Het voornaamste verwijt aan het adres van De Jonge betrof woensdag zijn stijl van optreden in het vragenuur van vorige week. De minister deed de dataroof, waarbij mogelijk gegevens van miljoenen Nederlanders zijn gestolen zijn, daarin af als crimineel gedrag van individuen waar geen kruid tegen gewassen is. „Ja, jongens. Zo werkt het nu eenmaal”, zei hij toen hij uitlegde dat de GGD’s hun werk alleen efficiënt kunnen doen als de toegang tot de databestanden voor alle GGD’ers zo groot mogelijk is.

In een dinsdagavond verstuurde Kamerbrief, voor het debat, draaide De Jonge al behoorlijk bij. Hij kondigde maatregelen aan die achteraf bekeken ook maanden geleden al genomen hadden kunnen worden en erkende daarmee impliciet dat er het nodige is misgegaan. Het ict-systeem HPZone, waar de GGD’s mee werken voor het verwerken van de bron- en contactonderzoeken, wordt vanaf nu alleen nog maar gebruikt door een kleine groep artsen en verpleegkundigen die gespecialiseerd zijn in de infectieziektenbestrijding. Alle andere medewerkers gaan met nieuwe software aan de slag.

De exportfunctie van het systeem, die het mogelijk maakt om met één druk op de knop geaggregeerde databestanden te genereren, is stopgezet. Er wordt geregeld dat GGD’ers niet dieper in het systeem kunnen dan gegeven hun functieprofiel strikt noodzakelijk is. De steekproefsgewijze controles naar de vraag wie op welke moment welke databestanden raadpleegt worden geïntensiveerd, tot ze in maart volautomatisch worden uitgevoerd. Én de zogenaamde VoG-administratie wordt op orde gebracht: zijn van elke (tijdelijke) kracht de justitiële gegevens nagegaan? Volgens een eerste schatting missen er nog 150 verklaringen.

Woensdag gaf De Jonge toe dat de regie strakker en beter had gekund. Toch temperden veel Kamerleden hun kritiek. Dat hing samen met de onderkenning dat het GGD-datalek niet op zichzelf staat, maar een uiting is van een structureel probleem. D66-Kamerlid Kees Verhoeven, ict-specialist en erkend privacyexpert constateerde overheidsbreed „grote ict-overmoed en heilig datageloof. We zingen in koor: Het moet beter, maar we doen het niet”, analyseerde hij.

Ook andere Kamerleden zagen verzachtende omstandigheden. De GGD is niet wettelijk verantwoordelijk voor het doen van coronatesten, maar omdat de organisatie daar gezien haar wettelijke taken nu eenmaal het meest voor geschikt is, sloot het ministerie met deze instantie een dienstverleningsovereenkomst af. „Daarin kwamen de privacywaarborgen niet heel erg uit de verf”, analyseerde SGP-Kamerlid Van der Staaij. Dat klemde temeer, omdat breed bekend was dat zeker de uit 2003 daterende software van HPZone niet op een taak van dergelijke omvang was ingericht.

En dan was er nog het weinig doortastende optreden van de Autoriteit Persoonsgegevens (AP). Toen het tv-programma Nieuwsuur in september 2020 meldde dat honderden medewerkers van de coronatestlijn ongewenste toegang hadden tot persoonsgegevens nam de privacywaakhond polshoogte. De GGD’s kregen huiswerk mee – „Breng de risico’s in kaart en tref waar nodig maatregelen” – maar een officiële waarschuwing bleef uit.

Ook in november, toen een nieuw datalek dat betrekking had op twee personen naar buiten kwam, beperkte de AP zich tot het stellen van vragen. Kanttekening daarbij is dat de GGD toen meerdere verbetertoezeggingen deed, die eind 2020, begin 2021 zouden zijn gerealiseerd.

Daar staat tegenover dat de waakhond er in november het zwijgen toe deed toen een gezamenlijke risicoanalyse van het ministerie, de GGD en het RIVM aanzienlijke tekortkomingen in de testketen aan het licht bracht, bijvoorbeeld de keus van de GGD’s om medewerkers ongescreend aan de slag te laten gaan.

Tot ongenoegen van veel fracties bestreed minister Dekker van Rechtsbescherming, op verzoek van de Kamer ook aanwezig bij het debat, vol overgave dat de Autoriteit Persoonsgegevens in deze zaken steken heeft laten vallen. „Die is te werk gegaan volgens het escalatiesysteem, waarbij het toezicht gaandeweg wordt opgeschroefd.” Proactief toezichthouden is volgens Dekker niet de taak van de toezichthouder. „Instanties die worden geconfronteerd met een datalek zijn verplicht dat zelf te melden, waarna de AP in actie komt.”

Naarmate De Jonge het gaandeweg het debat steeds rustiger kreeg, zwol de kritiek op Dekker steeds meer aan. Uiteindelijk onderstreepte een Kamermeerderheid haar ongenoegen over de beperkte slagkracht van de Autoriteit Persoonsgegevens door een SP-motie mee te ondertekenen, waarin wordt gesteld dat de waakhond vanaf 2022 fors zou moeten uitbreiden; van 184 naar 470 fte. Dat groeipad is aanbevolen in een onafhankelijk onderzoek van KPMG, waarvan Dekkers eigen ministerie opdrachtgever is.

Ook De Jonge kreeg nog huiswerk mee, maar wat de Kamer vooral van hem wilde horen, was dat hij de GGD’s royaal zal steunen bij het afwikkelen van de schadeclaims waar de slachtoffers van het datalek mogelijk mee komen.