Kun je de GGD op hun blauwe ogen geloven wanneer ze zeggen dat de privacybescherming en de informatiebeveiliging goed op orde is? In de uitzending van Nieuwsuur van 28 januari 2021 was ik hierover uiterst sceptisch. De GGD wil soms zaken namelijk mooier voordoen dan hoe ze in werkelijkheid zijn. Laat ik een voorbeeld geven. De website van de GGD Gelderland-Zuid geeft aan dat er een informatiebeveiligingsbeleid is. Dat beleid zou bovendien voldoen aan de NEN7510 norm. Dat wekt natuurlijk het nodige vertrouwen:
In werkelijkheid geeft het Algemeen Bestuur van deze GGD in haar eigen vergaderstukken uit oktober 2020 aan dat ze nog niet aantoonbaar kunnen voldoen aan de Nen7510 norm en dat er daarom eerst een Chief Information Security Officer (ciso) aangenomen moet gaan worden, zodat ze per januari 2022 gecertificeerd kunnen worden. Het bestuur denkt dat een halve FTE hiervoor voldoende is.
Dit is eigenlijk schokkend. Je mag verwachten van een dergelijke organisatie dat ze al lang iemand in dienst zouden hebben die verantwoordelijk is voor de informatiebeveiliging. Dat ze nu denken dat een halve fte voldoende is om binnen een jaar deze organisatie te kunnen laten voldoen aan NEN7510 is erg optimistisch. Maar gelukkig beseffen ze zich nu ineens wel (natuurlijk veel te laat) dat ook informatiebeveiliging en continue monitoring van de toegang tot medische dossiers tot de eigen taken behoren. De informatiemanager mag daarom een halve dag per week extra gaan werken:
Maar die halve dag erbij is denk ik niet voldoende, want informatiebeveiliging is niet het enige wat er daar mis is…. Blijkens diezelfde vergaderstukken uit oktober voldoet de GGD Gelderland-Zuid ook niet aan de verplichtingen van de Archiefwet, waarbij het zelfs gaat om grote aantallen tekortkomingen. Ter illustratie:
En het gaat nog verder. Zo geeft het verslag ook aan dat de 12 websites van deze GGD al enige tijd hadden moeten voldoen aan de vereisten vanuit het Tijdelijke besluit digitale toegankelijkheid overheid, maar dat ze daaraan nog niet eens zijn begonnen. Er was op dat moment zelfs nog geen plan van aanpak.
Hoe is het mogelijk dat er in zo’n organisatie zoveel wet en regelgeving nog niet (volledig of juist) geïmplementeerd is? En hoe is het mogelijk dat hierover ook geen enkele transparantie naar buiten toe is? Eerlijk is eerlijk, ik ben bij deze GGD regio toevallig tegen dit bestuursverslag aangelopen dus N=1, maar het geeft wel te denken. Is deze houding ook terug te zien in de andere GGD regio’s? En als ze pas nu een ciso inhuren, hebben ze dan wel een eigen fulltime Functionaris Gegevensbescherming? Of huren ze die bijvoorbeeld extern voor een dag in de maand in? Gewoon voor de vorm. Of delen ze er een met alle GGD regio’s zodat die FG eigenlijk tijd te kort zal komen? Voor een organisatie waarbij vertrouwen in de wijze waarop ze omgaan met medische gegevens cruciaal is zijn dit te veel openstaande vragen. En daarom geloof ik ze niet op hun blauwe ogen.