Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 12 februari 2021

Met deze brief informeer ik u over een aantal actuele onderwerpen in het kader van de digitale ondersteuning van de bestrijding van de pandemie. Ik zal in deze brief ingaan op de (I) stand van zaken «acties» die ik in mijn brief van 2 februari jl.1 met uw Kamer gedeeld heb. Ook wil ik een (II) reactie geven op de emailprocedure met het verzoek tot openbaarmaking van de risicoanalyse. Vervolgens zal ik kort ingaan op de (III) stand van zaken omtrent de koppeling van coronatest.nl en DigiD. Ten slotte zal ingegaan worden op een aantal (IV) moties en toezeggingen.

I. Stand van zaken acties

In mijn brief aan uw Kamer van 2 februari jl.2 heb ik een aantal acties geformuleerd. Met deze brief breng ik uw Kamer op de hoogte van de voortgang op deze acties aan de hand van de opsomming die ik in mijn vorige brief heb aangehouden.

Korte termijnacties

Onderzoek HPZone

Ik heb uw Kamer gemeld dat de systemen van de GGD’en door externe IT-deskundigen verder zouden worden doorgelicht. GGD GHOR Nederland meldt mij dat het onderzoek van externe IT deskundigen naar de kwaliteit van de software en de kwaliteit van de dienstverlening van de softwareleverancier van HPZone is afgerond en vandaag is besproken door GGD GHOR Nederland en de directeuren publieke gezondheid (DPG’en) van de GGD. GGD GHOR Nederland heeft mij vandaag op de hoogte gesteld over de inhoud van dit onderzoek.

De resultaten van dit onderzoek nopen GGD GHOR Nederland tot versnelde vervanging van HPZone (Lite). In het verleden is HPZone door de GGD’en afzonderlijk aangeschaft en geïmplementeerd. Afgelopen jaar is in het kader van de bestrijding van de pandemie daarnaast HPZone Lite geïntroduceerd en was er sprake van een sterke toename van het aantal gebruikers van deze systemen. De urgente behoefte aan vervanging midden in de huidige pandemie vraagt om landelijke aansturing. Temeer ook omdat er voor de bestrijding van de pandemie noodzakelijke verbindingen zijn tussen HPZone, CoronIT en de systemen van het RIVM. Ik heb GGD GHOR Nederland daarom gevraagd de vervanging van HPZone landelijk te coördineren en ik zal hierbij op verzoek van GGD GHOR Nederland als opdrachtgever optreden.

Voor de vervanging van HPZone zijn bij GGD GHOR Nederland meerdere alternatieven (en combinaties van alternatieven) in beeld. Eén daarvan is het systeem go.data dat onder verantwoordelijkheid van de WHO is ontwikkeld. De WHO geeft aan dat de broncode van deze toepassing niet openbaar is maar de toepassing wel beschikbaar is voor alle lidstaten. Een ander alternatief voor een deel van de functionaliteiten van HPZone is GGD Contact, waarover ik uw Kamer eerder3 heb geïnformeerd. Deze oplossing wordt op dit moment verder ontwikkeld door VWS samen met de GGD’en. Deze en overige alternatieven worden zo zorgvuldig en spoedig mogelijk nader onderzocht door de GGD’en en GGD GHOR Nederland. Een nieuwe voorziening zal bewijsbaar moeten voldoen aan alle standaarden en vereisten inzake privacy en veiligheid. Vanzelfsprekend dienen de noodzakelijke functionaliteiten voor COVID-19-bestrijding in die nieuwe voorziening aanwezig te zijn, zodat de regionale en landelijke surveillance zonder onderbreking en tijdig uitgevoerd wordt, waarmee zicht en inzicht op het virus en de bestrijding gewaarborgd blijft.

Export- en printfunctie

Mij is gemeld dat de print- en exportfunctie van HPZone (Lite) zijn uitgeschakeld bij alle GGD’en. In CoronIT is de printfunctie eveneens uitgeschakeld of slechts toegankelijk voor een selecte groep specialisten infectieziektebestrijding. Tijdens het debat van 3 februari kwam aan de orde dat er voor een aantal medewerkers in twee GGD-regio’s nog toegang was tot deze functies. Deze uitzonderingen zijn inmiddels opgelost.

Toegang en zoekmogelijkheden

De zoekmogelijkheden binnen CoronIT en binnen HPZone sterk zijn beperkt vanaf 4 februari jl. Medewerkers van de callcenters voor testen en vaccineren hebben alleen nog toegang tot gegeven van personen die getest/gevaccineerd zijn of moeten worden als zij beschikken over een aantal specifieke (systeemnummer, patiëntnummer of BSN) of combinaties van gegevens.

Logging en monitoring verdacht gedrag

De gespecialiseerde interne en externe teams zijn dagelijks bezig met het herkennen van verdachte patronen en het opvolgen van verdacht gedrag. Dit blijven zij doen tot en met de implementatie van automatische en continue monitoring eind maart.

VOG administratie

Zowel de GGD'en, GGD GHOR Nederland als de gecontracteerde partijen controleren de aanwezigheid van VOG's in de personeelsdossiers en laten deze zo nodig alsnog aanvragen. De volledige administratie zal medio maart op orde zijn.

Expertteam

De voorzitter van GGD GHOR Nederland heeft mij eerder4 gevraagd of ik expertise zou kunnen leveren om ondersteuning te bieden bij de uitwerking van de te nemen maatregelen uit het verbeterplan en de implementatie daarvan. Dat heb ik onmiddellijk toegezegd en geëffectueerd.

Deze week is een eerste team samengesteld dat bestaat uit experts van binnen en buiten de overheid op onder meer de terreinen privacy en informatiebeveiliging. Dit team staat onder leiding van een vrijgesteld en ervaren projectdirecteur bij mijn ministerie. De eerste activiteiten zijn samen met GGD GHOR Nederland gestart.

Strakker sturen – Verbeterplan DOTT

In mijn stand van zakenbrief van 17 november jl.5 meldde ik uw Kamer dat ik onder verantwoordelijkheid van de Landelijke Coördinatiestructuur Testcapaciteit (LCT) opdracht heb gegeven tot het oprichten van de Regiegroep Digitale Ondersteuning Test- en Traceerketen (DOTT). In mijn stand van zakenbrief van 24 december jl.6 heb ik uw Kamer gemeld dat de Regiegroep DOTT in opdracht van VWS, GGD GHOR Nederland en RIVM een risicoanalyse heeft opgeleverd. Op basis van deze risicoanalyse is er in de Regiegroep met alle betrokken ketenpartners een verbeterplan opgesteld met daarin maatregelen om de eerder gesignaleerde risico’s en kwetsbaarheden in de ketenbrede digitale ondersteuning en infrastructuur binnen de gehele test en traceerketen te mitigeren. Dit verbeterplan is op 11 februari jl. in concept vastgesteld door de LCT.

Het verbeterplan DOTT fase 1 «de basis op orde» bestaat uit deelplannen die elk belegd zijn bij de ketenpartners. Elke ketenpartij is penvoerder voor haar acties en projecten. In de Regiegroep vindt coördinatie, ondersteuning en sturing plaats ten behoeve van de rapportages. Het verbeterplan DOTT fase 1 gaat in op de acties met een korte horizon van zes weken (tot de audit) en drie maanden. Het streven is om eind maart fase 2 op te leveren die zal bestaan uit acties met een horizon van zes maanden of langer. Deze acties zullen meer innovatief en duurzaam van aard zijn. Daarvoor is het nodig dat eerst de basis op orde is.

Er zijn in totaal 28 deelplannen geïdentificeerd. GGD’en staan aan de lat voor de helft van deze deelplannen. Overige deelplannen zijn verdeeld over RIVM, VWS, Dienst Testen en DOTT als ketenoverstijgende partij. Om deze deelplannen uit te voeren is veel specifieke capaciteit en projectmanagement nodig. GGD’en worden zoals gezegd ondersteund door een expertteam geleid door een ervaren projectdirecteur vanuit mijn ministerie.

De komende dagen wordt de laatste hand gelegd aan het verbeterplan DOTT fase 1 «de basis op orde». Ik zal uw Kamer daar na oplevering over informeren. Ook kan ik uw Kamer melden dat de LCT de Regiegroep DOTT heeft verzocht een zogeheten «Gateway Review» uit te voeren, waartoe is besloten.

II. Openbaarmaking risicoanalyse

Uw Kamer heeft middels een emailprocedure verzocht om openbaarmaking van de risicoanalyse, die reeds op 9 februari jl. vertrouwelijk ter inzage aan uw Kamer is aangeboden. Naar aanleiding van uw verzoek heb ik het NCSC om hun advies gevraagd.

Daarbij geven ze aan dat de informatie in de risicoanalyse dieper inzicht geeft in de beveiligingsarchitectuur van de testketen en dat dit kwaadwillenden kan helpen om aanknopingspunten voor aanvallen te vinden. Het NCSC meldt mij dat er risico’s zijn verbonden aan het openbaar maken van deze informatie en dat het vertrouwelijk houden van de analyse vanuit technisch oogpunt het meest wenselijk is.

Ook het onder mijn verantwoordelijkheid gestarte Red team adviseert mij om niet tot openbaarmaking over te gaan. Deze risicoanalyse bevat volgens hen informatie die waardevol kan zijn bij het voorbereiden van een aanval op de systemen en processen van de gehele test- en traceerketen. De analyse bevat overzichten en beschrijvingen van informatiestromen en benoemt daarnaast ook de zwakke plekken in de systemen. Zo kan de risicoanalyse als handleiding voor kwaadwillende dienen en hen in staat stellen om een gerichte aanval te plaatsen op deze zwakke plekken.

Alle risico’s afwegend is mijn oordeel dat openbaarmaking te veel risico’s kent. Ik zal daarom de risicoanalyse niet openbaar maken. Zoals eerder aan uw Kamer toegezegd zal ik bij het opleveren van de audit bezien of het mogelijk is om deze analyse of delen daarvan te openbaren. Mijn inzet daarbij is zo transparant mogelijk te zijn.

III. Koppeling coronatest.nl met DigiD

Over de koppeling van coronatest.nl met DigiD heb ik uw Kamer op 9 februari jl.7 geïnformeerd. Sindsdien is er nog meer berichtgeving naar buiten gekomen. Deze aansluiting is aangevraagd en gerealiseerd onder verantwoordelijkheid van GGD GHOR Nederland. De toezichthouder (Logius) meldt, onder meer op de eigen website, dat nieuwe aansluitingen een ICT-beveiligingsassessment ondergaan, waarna dit jaarlijks moet worden herhaald. Logius meldt daarbij dat met GGD GHOR Nederland het reguliere proces doorlopen wordt en dat op dit moment geen sprake is van een onveilige situatie. De toezichthouder meldt tot slot dat het doorlopen van dit proces een zaak is tussen Logius als toezichthouder en GGD GHOR Nederland.

GGD GHOR Nederland meldt mij dat zij donderdag 11 februari 2021 een brief hebben ontvangen van Logius waarin de toezichthouder aangeeft dat er een aantal bevindingen zijn opgelost. Openstaande normen uit het assessment moeten nog worden opgelost. Deze openstaande normen zijn door de toezichthouder voorzien van een opleverdatum. De toezichthouder heeft mij echter verzekerd dat dit gaat om een regulier toezichtproces. De openstaande normen hebben niets te maken met datadiefstal of het vrijelijk beschikbaar zijn van persoonsgegevens.

IV. Moties en toezeggingen

Op 3 februari jl. heeft uw Kamer onder andere moties van het lid Azarkan8, lid Agema9 en leden Van den Berg c.s.10 aangenomen. Tevens heb ik tijdens het debat van 3 februari jl. toegezegd dat ik in zou gaan op NEN-normen (Handelingen II 2020/21, nr. 52, Debat over een privacy lek in de systemen van de GGD).

Motie lid Azarkan

De motie van lid Azarkan verzoekt de regering te bewerkstelligen dat aan mensen vooraf toestemming wordt gevraagd of hun lichaamsmaterialen na een coronatest gebruikt mogen worden voor onderzoek en gedeeld mogen worden met derden. Wegens juridische en uitvoeringstechnische vraagstukken wil ik voldoende tijd nemen om uw moties van reactie te voorzien. Ik streef ernaar dit bij de volgende voortgangsbrief aan uw Kamer te doen toekomen.

Motie lid Agema

De motie van lid Agema verzoekt de regering te bewerkstelligen dat persoonlijke gegevens in de coronasystemen bij de GGD op verzoek snel verwijderd kunnen worden. GGD GHOR Nederland geeft aan dat zij in reactie op uw motie informatie over het verwijderen van persoonsgegevens beschikbaar heeft gesteld. Deze informatie is te vinden op https://ggdghor.nl/actueel-bericht/informatie-over-verwijderen-persoonsgegevens-bij-de-ggden/. Ik beschouw deze motie hiermee als afgedaan.

Motie Van den Berg c.s.

De motie Van den Berg verzoekt de regering te bevorderen dat zo spoedig mogelijk bij de GGD GHOR Nederland een chief information officer (CIO) aangesteld wordt. GGD GHOR Nederland heeft mij medegedeeld dat de procedure om een chief information officer aan te stellen, opgestart is. Vanuit het eerder genoemde expertteam wordt GGD GHOR Nederland ondersteund bij het kwartier maken hiervoor.

Toezegging NEN-normen

Tijdens het debat over een privacylek in de systemen van de GGD van 3 februari 2021 heb ik toegezegd schriftelijk terug te komen op de vragen van lid van Esch over NEN-normen. Middels dit schrijven voldoe ik aan deze toezegging.

De norm NEN 7510 en aanvullende normen stellen eisen aan informatiebeveiliging in de zorg. Deze normen geven richtlijnen en uitgangspunten voor maatregelen waarmee de beschikbaarheid, integriteit en vertrouwelijkheid persoonlijke gezondheidsinformatie kunnen worden beschermd. De normen worden opgesteld door onafhankelijke normcommissies. Dit wordt gefaciliteerd door NEN. NEN heeft onderdelen van de norm NEN 7510 nader uitgewerkt in NEN 7512. NEN 7512 gaat over de beveiliging van gegevensuitwisseling (elektronische communicatie) tussen partijen. In het geval van de diefstal van data bij de GGD waar RTL Nieuws over berichtte, ging het niet over gegevensuitwisseling maar over toegang tot gegevens. NEN 7512 is in dat geval niet van toepassing.

NEN evalueert normen iedere 5 jaar – of eerder als de stichting daar aanleiding toe ziet. NEN 7510 is gepubliceerd op 1 december 2017, een herziene versie verscheen op 1 februari 2020 (dit betrof alleen redactionele wijzigingen). NEN 7512 is gepubliceerd op 1 januari 2015 en wordt momenteel herzien. NEN verwacht de herziene norm in 2021 te publiceren. Om vast te stellen of aan de norm is voldaan, kan de zorgaanbieder zelf een beoordeling doen of dat extern laten toetsen. Belanghebbenden kunnen vragen om vervroegd te evalueren. Uit zo’n evaluatie kan volgen dat herziening wenselijk is als daar inhoudelijke gronden voor zijn. Het is aan de NEN en stakeholders om vanuit hun onafhankelijke rol te beslissen of evaluatie en eventuele herziening geboden zijn.

De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge