Datadiefstal GGD veel groter dan gemeld

Busje van GGD West-Brabant

De datadiefstal bij de GGD is nog veel omvangrijker dan gedacht. Het aantal gedupeerden ligt een stuk hoger dan de gezondheidsinstantie meldt. Een groot aantal mensen waarvan de persoonsgegevens zijn buitgemaakt en verkocht, zijn niet daarvan op de hoogte gebracht. De GGD zegt ‘geen indicatie’ te hebben dat zij bepaalde gedupeerden niet heeft geïnformeerd.

Dat blijkt uit onderzoek van RTL Nieuws. De techredactie belde willekeurig tien gedupeerden die in een dataset voorkwamen die via criminelen is ontvangen.

Zo stalen medewerkers persoonsgegevens uit de IT-systemen van de GGD

Begin dit jaar werd bekend dat er een levendige handel in persoonsgegevens plaatsvond bij de GGD. Via twee IT-systemen wisten medewerkers namen, adressen, telefoonnummers, geboortedata, e-mailadressen, burgerservicenummers en nationaliteit te achterhalen. Cybercriminelen kunnen deze gegevens gebruiken om spam te versturen, maar ook voor phishing, identiteitsfraude of stalking.

Het gaat om de systemen CoronIT en HPzone Lite. In CoronIT zijn Nederlanders opgenomen die een afspraak hebben gemaakt voor een coronatest. HPzone Lite wordt gebruikt om bron- en contactonderzoek te verrichten. Via de print- en exportfunctie van de systemen werden persoonsgegevens van Nederlanders binnengehaald. Deze data werd vervolgens verkocht via kanalen als Snapchat, Telegram en Wickr.

Demissionair minister De Jonge komt met maatregelen om herhaling te voorkomen

Hoewel het datalek pas afgelopen januari aan het licht kwam, waren het bestuur van de GGD en demissionair minister van Volksgezondheid, Welzijn en Sport Hugo de Jonge in de zomer van 2020 al op de hoogte van problemen in de beveiliging van de IT-systemen. Om de coronapandemie voortvarend te bestrijden, besloten de partijen om niets met deze informatie te doen.

Daarop werd minister De Jonge door de Tweede Kamer op het matje geroepen. “Alles wordt gedaan om te zorgen dat het zo veilig mogelijk is, maar uiteindelijk is tegen dit type misdaad [stelen en verkopen van privégegevens, red.] natuurlijk geen kruid gewassen”, zei hij onder meer. Dat werd hem niet in dank afgenomen door de Kamerleden. Ze verweten de minister dat hij met ‘teveel bravoure’ en ‘te nonchalant’ op het datalek reageerde.

In een tweede debat bood minister De Jonge zijn excuses aan. Hij erkende dat bij het optuigen en gereedmaken van de IT-systemen meer aandacht had geschonken aan de snelheid en schaalgrootte. Daardoor kwam privacy op de tweede plaats. Daarop implementeerde de minister van volksgezondheid diverse maatregelen. Hij gaf opdracht om de print- en exportfunctionaliteit grotendeels uit te schakelen, de zoekmogelijkheden in de IT-systemen te beperken, vaker controles uit te voeren en de VOG-administratie (Verklaring Omtrent Gedrag) op orde te brengen.

1.250 slachtoffers ontvangen excuusbrief van GGD

In maart verstuurde de GGD een excuusbrief naar duizend Nederlanders, waarvan vaststond dat hun privégegevens waren gestolen en verhandeld. “We betreuren ten zeerste dat deze diefstal heeft plaatsgevonden. We zijn ons ervan bewust dat uw vertrouwen in de GGD’en mogelijk beschadigd is. We bieden dan ook onze oprechte excuses aan voor de eventuele gevolgen die dit incident voor u heeft. Daarnaast hopen we uw vertrouwen terug te winnen”, zo schreef GGD GHOR, de overkoepelende organisatie van alle GGD-afdelingen in Nederland.

Politieonderzoek wees in juni uit dat er meer slachtoffers waren te betreuren. De teller kwam toen uit op 1.250 gedupeerden. De extra slachtoffers kregen net als de eerste groep een brief van de GGD waarin ze excuses maakte voor het datalek.

‘Aantal gedupeerden vele malen groter’

Volgens RTL Nieuws zijn er echter van veel meer burgers persoonsgegevens gestolen en verkocht. “Het daadwerkelijke aantal gedupeerden is echter veel groter, en de GGD heeft na maanden nog geen goed beeld van hoe groot de datadiefstal nu echt is”, schrijft het medium.

RTL Nieuws wist via het criminele circuit de hand te leggen op een dataset, bestaande uit privégegevens van zo’n zeshonderd Nederlanders. De redactie benaderde tien willekeurige mensen in deze set met de vraag of ze door de GGD geïnformeerd waren dat hun gegevens op straat liggen. In geen van de gevallen bleek de dienst hen hierover te hebben gewaarschuwd.

“Ik ging er eigenlijk al vanuit dat ik in het datalek zat. Maar dat ik niets heb gehoord is echt niet oké, ik had op zijn minst een brief met excuses verwacht”, zo vertelt één van de gedupeerden. Volgens degene die de dataset aan RTL Nieuws verkocht kon hij de gegevens van ‘vele duizenden tot tienduizenden’ personen aanleveren.

De GGD zegt niet bekend te zijn met deze datasets. “Wij kunnen geen mensen informeren van wie wij de identiteit niet kennen”, laat een woordvoerder in een reactie weten. Verder zegt hij dat er geen aanwijzingen zijn dat gedupeerden niet op de hoogte zijn gebracht.

Tot nu toe zeven verdachten aangehouden

Het politieonderzoek naar het datalek is nog altijd niet afgerond. Tot op heden heeft de politie zeven verdachten gearresteerd. Het gaat om een 21-jarige en 22-jarige man uit Heiloo, een 23-jarige man uit Alblasserdam, een 25-jarige man uit Amstelveen, een 21-jarige man uit Rotterdam, een 18-jarige man uit Den Haag en een 19-jarige man uit Nootdorp.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen