2100 medewerkers van een door de GGD ingehuurd bedrijf dat de coronatestlijn bemant, kunnen testuitslagen zien en in de persoonlijke gegevens kijken van iedereen die een coronatest laat uitvoeren. Dat blijkt uit onderzoek van Nieuwsuur. Dat is in strijd met de Algemene verordening gegevensbescherming (AVG).
Nieuwsuur baseert zich op een rondgang onder (oud-)medewerkers van de coronatestlijn. Hoewel de taken van deze medewerkers bestaan uit het inplannen van afspraken en het doorbellen van negatieve testuitslagen, blijkt dat medewerkers niet alleen toegang hebben tot alle testafspraken en testuitslagen, maar ook tot medische aantekeningen en telefoonnummers, ook van mensen die ze helemaal niet hoeven te bellen.
Testuitslagen van vrienden of collega's opzoeken
Medewerkers die toegang hebben tot het IT-systeem CoronIT kunnen zoeken met behulp van gegevens als je geboortedatum, je achternaam, je straatnaam en je burgerservicenummer. Daarmee kunnen ze bijvoorbeeld uitzoeken of er bekenden zijn die een test hebben ondergaan en wat daarvan de uitslag is. Dat betreft niet alleen familie en vrienden, maar bijvoorbeeld ook collega's of bekende Nederlanders.
Ook delen sommige medewerkers testuitslagen en 06-nummers van mensen die een afspraak hebben gemaakt in WhatsAppgroepen waarin collega's om hulp of advies wordt gevraagd.
Experts: 'Niet toegestaan volgens de privacywet'
De 2100 medewerkers van het door de GGD ingehuurde bedrijf Teleperformance, dat de coronatestlijn bemant, horen volgens meerdere privacydeskundigen niet te kunnen zoeken in gegevens die ze niet nodig hebben voor hun werk. Dat het momenteel wel mogelijk is, is dan ook een probleem.
Nieuwsuur sprak Sarah Eskens, jurist aan de Universiteit van Amsterdam. Eskens zegt hierover het volgende: 'Volgens de privacywet AVG moet je zorgen dat alleen mensen die het nodig hebben bij de gegevens kunnen. Een medewerker mag alleen de gegevens zien die nodig zijn voor de taak van die dag.'
Medewerkers: 'Weinig tot geen training over privacy gekregen'
Op voorwaarde van anonimiteit waren meerdere medewerkers bereid om te vertellen dat ze weinig tot geen training op het gebied van privacy hebben gekregen, al moesten ze wel een geheimhoudingsverklaring tekenen. Eén oud-medewerker zegt tegen Nieuwsuur dat de meeste mensen weliswaar niet bewust de AVG willen overtreden, maar dat dat wel gebeurt.
Over het algemeen stellen (oud-)medewerkers dat ze zelf voorzichtig omgaan met privacygevoelige informatie, maar dat dat niet geldt voor al hun collega's.
Testuitslagen van kennissen opzoeken en delen
Het kan voorkomen dat mensen die vinden dat ze te lang op hun uitslag moeten wachten zelf maar met de coronatestlijn bellen. Het beleid is dat medewerkers moeten zeggen dat ze geen inzage hebben in deze gegevens, ook al blijkt uit het onderzoek dat men wel degelijk dergelijke informatie kan raadplegen.
Nieuwsuur sprak een aantal mensen die het op deze manier is gelukt om tóch een testresultaat te vernemen, ook al is dat in strijd met het beleid. De GGD bevestigt desgevraagd dat dat inderdaad is voorgekomen. Ook hebben medewerkers van de testlijn uitslagen gedeeld met kennissen die benieuwd waren naar de uitslag van hun test, en dat is wettelijk niet toegestaan.
Als blijkt dat de regels worden overtreden, worden er maatregelen genomen. Woordvoerder GGD
De GGD geeft aan dat medewerkers uitvoerig worden gewezen op alle privacyverplichtingen en laat verder weten dat medewerkers die zonder reden in een dossier kunnen kijken, worden opgespoord.
Geen GGD-medewerker, maar een uitzendkracht
Extra verwarrend is dat mensen die met de coronatestlijn bellen in de veronderstelling verkeren dat ze met een GGD'er te maken hebben. Dit is echter niet het geval: het zijn uitzendkrachten die via de uitzendbureaus YoungCapital en Olympia bij het bedrijf Teleperformance zijn geplaatst.
Reactie Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens laat weten op dit moment geen onderzoek in te stellen. Een woordvoerder verwoordt het al volgt:
'De wet bepaalt dat de coronatestlijn er zelf voor verantwoordelijk is dat dit in orde is. Medewerkers mogen niet meer persoonsgegevens verwerken dan in die situatie nodig is. Dat kan bijvoorbeeld door het afschermen van informatie voor bepaalde medewerkers.'
'Onzorgvuldigheid ondermijnt het vertrouwen in de corona-aanpak'
Meerdere politieke partijen maken zich zorgen over deze ontwikkeling en zien het als schadelijk om het vertrouwen van de burger in de maatregelen met betrekking tot het coronavirus in stand te houden. Kamerlid Corine Ellemeet van GroenLinks: 'Dit is opnieuw een onderdeel van falend testbeleid. Het is zeer zorgelijk dat het ministerie het testbeleid niet op orde krijgt.'
Volgens Kees Verhoeven (D66) is er sprake van onzorgvuldigheid en is het van groot belang dat deze manier van omgaan met persoonsgegevens snel moet worden rechtgezet. Verhoeven: 'Er gaat nogal veel mis op het gebied van gegevensbescherming in coronadossiers. Het testbeleid valt of staat met vertrouwen van mensen.'
Bron: Nieuwsuur