GGD GHOR Nederland gaat over tot versnelde vervanging van HPZone (Lite). Dat schrijft minister Hugo de Jonge in een Kamerbrief van vrijdag 12 februari. Hij reageert op de ontwikkelingen rondom de diefstal van persoonsgegevens uit informatiesystemen van de GGD. Uit onderzoek van RTL Nieuws bleek in januari dat een kwetsbaarheid is misbruikt door medewerkers die persoonsgegevens hebben verkocht. Het downloaden ervan was al sinds april 2020 mogelijk. Privacy-toezichthouder AP heeft de GGD onder verscherpt toezicht gesteld.
GGD-GHOR, waar alle 23 regionale GGD’s onder vallen, stelde eind januari al dat het wilde stoppen met HPZone, een van de twee omstreden IT-systemen waar ernstige kwetsbaarheden in zaten. HPZone is een elektronisch dossier dat de GGD’en gebruiken om het bron- en contactonderzoek uit te voeren. Als iemand een positieve testuitslag heeft en deze gemeld wordt bij de GGD, dan wordt een dossier van deze persoon in HPZone aangemaakt.
Het andere systeem, CoronIT, is het administratiesysteem voor het test- en vaccinatieproces en de communicatie hierover. Van wie een afspraak maakt voor een coronatest via het callcenter, de coronatest website of een arts, komen persoonsgegevens terecht in CoronIT. Dat geldt ook voor een afspraak voor een vaccinatie.
Landelijke aansturing vervangen HPZone
In het verleden hebben de GGD’en HPZone afzonderlijk aangeschaft en geïmplementeerd. Afgelopen jaar is in het kader van de bestrijding van de pandemie daarnaast HPZone Lite geïntroduceerd en was er een sterke toename van het aantal gebruikers van deze systemen.
De urgente behoefte aan vervanging midden in de huidige pandemie vraagt om landelijke aansturing, schrijft De Jonge nu in de Kamerbrief. Temeer omdat er voor de bestrijding van de pandemie noodzakelijke verbindingen zijn tussen HPZone, CoronIT en de systemen van het RIVM. 'Ik heb GGD GHOR Nederland daarom gevraagd de vervanging van HPZone landelijk te coördineren en ik zal hierbij op verzoek van GGD GHOR Nederland als opdrachtgever optreden.'
Alternatieve IT-systemen
Er zijn diverse alternatieven voor HPZone, waaronder het go.data-systeem van de WHO, de gezondheidsorganisatie van de VN. Een alternatief voor een deel van de functionaliteiten van HPZone is GGD Contact. VWS en de GGD'en zijn deze oplossing nog aan het doorontwikkelen. 'Een nieuwe voorziening zal bewijsbaar moeten voldoen aan alle standaarden en vereisten inzake privacy en veiligheid. Vanzelfsprekend dienen de noodzakelijke functionaliteiten voor COVID-19-bestrijding in die nieuwe voorziening aanwezig te zijn, zodat de regionale en landelijke surveillance zonder onderbreking en tijdig uitgevoerd wordt, waarmee zicht en inzicht op het virus en de bestrijding gewaarborgd blijft.'
De Jonge laat verder weten dat de print- en exportfuncties voor persoonsgegevens in HPZone en CoronIT uitgeschakeld of sterk beperkt zijn. Datzelfde geldt voor de zoekopties binnen beide systemen. Medewerkers van de callcenters voor testen en vaccineren hebben alleen nog toegang tot gegeven van personen die getest/gevaccineerd zijn of moeten worden als zij beschikken over een aantal specifieke (systeemnummer, patiëntnummer of BSN) of combinaties van gegevens. tot en met de implementatie van automatische en continue monitoring eind maart zijn gespecialiseerde interne en externe teams dagelijks bezig met het herkennen van verdachte patronen en het opvolgen van verdacht gedrag.
