Gegevensbeveiliging
Een enorm datalek bij de GGD, wat betekent dat?
De staat wordt voor de rechter gesleept na een groot datalek bij de GGD’en tijdens de coronapandemie. Volgens de schadeclaim van stichting ICAM waren mogelijk 6,5 miljoen mensen de dupe van de gegevensdiefstal. Wat zijn de gevolgen?
Middenin de eerste golf van de pandemie moest het ministerie van volksgezondheid onder grote tijdsdruk het GGD-personeel flink opschalen. Een groot deel werd tijdelijk ingehuurd via partnerorganisaties, zoals call centers, alarm centrales en IT-leveranciers. Verouderde IT-systemen, waar normaal slechts een klein team GGD-artsen toegang toe had, gaf de 26.000 GGD-medewerkers vrij toegang tot de gevoelige gegevens van maar liefst 6,5 miljoen burgers.
Een grote fout, vindt stichting ICAM, de organisatie achter de massaclaim. Ze overhandigen vandaag dagvaardingen aan 35 instanties, waaronder het ministerie van volksgezondheid, de landelijke GGD GHOR Nederland, regionale GGD’en, veiligheidsregio’s en de gemeenten Amsterdam en Rotterdam.
Begin 2021 kwam naar buiten dat GGD-medewerkers handelden in privégegevens van mensen die zich hadden laten testen op besmetting met het coronavirus. Die gegevens werden uit de GGD-systemen gehaald en verkocht op ondergrondse marktplaatsen. De hoofdverdachten werden daar eerder al voor veroordeeld. Nu is de schadeclaim gericht tegen het ministerie van volksgezondheid “omdat dat verantwoordelijk is voor het ontwerp van de IT-systemen die de GGD’en gebruiken”, aldus de initiatiefnemers. Volgens de dagvaarding zijn de medewerkers niet goed gescreend, hadden ze toegang tot veel meer gegevens dan nodig en werd niet goed bijgehouden wie welke data bekeek.
Om welke gegevens gaat het en wat kunnen criminelen ermee?
De GGD-werknemers konden bij gevoelige informatie komen, zoals woonadressen, telefoonnummers, burgerservicenummers, testresultaten en met wie iemand in de afgelopen dagen contact heeft gehad. Gegevens van BN’ers zoals John van den Heuvel, Peter R. de Vries en Badr Hari werden vrijuit gedeeld via Whatsapp.
“Mensen die deze data in handen krijgen, kunnen ermee doen wat ze willen,” aldus Lodi Hensen, cybersecurity-expert bij Tesorion. “Oplichters kunnen zich bijvoorbeeld voordoen als iemand van de GGD en vragen om geld. Of ze zetten iemand onder druk met bepaalde informatie, bedreigen of persen mensen af, zeker als het om BN’ers gaat.”
Hoe kom je erachter of jouw data gelekt is?
Er met volledige zekerheid achter komen of jouw data ook gelekt zijn, gaat helaas niet lukken, stelt Hensen. Het is volgens de cybersecurity-expert enorm moeilijk om de omvang van de datadiefstal in kaart te brengen. Ook is niet duidelijk hoe de data gestolen zijn, of het bijvoorbeeld gedownload werd of er foto’s van werden gemaakt, en waar de data rondzwerven. “Wat een teken kan zijn dat je data gelekt zijn, is als je bijvoorbeeld een verhoogde mate van oplichting binnenkrijgt, zoals onverwachte mailtjes of belletjes. Ook zijn er diverse websites waar je bijvoorbeeld je e-mailadres kunt invoeren om te kijken of dit in een datalek zit.” Als je op dergelijke websites naar bovenkomt hoeft dat overigens nog niet te betekenen dat de gelekte data van de GGD komen.
Volgens de GGD’en is van ongeveer 1250 mensen zeker dat hun gegevens zijn geroofd. Deze mensen zijn al geïnformeerd. Bij een overleg vorig jaar bood het ministerie een bedrag van 500 euro voor de 1250 bevestigde gedupeerden, en niets voor de anderen. Dat aanbod vond ICAM te mager, zij vinden dat gedupeerden daar 1500 euro schadevergoeding voor moeten krijgen.
Wat is het doel van de schadeclaim?
De schadeclaim draait volgens Stichting ICAM om meer dan alleen geld. Met de rechtszaak wil de stichting naar eigen zeggen meer openheid van de overheid, die rapporten zou achterhouden. Ook zegt de stichting te willen voorkomen dat het nog een keer fout gaat. “Het is belangrijk de overheid bij de les te houden. Normale bedrijven krijgen een dikke boete. Als ik zoiets doe ben ik morgen failliet, maar bij de overheid zelf gebeurt niets. Een schadevergoeding is een financiële prikkel om het beter te doen”, zegt een woordvoerder. Verwacht wordt dat een rechtszaak, door alle tussenstappen, nog zeker tot 2026 kan duren.
Organisaties die slecht met persoonsgegevens omgaan hangen sinds de invoering van de AVG in 2018 hoge boetes en schadevergoedingen boven het hoofd. In 2019 werd zover bekend de eerste schadevergoeding toegekend: de gemeente Deventer moest toen 500 euro betalen aan een man van wie de gemeente de naam en woonplaats doorspeelde naar tientallen andere gemeenten. Uit een recente uitspraak van rechtbank Zeeland-West-Brabant blijkt dat rechters openstaan voor het toekennen van een schadevergoeding als de AVG ernstig wordt geschonden.
Lees ook:
Staat gedagvaard vanwege roof privédata bij GGD, massaclaim kan oplopen tot 3 miljard euro
Met een megaclaim die kan oplopen tot 3 miljard euro wordt de Nederlandse Staat voor de rechter gesleept vanwege een grote roof van privégegevens uit de computersystemen van de GGD’en in 2021.
GGD GHOR verdenkt medewerkers van gesjoemel met vaccinatiebewijzen
Een aantal medewerkers van de GGD is op non-actief gesteld vanwege mogelijke fraude met vaccinatiebewijzen in verschillende GGD-regio’s.
