De Jonge: ‘Datalek GGD niet groter dan gemeld’

Close-up van een man die op een laptop werkt

Voor zover bekend zijn 1.250 mensen de dupe geworden van de datadiefstal bij de GGD. Uit het onderzoek dat momenteel wordt uitgevoerd, is tot op heden niet gebleken dat het datalek aanzienlijk groter is dan gemeld. Omdat RTL Nieuws op journalistieke gronden weigert om bestanden met GGD GHOR te delen, kan niet worden nagegaan of het aantal slachtoffers hoger ligt dan wordt aangenomen.

Dat schrijft demissionair minister van Volksgezondheid, Welzijn en Sport Hugo de Jonge in antwoord op schriftelijke vragen van SP-Kamerlid Maarten Hijink.

Meer dan duizend slachtoffers door datadiefstal GGD

Het datalek bij de GGD houdt de gemoederen in ons land al bijna negen maanden bezig. Begin dit jaar onthulde RTL Nieuws dat medewerkers op grote schaal persoonsgegevens van Nederlanders uit twee IT-systemen stelen en doorverkopen aan de hoogste bieder. Het ging daarbij om namen, adressen, telefoonnummers, geboortedata, e-mailadressen, burgerservicenummers en nationaliteit. Voor cybercriminelen zijn deze data goud waard, omdat ze deze gegevens gebruiken voor phishing, identiteitsfraude, spam en stalking.

Uit het politieonderzoek en forensisch onderzoek tot nu toe is gebleken dat zo’n 1.250 Nederlanders het slachtoffer zijn geworden van de datadiefstal. Aanvankelijk ging men uit van duizend gedupeerden. Zij hebben allemaal een excuusbrief van de GGD ontvangen. De politie heeft tot nu toe zeven verdachten aangehouden. De eerste twee verdachten hebben zich inmiddels tegenover de rechter moeten verantwoorden.

‘Datalek vele malen groter dan gedacht’

Afgelopen maand meldde RTL Nieuws dat het datalek bij de GGD veel groter is dan de gezondheidsinstelling doet overkomen. Techjournalist Daniël Verlaan wist de hand te leggen op een dataset met daarin de persoonsgegevens van ongeveer zeshonderd Nederlanders. Bij benaderde tien willekeurige namen op de lijst met de vraag of ze door de GGD geïnformeerd waren over het lek. Onafhankelijk van elkaar gaven ze aan dat ze niet op de hoogte waren gebracht door de GGD. Degene die de dataset van Verlaan verkocht zei dat hij persoonsgegevens van ‘duizenden tot tienduizenden’ personen kon aanleveren.

Voor SP-Kamerlid Maarten Hijink was dit bericht aanleiding om schriftelijke vragen te stellen aan demissionair minister van Volksgezondheid, Welzijn en Sport Hugo de Jonge. Hijink wilde onder meer van minister De Jonge horen of het verhaal klopt en waarom de Tweede Kamer daarvan niet eerder op de hoogte was gesteld. Het Kamerlid had tevens enkele vragen over de informatiebeveiliging bij de GGD.

Geen aanwijzingen dat datadiefstal groter is

De antwoorden van minister De Jonge op de vragen van de SP’er zijn vandaag openbaar gemaakt. De bewindsman zegt dat er officieel 1.250 gedupeerden zijn gevallen. “GGD GHOR Nederland heeft mij aangegeven dat uit onderzoek tot op heden niet blijkt dat de datadiefstal groter is dan gemeld noch dat er gedupeerden niet zouden zijn geïnformeerd”, aldus De Jonge.

De minister vervolgt zijn verhaal en zegt dat GGD GHOR tot twee keer toe RTL Nieuws heeft benaderd met de vraag om de bestanden te delen met de politie of de gezondheidsinstantie. RTL Nieuws heeft dit verzoek op journalistieke gronden beide keren naast zich neergelegd. Om die reden kan minister De Jonge niet zeggen of het aantal slachtoffers wel of niet groter is. “Omdat RTL de bestanden niet wil delen (en stelt deze inmiddels verwijderd te hebben) kan niet worden vastgesteld of dit gaat om de persoonsgegevens van mensen die nog niet door de GGD geïnformeerd zijn”, zo schrijft De Jonge aan de Tweede Kamer.

De minister zegt verder dat externe partijen onderzoek hebben gedaan naar de datadiefstal binnen CoronIT en HPZone. Daarbij zijn geen aanwijzingen gevonden dat de datadiefstal groter is dan gemeld. De politie verricht strafrechtelijk onderzoek naar de kwestie. Op basis van de bestanden die bij zeven verdachten zijn aangetroffen, heeft GGD GHOR een excuusbrief gestuurd naar 1.250 slachtoffers. “Een organisatie kan alleen mensen informeren waarvan zij weet dat zij gedupeerd zijn”, verklaart minister De Jonge. Hij vraagt mensen die meer informatie hebben om deze te delen met de politie.

Informatiebeveiliging is volgens de minister GGD op orde

Hijinks vraag over hoe het gesteld is met de informatieveiligheid bij de GGD, antwoordt minister De Jonge dat de GGD direct na het incident aanvullende maatregelen heeft getroffen om datadiefstal te detecteren en tegen te gaan. Dan moet je denken aan het grotendeels uitschakelen van de print- en exportfunctie, beperken van de zoekmogelijkheden in de IT-systemen en het vergroten van het aantal controles om misbruik te voorkomen. Verder zijn er externe audits uitgevoerd, hebben experts de systemen doorgelicht en is de VOG-administratie (Verklaring Omtrent Gedrag) op orde gebracht.

Voor de uitkomsten van de externe audits die zijn uitgevoerd verwijst minister De Jonge naar diverse brieven die hij in mei en juni naar de Tweede Kamer heeft gestuurd.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen