GGD GHOR Nederland: ‘We hebben een groter risicobewustzijn gekregen’

GGD GHOR Nederland kreeg tijdens de pandemie veel te verduren. De media schreef dat de softwaresystemen niet op orde waren en dat er data werd gelekt. Samen met Erik Jan Koedijk, crisismanager ICT en data security bij GGD GHOR Nederland, blik ik terug. Hoe sloeg de organisatie zich door deze crisis heen? Wat zijn de lessons learned?

GGD GHOR Nederland werd, net als de rest van Nederland, begin 2020 overvallen door de coronapandemie. “Er was jarenlang bezuinigd op de GGD’en”, vertelt Erik Jan. “Dit terwijl het juist belangrijk is om buiten crisistijd te investeren in de publieke gezondheid, zodat je er tijdens een crisis klaar voor bent.”

Wat was jullie uitgangspositie? En wat waren de eerste belangrijke stappen om grip te krijgen op de situatie?
“Nederland telt 25 regionale GGD’en en GHOR bureaus. Dit zijn op zichzelf staande organisaties met eigen professionals en eigen systemen die verschillend georganiseerd kunnen zijn.

Nu kregen we met een landelijke crisis te maken. Al vrij vlot in de crisis werd er besloten om een centraal systeem in te richten voor het testen, bron- en contactonderzoek en later ook voor het vaccineren. Daarin werkten de GGD’en en de corona programma organisatie van GGD GHOR Nederland nauw samen.

Tegelijkertijd hebben we enorm opgeschaald. De GGD’en en wij als koepel hebben 10.000-en tijdelijke medewerkers aangenomen om alle testen af te nemen, vaccinaties te zetten, bron- en contactonderzoek uit te voeren, alle telefonische vragen te beantwoorden en afspraken te maken. Op de piek van de crisis hadden we één van de grootste callcenters ter wereld.”

Welke keuzes hebben jullie gemaakt bij het inrichten van die systemen?
“We stonden voor een enorme opgave. Daarom hebben we besloten om ons systeem zo flexibel mogelijk in te richten. We hebben niet alles dichtgetimmerd, zodat iemand uit Rotterdam bijvoorbeeld ook gemakkelijk een vaccinatie kon halen in Twente.”

Waar liepen jullie tegenaan toen de systemen in gebruik genomen werden?
“De systemen en processen waren gebaseerd op vertrouwen. We zijn bijvoorbeeld met systemen gaan werken die voorheen gebruikt werden voor de lokale epidemiebestrijding. Die systemen werkten prima voor dat doel. Ook werd er eind 2020 besloten dat het nieuw ontwikkelde CoronIT zou worden aangepast voor het plannen en registreren van vaccinaties. Iets waar het oorspronkelijk niet voor ontwikkeld was.

Bij deze doorontwikkeling zijn we er vanzelfsprekend vanuit gegaan dat de meeste mensen deugen. In de basis is die grondhouding ook terecht. Mensen die bij de GGD gaan werken, doen dat omdat ze anderen willen helpen.

Maar we kregen ook te maken met een klein groepje tijdelijke medewerkers die niet deugde. Zo meldde de media in 2021 dat tijdelijke medewerkers data hadden gestolen. Daarbij zou het gaan om de gegevens van miljoenen mensen. Dat nieuws sloeg in als een bom. Het stelen van data is gedrag dat je niet van een GGD-medewerker verwacht.”

Hoe hebben jullie hierop gereageerd?
“Nadat het nieuws bekend werd, zijn we direct feitenonderzoek gaan doen, omdat je wilt voorkomen dat de verkeerde informatie een eigen leven gaat leiden. Dat is ons niet helemaal gelukt. We belden bijvoorbeeld voor bron- en contactonderzoek vrijwel altijd uit met een 070-nummer als herkenning. Dat is niet logisch in een plaats buiten Den Haag wanneer men ook nog eens zegt van de regionale GGD te zijn. Dat riep na de datadiefstal vragen op bij inwoners en journalisten. Wij hebben die situatie niet snel genoeg recht kunnen zetten.

