Verslag vergadering Commissie voor Welzijn, Volksgezondheid, Gezin en Armoedebestrijding
Verslag
– Wegens de coronamaatregelen werd deze vraag om uitleg via videoconferentie behandeld.
De heer Vaneeckhout heeft het woord.
Minister, in Nederland is vorige week commotie ontstaan nu blijkt dat er de jongste weken regelmatig identiteits- en zelfs medische gegevens te koop worden aangeboden op het internet. Persoonsgegevens zijn uiteraard – dat is niet nieuw – al langer een gegeerd goed waarop langs alle mogelijke manieren wordt gevist. Je passeert bijvoorbeeld tegenwoordig al moeilijk aan de kassa van de supermarkt zonder heel veel data over je koopgedrag achter te laten. Maar daar kies je op dat moment natuurlijk zelf voor, al dan niet verleid door bonuspunten en klantenkaarten.
Maar medische gegevens zijn toch nog niets anders, daar moeten we veel omzichtiger mee omspringen. We moeten er toch 100 procent zeker van kunnen zijn dat de informatie die we delen met onze huisarts of het ziekenhuis in veilige handen is. Maar daarover zijn er via het medisch geheim voldoende zekerheden ingebouwd.
Rond de jaarwisseling zagen we al een aantal grootschalige pogingen tot hacking bij medische labo's. Het is op dit moment onduidelijk of en hoeveel medische gegevens daarbij werden buitgemaakt. Dat maakt allicht deel uit van een gerechtelijk onderzoek. Het geval in Nederland heeft allicht minder te maken met internationaal georganiseerde computercrime, en meer met enkele malafide medewerkers van callcenters die plots toegang kregen tot een enorme databank vol gevoelige informatie en hierin een verdienmodel zagen.
Waar het onder normale omstandigheden vaak enkel de professionele medische wereld is die toegang heeft tot die medische data, zagen en zien we ten gevolge van de coronacrisis een grootschalige uitbreiding met gelegenheidspersoneel bij testcentra, contacttracing en binnenkort ook de vaccinatiecentra, om in de capaciteit die we nodig hebben, te kunnen voorzien.
Bij de contactopsporing merken we bovendien een spanningsveld of een zoektocht tussen een centrale, softwarematige aanpak en een lokale uitrol of mede-uitrol daarvan. Vanuit verschillende kanten werken medewerkers in één systeem. Dat vraagt een grote voorzichtigheid en een zeer duidelijk regelgevend kader over de omgang hiermee. Het vraagt ook duidelijke rollen op het gebied van informatietechnologie en duidelijkheid over welke rechten bepaalde types van medewerkers krijgen in het systeem.
Ook bij de vaccinatiewerkzaamheden stellen zich dezelfde vragen. Het overgrote deel van de mensen die zich in deze tijd als vrijwilliger aanmelden en ook de medewerkers van de evenementenbedrijven die worden ingeschakeld om de vaccinatiecampagne logistiek rond te krijgen, hebben ongetwijfeld de beste bedoelingen. Maar toch is het belangrijk om mogelijk rotte appelen uit de mand te houden. Wanneer we onze vaccinatiestrategie succesvol willen afronden, moeten we proberen elke knauw in het vertrouwen van de burgers in onze overheid en onze systemen, te vermijden.
Het is daarom heel belangrijk om heel duidelijk af te bakenen wie tot welke informatie toegang kan hebben en dat er een duidelijk kader komt rond geheimhoudingsplicht. Ik ga er dus niet van uit dat elke logistieke medewerker zomaar inzicht zal krijgen in hele medische dossiers, maar zelfs als eenvoudige portier krijg je toch zicht op wie zich bijvoorbeeld in een centrum aandient als behorende tot een risicogroep. Dat lijstje van wie er zoal passeerde, hoeft geen gespreksonderwerp te worden aan de toog. Laat staan, minister, dat het commercieel te koop wordt aangeboden of dat simpele adresgegevens, mailadressen of geboortedata worden gedeeld op plaatsen die daar niet voor bestemd zijn.
Het is enigszins vergelijkbaar met de rol die voorzitters en bijzitters van een stembureau hebben, met dien verstande dat je daar alle stemgerechtigden ontvangt, zonder een opsplitsing in doelgroepen en dat het natuurlijk over een bredere groep van mensen gaat die toegang krijgt tot deze gegevens.
Minister, op welke manier is de controletoren en het hele systeem van de contactopsporing beveiligd tegen datamisbruik en -lekken?
Hebt u op dit moment zicht op lekken van data in de afgelopen maanden sinds de opstart van de contactopsporing en het systeem?
Bent u van plan gebruik te maken van ethische hackers om de veiligheid van het softwaresysteem te checken?
Wordt over de dataveiligheid van de vaccinatie-aanpak nagedacht en een kader uitgewerkt?
Krijgen de vrijwilligers en logistieke medewerkers hierrond gedragsregels opgelegd en is er enige vorming? Verwacht u van hen een verklaring op eer of een soort van eedaflegging? Welke implicaties kan een schending van deze gedragsregels, van die vorming of van die verklaring op eer hebben? Ik dank u.
Minister Beke heeft het woord.
Collega, u kunt de controletoren zien als een samenwerking tussen drie componenten: ontvangst van de data, structurering van de data en rapportering.
Data worden aangeleverd in het datacenter door verschillende dataleveranciers die een officiële rol spelen bij de contactopsporing. Dat gebeurt volledig binnen het wettelijke kader. Een beperkte groep administrators heeft toegang hiertoe. Deze data worden automatisch geëncrypteerd. Elke access wordt geregistreerd voor een eventuele audit in de toekomst.
Het datacenter wordt continu gemonitord door ‘security auditing tools’. De data worden verwerkt en opgeslagen in één centraal datawarehouse. Ook hier worden de data automatisch geëncrypteerd. De verwerkte en gekoppelde data zijn enkel toegankelijk voor de rapportontwikkelaars. De eindgebruiker heeft uitsluitend toegang tot de data via de rapporteringstool. Het datacenter van de rapporteringsomgeving wordt gemonitord door ‘anti-intrusion tools’ en ‘anti-attack tools’. Elke toegang tot de infrastructuur wordt geregistreerd. De aanvraag voor toegang tot de ZorgAtlas door de gebruikers wordt geregeld via één enkel gedefinieerd proces, ondersteund door een goedkeuringsproces. Daarbij wordt onderscheid gemaakt tussen twee soorten controletorens, die beide door middel van een user-ID en paswoord worden geconsulteerd: een niet-privacygevoelige toren voor een bredere gebruikersgroep en een privacygevoelige toren voor een beperktere gebruikersgroep. Van deze laatste groep hebben alle gebruikers privacyovereenkomsten ondertekend.
Er is een overkoepelend veiligheidsteam opgericht, dat de verwerkingen van persoonsgegevens en de informatieveiligheid binnen de contactopsporing opvolgt. Dit veiligheidsteam is samengesteld uit informatieveiligheidsexperten en functionarissen voor gegevensbescherming vanuit alle bij het contactonderzoek betrokken organisaties. Dit veiligheidsteam informeert en adviseert met betrekking tot de minimale veiligheidsvereisten. Daarnaast zorgt het voor de implementatie van technische en organisatorische maatregelen.
Er werd binnen het veiligheidsteam een incidentenregistratiesysteem en een datalekprocedure opgemaakt, die wordt bewaakt door het veiligheidsteam. Hier werden tot op vandaag vier dossiers behandeld. Een daarvan is gecategoriseerd als datalek en gemeld aan de Vlaamse Toezichtcommissie. Het ging om een datalek dat impact had op een beperkt aantal datasubjecten. Bijkomende beheersmaatregelen werden daarop genomen en verdere incidenten werden voorkomen.
Wat uw derde vraag betreft, dat lijkt mij een interessant voorstel. Ik zal de piste verder door de specialisten laten onderzoeken.
Wat uw vierde vraag betreft, er wordt samen met de vaccinatiecentra een veiligheidsnorm opgemaakt. Voor de ondersteuning en implementatie van de dataveiligheid is een rol weggelegd voor het Nationaal Crisiscentrum. Het Centrum voor Cybersecurity België (CCB) zal de vaccinatiecentra auditen, adviseren en helpen om zich informatieveilig in te richten.
De opleiding van de vrijwilligers en de logistieke medewerkers behoort tot de taken van het lokale initiatief. Ik zal dit punt onder de aandacht brengen van de initiatiefnemers. Het is aan te bevelen dat iedereen die in contact komt met medische gegevens, een geheimhoudingsclausule ondertekent. Het doorbreken van zo’n geheimhouding kan worden vervolgd.
De heer Vaneeckhout heeft het woord.
Minister, dank u wel. Er is een zeer gestructureerde aanpak, dus op zich ben ik daar wel ten dele door gerustgesteld. Ik denk dat we incidenten op dit gebied te allen prijze moeten vermijden, al is het maar omdat, nog los van misbruik, op dit moment, in deze tijden het vertrouwen van mensen soms snel is geschaad, en dat is ook te begrijpen. We moeten dus proberen dat te allen prijze te bewaken.
Ik ben blij dat u de piste van de ethische hackers overweegt. Ik vind het belangrijk dat daar de komende maanden, als het kan de komende dagen en weken, misschien toch wel wat stappen in worden gezet. Hoe sneller, hoe beter. De reden waarom ik bezorgd ben, is de volgende. Iedereen weet hoe dat in de praktijk vaak werkt. Mensen proberen hun job naar behoren te doen. Ik ben er zeer bezorgd over dat er op een bepaald moment aparte lijstjes zouden worden bijgehouden, dat mensen eigen Excelbestanden met informatie beginnen te maken om te proberen hun werk efficiënt te organiseren. Vaak is dat allemaal goedbedoeld, maar wel zeer kwetsbaar vanuit het oogpunt van informatieveiligheid. Vandaar toch nog de vraag of het voor u ook geen optie is om Audit Vlaanderen in dezen in te schakelen. Men is een tiental maanden bezig met die tracing. Misschien kan Audit Vlaanderen tussentijds een soort audit doen, en meteen ook zijn inzichten delen inzake de vaccinatieaanpak. Dat zou ook gebeuren om de lokale uitrol zeker niet los te laten, om niet alleen een suggestie mee te geven, maar ook om een bindend kader voor medewerkers en vrijwilligers uit te werken.
Mevrouw Sleurs heeft het woord.
Mijnheer Vaneeckhout, ik dank u om dit onderwerp ter sprake te brengen. Ik heb nog een bijkomende vraag. Op 23 december 2020 hebben de verschillende gemeenschappen en gewesten een privacyverklaring verspreid waarin alles over de gegevensbescherming staat beschreven. Als we naar de veiligheid van de persoonsgegevens kijken, staat daar enkel te lezen dat passende maatregelen zullen worden genomen om de gegevens veilig en vertrouwelijk te bewaren en te behandelen.
Minister, mijn vraag is of u hierover specifiekere gegevens hebt of informatie kunt verstrekken. Als dat nu niet meteen kan, kan dat misschien ook later worden meegedeeld.
Minister Beke heeft het woord.
Mevrouw Sleurs, ik zal u dat later bezorgen. Ik moet eens nakijken of ik u dat kan en mag overmaken.
De heer Vaneeckhout heeft het woord.
Minister, ik snap dat u vooral met een aantal zaken aan de slag zult gaan. Ik ben dankbaar voor uw antwoord. Er is een lek gekend. Dit toont aan dat het risico reëel is. Een zaak is als een datalek gecategoriseerd. Ik vraag u dan ook hier omzichtig mee om te gaan. Zeker in het midden van een vaccinatiestrategie kunnen we ons dit niet veroorloven. Daarnaast is privacy gewoon ook een zeer belangrijk basisrecht van de Vlamingen. We moeten hier zeer zorgzaam mee omgaan.
De vraag om uitleg is afgehandeld.