zeggen. Dit betekent dat honderden medewerkers persoonsgegevens van bellers kunnen inzien terwijl ze daar niet bij zouden mogen.
Vanuit huis
De testlijnmedewerkers werken bijna allemaal vanuit huis. Ze plannen afspraken in en bellen terug als de uitslag negatief is. Bij een positieve uitslag, wat betekent dat de patiënt corona heeft, bellen medewerkers van de GGD zelf.
De (ex)medewerkers zeggen dat het via het IT-systeem CoronIT heel makkelijk is voor medewerkers om van alle bellers gegevens in te zien als geboortedatum, achternaam, straatnaam, postcode en BSN-nummer. Via dat systeem kunnen alle medewerkers die in dit systeem werken van de bellers ook de afspraken voor een test inzien, de uitslagen ervan, en ook medische aantekeningen en telefoonnummers. Dit is dus ook te zien voor medewerkers die op dat moment geen dienst hebben.
Omdat ze bij zoveel gegevens kunnen zijn bijvoorbeeld ook testgegevens van bekende Nederlanders in te zien, maar ook die van een collega of buurman. Soms worden 06-nummers en testuitslagen gedeeld in WhatsApp-groepen van collega’s. Die zijn opgezet omdat volgens de bronnen van Nieuwsuur de werking van het systeem niet altijd helder is en een oplossing en hulp niet voorhanden. Via WhatsApp-groepen hopen de collega’s onderling alsnog oplossingen te vinden. Probleem is alleen dat het volgens de privacywet niet mag.
Via Teleperformance, een van de callcenters die de GGD inhuurde om de klus te klaren, zijn de nu 2100 medewerkers razendsnel getraind en aan het werk gegaan. Alle bronnen die aan het Nieuwsuur-onderzoek meewekten maken melding van gebrekkige training. Medewerkers moeten wel een geheimhoudingsverklaring ondertekenen, hoewel ze dus wel bij de gegevens kunnen.
De Autoriteit Persoonsgegevens is intussen op de hoogte maar gaat nog geen onderzoek doen.
Lees ook:
- Whitepaper: Pak de regie over cybersecurity
- Data Pro Code als eerste AVG-gedragscode goedgekeurd door AP