Verder zijn we nauw gaan samenwerken met organisaties zoals de politie, de Autoriteit Consument & Markt (ACM), het OM en de Fraudehelpdesk. We hebben meer ingezet op communicatie en we hebben uiteraard mitigerende maatregelen genomen. Ook hebben we aangifte gedaan bij de politie.

De politie heeft onderzoek gedaan en dat is inmiddels afgerond. Hieruit blijkt dat een kleine groep tijdelijke GGD-medewerkers screenshots heeft gemaakt van de gegevens van inwoners. Het gaat om de gegevens van 1250 burgers. Dat zijn er natuurlijk 1250 teveel. Maar het zijn er dus geen miljoenen. We hebben deze mensen eerder benaderd om hen over de datadiefstal te informeren én natuurlijk om onze excuses aan te bieden. Recent hebben we hen nogmaals benaderd om hen een financieel gebaar te doen.”

Wat hebben jullie gedaan om een nieuwe datadiefstal te voorkomen?
“We hebben onder andere onze systemen aangepast en onze medewerkerstrainingen gemoderniseerd. Ook hebben we een Security Operations Center (SOC) ingericht. Dit centrum monitort bijvoorbeeld het gedrag van de medewerkers die ingelogd zijn op onze systemen.

Afwijkend gedrag wordt gesignaleerd. Je moet dan denken aan gedrag waarbij een medewerker op een onlogische manier dossiers inziet. We nemen dan contact op met de GGD waar de betreffende medewerker werkt. Meestal is er een logische verklaring voor dit gedrag en hoeven we geen vervolgstappen te nemen. Past het geconstateerde afwijkende gedrag niet volgens de GGD dan geldt er een zero-tolerance beleid en wordt er altijd aangifte gedaan bij de politie. Op deze manier zitten we er bovenop en weten we fraude te constateren en, beter nog, te voorkomen.”

Jullie kregen met meer vormen van criminaliteit te maken. Kun je daar voorbeelden van geven?
“Er gebeurde van alles. In het begin probeerden sommige mensen voor te dringen. Ze fraudeerden bijvoorbeeld door de voorrangsbewijzen voor medewerkers uit de zorg na te maken. Ook kregen we te maken met mensen die na een registratie wegrenden. Zo waren ze wel geregistreerd zonder dat ze een vaccinatie hadden gehad.

Later bleek dat sommige tijdelijke medewerkers gingen werken voor de GGD om dossiers te vervalsen en zo mensen als gevaccineerd te registreren die dit geheel niet of niet volledig zijn. De onderzoeken daarnaar lopen nog steeds.

Ook kregen onze medewerkers te maken met stalking, doxing, bedreiging en brandstichting. Onze hele website werd gekopieerd voor phishing-doeleinden en er ontstonden vage 0900-nummers van criminelen die geld probeerden te verdienen met het doorgeleiden van mensen naar onze gratis nummers. We hebben hier samen met de ACM succesvol tegen opgetreden.”

Hoe zijn jullie met deze nieuwe vormen van criminaliteit om gegaan?
“Het heeft erg geholpen dat we volgens strakke structuren op een goede manier met elkaar samenwerkten. Onze medewerkers kregen in hun privé-tijd natuurlijk ook te maken met de kritiek op de GGD’en. We hebben altijd gezegd: ‘Laat je niet leiden door de verhalen in de media, maar door de feiten, en weet waar wij samen voor staan’.

We werden tijdens deze crisis regelmatig verrast door nieuwe problemen. Voor alle grotere problemen hebben we opgaveteams samengesteld. Deze teams maakten samen met interne en externe partners verbeterslagen, waardoor het probleem in de kern werd aangepakt. De teams zorgden ervoor dat we onze aanpak structureel verbeterden en dat we ons niet te veel lieten leiden door de waan van de dag.”

Welk effect had de crisis op jullie organisatie?
“We zagen dat het risicobewustzijn rondom het gebruik van data groter werd. Bij nieuwe ontwikkelingen gingen de medewerkers steeds actiever met ons meedenken over de veiligheid van de data.

Ook heeft de crisis ons laten zien hoe mensen frauderen. Daar hebben we samen met ons Security Operations Center (SOC) lessen uit getrokken. Dat heeft geholpen om data beter te beveiligen. Met die kennis gaan we nu ook onze oude data opnieuw analyseren. Ik kan me voorstellen dat er daardoor meer fraudegevallen aan het licht komen en dat er nieuwe aangiftes zullen volgen.”

Stel dat je deze hele crisis over zou mogen doen. Wat zou je dan anders aanpakken?
“Met de kennis van nu, zijn er op allerlei vlakken natuurlijk verbeteringen mogelijk. Om één voorbeeld te noemen: we hebben een scan-prik-scan-systeem ontwikkeld waarmee we ons vaccinatieproces veiliger en gemakkelijker maken. Dat betekent dat de mensen met een barcode naar de priklocatie gaan. Op de locatie wordt deze gescand.

Het grote voordeel daarvan is dat de medewerkers op de priklocaties niet meer in onze systemen hoeven. Dat is niet alleen veiliger. Mensen kunnen ook fouten maken, als ze in onze systemen werken. Door barcodes te scannen verklein je de kans dat er iets mis kan gaan. Dat is iets waarmee we in de volgende crisis meteen moeten starten.”

Er zijn meer organisaties die plotseling overspoeld worden door een crisis waar ze onvoldoende op voorbereid zijn. Wat zou je – vanuit je eigen ervaring – tegen hen willen zeggen?
“Zorg dat je op een veilige manier met elkaar blijft samenwerken. Dus blijf goed naar elkaar luisteren. Natuurlijk zijn mensen tijdens een crisis soms geneigd om vanuit hun reptielenbrein te reageren. Ook in onze organisatie werden mensen soms angstig of cynisch. Zorg dat je bij de feiten blijft en dat je het samen doet.

Zorg dat je een verhaal hebt en dat je dat continu blijft herhalen. Tijdens de crisis kregen we bijvoorbeeld veel vragen van burgers over de echtheid van mailtjes. Het kostte ons veel tijd om keer op keer uit te leggen hoe zij konden achterhalen of de mails echt waren. Het is goed dat we dat zijn blijven doen, samen met partners als de Fraudehelpdesk. Je moet je verhaal blijven herhalen om ervoor te zorgen dat het beklijft.

En zorg ervoor dat je qua cybersecurity je basis op orde hebt. Dus zorg ervoor dat mensen alleen kunnen inloggen met 2 factor authenticatie en dat het bijvoorbeeld niet mogelijk is om data lokaal op te slaan. Zorg er bovendien voor dat je mensen aan boord hebt met inhoudelijke kennis over cybersecurity. Anders ben je niet in staat om je leveranciers de juiste vragen te stellen. Uiteindelijk moeten er in zo’n crisis veel systemen aan elkaar worden gekoppeld en moeten veel partijen in zo’n systeem kunnen werken. Als dat niet veilig gebeurt, geeft dat cybercriminelen de kans om toe te slaan.”

Wat zouden jullie graag willen doen om beter voorbereid te zijn op de uitdagingen van de toekomst?
“We denken dat de overheid meer moet investeren in de informatievoorziening voor de publieke gezondheid. Dus het ontsluiten van alle gezondheidsdata die de GGD’en hebben. We worden een data-gedreven organisatie.

Tijdens de pandemie hebben we gezien hoe waardevol die kennis is. De GGD’en gingen met prikbussen de wijken in. Dat konden zij doen omdat zij de regionale situatie goed kennen. Dit fijnmazig vaccineren heeft geholpen om de vaccinatiegraad te vergroten.

We hebben als GGD GHOR Nederland veel meer kennis over de gezondheid van de mensen in de verschillende wijken. We willen graag investeren in voorzieningen waarmee we die data beter en efficiënter kunnen delen met gemeentes. Dat helpt hen om gerichter interventies uit te voeren, bijvoorbeeld over onderwerpen als overgewicht en laaggeletterdheid.

We zouden daarom graag meer data-analisten willen aannemen die de vertaalslag naar de gemeentes maken. Dat vraagt om een extra investering. Maar dat is het waard, want dat helpt gemeentes om interventies succesvoller in te zetten en de publieke gezondheid te vergroten.”