Beveiliging van Jeugdzorg ICT Infrastructuur

Posted in DDJGZ Research Security with tags ddjgz jeugdzorg overheid wob -

Het begon allemaal met een startknop. Niet veel later was er een dikke vinger. Na een jaar stond ik voor het eerst voor de rechter en uiteindelijk kreeg ik na veel aandringen te horen dat ik niets zou krijgen. Niet omdat het niet mocht, maar omdat er niets te halen viel. Maar daarmee kan ik wel laten zien dat de gemeente geen interesse lijkt te tonen voor de beveiliging van een belangrijke ICT infrastructuur. Een verslag van mijn eerste WOB-verzoek.

In oktober 2013 ging ik met mijn jongste dochter naar het consultatiebureau. De kinderarts zocht wat dingen op en ik keek mee op het scherm. Tot mijn schrik zag ik daar een grijze startknop. Zo een die hoort bij een uitgefaseerde Windows versie. Maar op die computer staat heel veel gevoelige informatie over mij, mijn dochter, maar ook over andere ouders en kinderen in de buurt, en verbonden met computers met gegevens uit heel Utrecht.

WOB verzoek

De Wet Openbaarheid Bestuur fascineerde me al langer en nu had ik meteen een erg belangrijk onderwerp. Met behulp van het WOB-verzoek over het EPD van Brenno de Winter, had ik vrij makkelijk iets in elkaar gedraaid en al snel electronisch naar de gemeente gestuurd. Ik wilde informeren naar de beveiliging van de infrastructuur voor het elektronisch kinddossier (Later realiseerde ik me dat het “elektronisch kinddossier” allang afgeschoten was. Zo’n groot plan komt er dan natuurlijk toch wel maar dan met een minder sexy naam. Het werd “digitaal dossier jeugdgezondheidszorg”). Na een paar dagen kwam de bevestiging en dan begint het wachten.

De gemeente heeft in eerste instantie vier weken om op een verzoek te reageren. Ze kunnen die termijn eventueel verlengen met vier weken, maar dat gebeurde niet (die verlenging doet de gemeente Utrecht nu standaard in de bevestigingsbrief al). Na vijf weken was er nog steeds niets en ik begon me af te vragen of ik dan die beruchte boete kon gaan opeisen. Maar op de allerlaatste dag van de termijn viel het besluit op de mat: uw aanvraag slaat niet op documenten die onder de WOB vallen dus u krijgt niets.

Bezwaar maken

Ik was verbijsterd, aangezien Brenno toch een hoop documenten boven tafel had gehaald met zijn EPD verzoek. Ook had ik contactgegevens in de brief gezet, dat ik beschikbaar was als er vragen waren over mijn verzoek. Maar de gemeente en GGD laten niets van zich horen. Ik begon te informeren bij anderen met meer ervaring. Onder andere bij Dimitri Tokmetzis, die er een gesneden column over schreef.

Met hulp van anderen heb ik een bezwaarschrift ingediend over het verzoek en in januari 2014 was er een hoorzitting bij de gemeente. Deze werd voorgezeten door een andere ambtenaar. Ze had de stukken bestudeerd en eigenlijk voor de hoorzitting haar besluit al genomen. Ik mocht mijn bezwaren toelichten. Er werd al vrij snel erg duidelijk doorgeschemerd dat het weinig zin had. Het uiteindelijke besluit zou door de burgemeester en wethouders worden genomen, maar het advies van de ambtenaar zou zeer zwaar wegen. En inderdaad, een paar weken later lag de afwijzing in de bus: mijn bezwaar was ongegrond verklaard.

Gang naar de rechter

De betuttelende houding van de ambtenaren samen met deze afwijzing stuiten me zeer tegen de borst. Ik ben nu nog gemotiveerder om dit tot op de bodem uit te zoeken. Dit betekent wel dat ik naar de rechter moet. Ik dien in maart 2014 mijn bezwaar in en geef aan dat ik mijn gronden voor bezwaar later zal aanvullen.

Na veel lees en zoekwerk blijft het allemaal toch best lastig. Ik besluit mijn rechtsbijstandsverzekering te benaderen, of ze me niet zouden kunnen helpen of bijstaan in mijn rechtsprocedure. Ik leg de hele procedure uit en tot mijn verbazing krijg ik al vrij snel te horen dat ze me bij zullen staan. De kosten voor de procedure worden betaald en een advocaat zal me helpen om de rechtsprocedure te doen. Ik beschrijf een flink aantal redenen waarom de gemeente wel stukken openbaar zou moeten maken en mijn advocaat helpt om dit juridisch goed omkleed in te dienen.

Nieuw WOB-verzoek met resultaat

Ik zoek ook samenwerking met Rejo Zenger, ervaren WOBber. Samen hebben we de formulering verbeterd en het WOB-verzoek beter opgesteld. Ongeveer gelijktijdig dienen we het nieuwe WOB-verzoek in, ik wederom in Utrecht, Rejo in Amsterdam. Al vrij snel krijg ik een bevestiging, met direct een verlenging van de beslistermijn.

Tot mijn verbazing krijgen we na een paar weken in mei 2014 dan toch (eindelijk) wat documenten boven water:

  • Besluit op mijn tweede WOB-verzoek
  • De offerteaanvraag elektronisch kinddossier
  • Het privacyreglement jeugdgezondheidszorg
  • Het Privacyprotocol GG&GD Utrecht
  • Een pagina over het wachtwoordbeleid bij GG&GD
  • Een concept begrotingsvoorstel over 2014

In Amsterdam krijgen we een vergelijkbare set aan documenten. Vooral de offerteaanvraag is een goede bron van inspiratie voor bezwaar. Er worden hoge eisen gesteld aan de beveiliging. Er moet een helpdesk zijn, incidentbeheer, upgrade beleid, bugs moeten snel verholpen worden, maar vooral belangrijk: hierover moet ook allemaal worden gerapporteerd. Een klein regeltje blijkt vooral erg hoopvol: het systeem moet voldoen aan de NEN normen 7510, 7511 en 7512.

De NEN 7510 norm beschrijft beveiligingseisen voor medisch informatie systemen in Nederland. Het is bij wet verplicht dat medische systemen in de Jeugdzorg hieraan voldoen.
Een handige quickscan (lokale kopie)van een consultancy bedrijf laat zien dat er zo een dozijn rapportage documenten moeten bestaan waarin de beveiliging van het systeem beschreven moet worden. Uiteraard maken we bezwaar en dienen dit in augustus 2014 bij de gemeentes Amsterdam en Utrecht. De beveiligingseisen rapporteer ik ook maar direct aan de rechter.

Rechtsgang

Uiteindelijk heeft de rechtbank op 28 augustus een plek in de agenda om mijn bezwaar over mijn eerste verzoek te behandelen. Tot mijn verbazing zie ik daar de ambtenaar van de hoorzitting, zij neemt plaats als verdediging van de gemeente Utrecht. Ze geeft al snel aan dat mijn bezwaar ongegrond is, want de gemeente heeft nu toch al documenten geopenbaard door mijn tweede verzoek. Na een kort beraad besluit de rechter dat mijn initiële beroep wel gegrond is, omdat de gemeente nu toch documenten openbaar heeft gemaakt. Maar ik ben in bezwaar gegaan, dus de rechter geeft ons nog de kans om deze procedure verder door te zetten. Mocht dat niet lukken kunnen we versneld bij de rechtbank terecht via de lopende procedure.

Hoorzitting voor het tweede verzoek

Op 10 september 2014 vindt dan de hoorzitting plaats voor mijn tweede verzoek, waarin wel een paar documenten openbaar waren gemaakt. Nu treffen we een veel welwillendere ambtenaar die respect toont voor het werk dat ik erin gestoken heb, en zich eigenlijk ook verbaast over het lage aantal documenten. Opnieuw vooringenomen dus, maar ditmaal in mijn voordeel. We besluiten op de zitting een informeel traject in te gaan. De ambtenaar zal aan de slag gaan en binnen een week aan te geven hoe snel de procedure afgerond zou kunnen worden.

De positieve teneur van de hoorzitting blijkt na een week toch al snel weer te zijn verdwenen. Er blijft onduidelijkheid, de ambtelijke molen gaat ineens toch weer heel traag en er komt weinig uit. Uiteindelijk komt er dan op 16 oktober een memo met daarin samengevat: het systeem is extern gehost en akkoord bevonden, dus wij hebben niets. Ik besluit nog eenmaal te vragen of de gemeente dit echt zeker weet en dat dan maar in een officieel besluit te vervatten. [edit]Dit is op 3 december 2014 uiteindelijk op mijn deurmat gevallen. Zie Afsluiting WOB verzoek Jeugdzorg [/edit]

Politieke desinteresse in ICT

Uiteindelijk heb ik op 21 november 2014, meer dan een jaar na mijn originele verzoek, moeten concluderen dat de gemeente slechts summiere documentatie heeft over de veiligheid van de ICT voor de jeugdzorg. Volgens de eigen offerte en volgens de NEN 7510 norm waar het systeem wettelijk aan moet voldoen, moeten er meer dan een dozijn documenten en rapportages zijn. Dit varieert van een document over het informatiebeveiligingsbeleid, tot rapportages over het verhelpen van bugs of verbeteringen in de software.

Het lijkt er op dat de gemeente voor de beveiliging van deze belangrijke infrastructuur vertrouwt op de blauwe ogen van de leverancier. Er is een clausule opgenomen in de aanbesteding, die zal teruggekomen zijn in het uiteindelijke contract. Na mijn WOB verzoeken is nu duidelijk dat er geen enkele rapportage beschikbaar is bij de gemeente over de status van de beveiliging van deze infrastructuur.

De conclusies van de commissie Elias over ICT lijken ook hier van toepassing. ICT is geen hot issue voor de overheid en dat geldt blijkbaar tevens voor de beveiliging. Ik hoop dat men door mijn uitzoekwerk wakker geschud wordt. Dat ook gemeentes zich realiseren dat beveiliging geen status is of vinkje is, maar een continu proces. Ik hoop ook dat dit idee beter zal worden meegenomen bij de nieuwe decentralisatieplannen van de Jeugdzorg, met alle nieuwe verantwoordelijkheden, samenwerkingsverbanden en systemen die daarbij komen kijken…

Written by