De NOS bracht 9 februari naar buiten dat de beveiliging van coronatest.nl, de overheidswebsite voor testafspraken en uitslagen, tekort schiet. Daardoor zijn de gegevens van miljoenen mensen die zich bij de GGD laten testen op het coronavirus onvoldoende beveiligd. Dat zou blijken uit vertrouwelijke stukken die de NOS heeft ingezien. De exacte aard van de problematiek was nog onbekend, maar is zo ernstig dat het ministerie van Binnenlandse Zaken de website dreigt af te sluiten van DigiD. Als dat gebeurt is het maken van een afspraak of inzien van de uitslag via internet niet meer mogelijk: alleen via DigiD kunnen gebruikers op de website inloggen.
Vertraging voldoen aan DigiD-normen
'Het klopt dat we op dit moment nog niet aan alle normeringseisen van DigiD op de website coronatest.nl voldoen', schrijft de GGD. 'Met DigiD kan worden ingelogd om een testafspraak te maken bij een GGD. Er is voor een tweetal normen ongeveer drie weken vertraging opgelopen, waardoor we op dit moment dus nog niet voldoen aan alle eisen. Voor de overige vier normen lopen we op schema en verwachten we een tijdige oplevering. We hebben hier de toetsende instantie van op de hoogte gebracht. Deze achterstand heeft geen consequenties voor de toegankelijkheid van de website coronatest.nl.'
Om een testafspraak te maken bij de GGD’en of om een testuitslag in te zien kunnen burgers inloggen met DigiD op coronatest.nl. Iedere organisatie die gebruik maakt van DigiD dient te voldoen aan een aantal beveiligingseisen. Toezichthouder Logius stelt de voorwaarde dat er reguliere beveiligingsaudits worden uitgevoerd ten aanzien van het voldoen aan deze eisen. GGD GHOR Nederland meldde minister Hugo de Jonge recent dat zij door de toezichthouder zijn geïnformeerd dat zij op zes punten niet voldoet aan de eisen van het DigiD assessment. Op deze 6 punten onderneemt GGD GHOR Nederland actie of is al actie ondernomen, zo schrijft de bewindsman aan de Tweede Kamer.
Op twee punten is de gestelde termijn dus niet behaald. GGD GHOR Nederland heeft de toezichthouder over het niet behalen van de termijn geïnformeerd. Momenteel voldoet de organisatie dus niet volledig aan de normen. GGD GHOR Nederland heeft met de toezichthouder over deze twee normen afstemming gezocht over de termijn waarop de organisatie alsnog volledig aan de eisen zal voldoen, aldus de Kamerbrief. Logius doorloopt hiermee volgens De Jonge een regulier proces waarbij termijnen gesteld zijn waarbinnen GGD GHOR Nederland alsnog kan aantonen dat ze voldoen aan de eisen. De auditverklaring over het voldoen aan de norm zal daartoe worden afgewacht.
Coronatest.nl veilig volgens GGD
Volgens de GGD is het systeem van DigiD in combinatie met de afsprakenwebsite veilig te gebruiken.'Er zijn dan ook geen aanwijzingen dat er misbruik gemaakt is', aldus de organisatie. 'De twee vertraagde normen hebben betrekking op het controleerbaar aantoonbaar maken van de veiligheid van het systeem. Volgens planning zullen we begin maart voldoen aan de twee openstaande punten.'
Logius benadrukt ook dat er geen sprake is van een onveilige situatie. Volgens de toezichthouder heeft de GGD aangegeven er alles aan te doen om binnen de gestelde termijnen te voldoen aan de normen. 'Gezien de eerdere ontwikkelingen bij GGD GHOR Nederland hecht ik eraan uw Kamer hierover te informeren', schrijft de bewindsman tot besluit.
Verscherpt toezicht AP
De Autoriteit Persoonsgegevens (AP) heeft de GGD eind januari onder ‘verscherpt toezicht’ gesteld wegens een grootschalige diefstal van persoonsgegevens uit twee informatiesystemen van de GGD. Uit onderzoek van RTL Nieuws bleek dat een kwetsbaarheid in beide systemen is misbruikt door medewerkers die persoonsgegevens hebben verkocht. Het downloaden van deze gegevens is al sinds april 2020 mogelijk.
