Search
Close this search box.
Search

De Jonge maakt risicoanalyse IT-systemen GGD niet openbaar

Minister Hugo de Jonge wil een risicoanalyse van kwetsbaarheden in IT-systemen voor testen en traceren niet openbaar maken. Dit ondanks verzoeken hiertoe vanuit de Tweede Kamer. Het NCSC (Nationaal Cyber Security Centrum) acht de gevaren te groot, zo schrijft De Jonge in een Kamerbrief. Uit de Kamerbrief bleek eerder al dat de GGD GHOR versneld en landelijk overgaat tot vervanging van het gewraakte IT-systeem HPZOne.

De NCSC stelt dat de informatie in de risicoanalyse dieper inzicht geeft in de beveiligingsarchitectuur van de testketen en dat dit kwaadwillenden kan helpen om aanknopingspunten voor aanvallen te vinden. Het NCSC meldt dat er risico’s zijn verbonden aan het openbaar maken van deze informatie en dat vertrouwelijk houden van de analyse vanuit technisch oogpunt het meest wenselijk.

‘Ook het onder mijn verantwoordelijkheid gestarte Red team adviseert mij om niet tot openbaarmaking over te gaan. Deze risicoanalyse bevat volgens hen informatie die waardevol kan zijn bij het voorbereiden van een aanval op de systemen en processen van de gehele test- en traceerketen. De analyse bevat overzichten en beschrijvingen van informatiestromen en benoemt daarnaast de zwakke plekken in de systemen. Zo kan de risicoanalyse als handleiding voor kwaadwillende dienen en hen in staat stellen om een gerichte aanval te plaatsen op deze zwakke plekken. Alle risico’s afwegend is mijn oordeel dat openbaarmaking te veel risico’s kent.’

Risicoanalyse IT-systemen

Vorig jaar is onder verantwoordelijkheid van de Landelijke Coördinatiestructuur Testcapaciteit (LCT) opdracht gegeven tot het oprichten van de Regiegroep Digitale Ondersteuning Test- en Traceerketen (DOTT). De Regiegroep DOTT heeft afgelopen december in opdracht van VWS, GGD GHOR Nederland en RIVM een risicoanalyse opgeleverd. Op basis hiervan heeft de Regiegroep met alle betrokken ketenpartners een verbeterplan opgesteld met maatregelen om eerder gesignaleerde risico’s en kwetsbaarheden in de ketenbrede digitale ondersteuning en infrastructuur binnen de gehele test en traceerketen aan te pakken.

Het LCT heeft dit verbeterplan op 11 februari in concept vastgesteld. Het verbeterplan DOTT fase 1 ‘de basis op orde’ bestaat uit deelplannen die elk belegd zijn bij de ketenpartners. Elke ketenpartij is penvoerder voor haar acties en projecten. De regiegroep zorgt voor coördinatie, ondersteuning en sturing voor de rapportages.

Twee fases aanpak kwetsbaarheden

Het verbeterplan DOTT fase 1 gaat in op de acties met een korte horizon van zes weken (tot de audit) en drie maanden. Het streven is om eind maart fase 2 op te leveren die zal bestaan uit acties met een horizon van zes maanden of langer. Deze acties zullen meer innovatief en duurzaam van aard zijn. Daarvoor is het nodig dat eerst de basis op orde is.

Er zijn in totaal 28 deelplannen. GGD’en staan ‘aan de lat’ voor de helft van deze deelplannen. Overige deelplannen zijn verdeeld over RIVM, VWS, Dienst Testen en DOTT als ketenoverstijgende partij. Om deze deelplannen uit te voeren is veel specifieke capaciteit en projectmanagement nodig. De komende dagen wordt ook de laatste hand gelegd aan het verbeterplan DOTT fase 1 ‘de basis op orde’. De LCT heeft de Regiegroep DOTT verzocht een zogeheten ‘Gateway Review’ uit te voeren, waartoe is besloten.

Geen datadiefstal bij Coronatest.nl

Tot slot schrijft De Jonge over de koppeling van coronatest.nl met DigiD dat toezichthouder (Logius) meldt dat nieuwe aansluitingen een ICT-beveiligingsassessment ondergaan, waarna dit jaarlijks moet worden herhaald. Logius meldt daarbij dat met GGD GHOR Nederland het reguliere proces doorlopen wordt en dat op dit moment geen sprake is van een onveilige situatie. De toezichthouder geeft verder aan dat het doorlopen van dit proces een zaak is tussen Logius als toezichthouder en GGD GHOR Nederland. Er is in ieder geval geen sprake van mogelijke datadiefstal of het vrijelijk beschikbaar zijn van persoonsgegevens.

De NOS bracht 9 februari naar buiten dat de beveiliging van coronatest.nl, de overheidswebsite voor testafspraken en uitslagen, tekort schiet. Daardoor zijn de gegevens van miljoenen mensen die zich bij de GGD laten testen op het coronavirus onvoldoende beveiligd. Volgens de GGD was er sprake van achterlopen op het voldoen aan zes normen om DigiD te mogen gebruiken als inlogmiddel. Bij twee normen was er niet binnen de gestelde termijn afdoende actie ondernomen. Er zijn inmiddels afspraken voor een nieuwe deadline.

Martijn Kregting

ICT&health World Conference 2024

Ervaar de toekomst van de gezondheidszorg tijdens de ICT&health World Conference van 14-16 mei 2024! Claim alvast jouw ticket en dompel je onder in baanbrekende technologieën en innovatieve oplossingen. Ga in gesprek met collega-experts en verken de kracht van wereldwijde samenwerkingen.

Deel dit artikel!

Lees ook
Hersenatlas
Zwaartekracht-subsidie voor hersenatlas en het lot van eiwitten
Aneurysma
Nieuwe betrouwbare methode om aneurysma’s te volgen
leerling-verpleegkundigen
Albert Schweitzer succesvol met behoud leerling-verpleegkundigen
Databeschikbaarheid
Betere zorg dankzij goede databeschikbaarheid
Woonomgeving
Empathische woonomgeving past zich aan bij wensen bewoners
Gegevens delen
Derde pilot proactief gegevens delen
Digitalisering expertisecentrum
Expertisecentrum bundelt kennis digitalisering en welzijn
wiel
Wiel zelf uitvinden hoeft niet, maar ontwikkel er wel op door
breuk
Virtual Fracture App slaat aan in Albert Schweitzer
monitor
E-healthmonitor signaleert stagnerende inzet digitale zorg
Volg jij ons al?