Holenderski organ ochrony danych (AP) wysłał pismo do GGD GHOR Nederland, centralę przychodni publicznych, w którym nakazał podjęcie dodatkowych środków w celu lepszej ochrony danych osobowych w kontekście przetwarzania danych osobowych w związku z pandemią COVID-19. Po naruszeniu danych osobowych, do którego doszło w styczniu 2021 r., kiedy to dane osobowe przetwarzane w związku z pandemią zostały wykradzione AP zapowiedziało, że zintensyfikuje nadzór nad GGD, które przetwarzają dane osobowe dotyczące dużej liczby osób w celu przeprowadzenia testów, szczepień, badań źródłowych i kontaktowych.
W wyniku przeprowadzonego dochodzenia AP stwierdziła m.in, że zezwolenie pracownikom na korzystanie z osobistego sprzętu do pracy wraz z możliwością logowania się do systemów informatycznych administratora poza bezpiecznym środowiskiem pracy powoduje zagrożenie dla bezpieczeństwa danych. AP wskazała również, że brak aktualizacji lub wycofania upoważnień do dostępu do danych osobowych, gdy nie są one już niezbędne do wykonywania zadań służbowych zwiększa ryzyko wystąpienia naruszeń.
AP zaleciła m.in.:
- rejestrowanie umów zawieranych z podmiotami odpowiedzialnymi za bezpieczeństwo informatyczne i kwestie związane z ochroną danych osobowych,
- określenie ról i obowiązków w odniesieniu do przyznawania upoważnień do dostępu do danych osobowych,
- ciągłą ocenę upoważnień,
- regularną kontrolę plików dziennika systemu informatycznego.