GGD: ‘Gegevens 1.250 Nederlanders gestolen en verkocht’

Logo van GGD Amsterdam op de gevel van het pand

Ongeveer 1.250 Nederlanders zijn de dupe geworden van de datadiefstal bij de GGD begin dit jaar. Het gaat om mensen die een coronatest hebben laten doen bij de GGD, of zich daar hebben laten vaccineren. De slachtoffers zijn hierover een brief ontvangen.

Dat schrijft GGD GHOR, de overkoepelende organisatie van alle GGD-afdelingen, in een update.

GGD wordt geconfronteerd met grootschalig datalek

In januari ontdekte kwam RTL Nieuws een levendige handel in persoonsgegevens bij de GGD op het spoor. Via twee IT-systemen -CoronIT en HPzone Lite- wisten medewerkers namen, adressen, telefoonnummers, geboortedata, e-mailadressen, burgerservicenummers en nationaliteit te achterhalen. In CoronIT zijn Nederlanders opgenomen die een afspraak hebben gemaakt voor een coronatest. HPzone Lite wordt gebruikt om bron- en contactonderzoek te verrichten. Via de print- en exportfunctie van de systemen werden persoonsgegevens van Nederlanders binnengehaald. Deze data werd vervolgens via kanalen als Snapchat, Telegram en Wickr verkocht.

Uit onderzoek is gebleken dat medewerkers maandenlang toegang hadden tot miljoenen persoonsgegevens die waren opgeslagen in de computersystemen. Het bestuur van de GGD werd in de zomer van 2020 op de hoogte gesteld van het datalek, maar besloot om niet in te grijpen. Hugo de Jonge, demissionair minister van Volksgezondheid, Welzijn en Sport, was op de hoogte van lek, maar deed niets met deze informatie. Er volgde een zwaar en moeizaam debat in de Tweede Kamer, wat de minister op veel kritiek kwam te staan. In een voortgangsbrief erkende de minister zijn fouten en beloofde strakker te zullen sturen.

Om de daad bij het woord te voegen, trof De Jonge allerlei maatregelen om herhaling te voorkomen. Hij gaf opdracht om de print- en exportfunctionaliteit grotendeels uit te schakelen, de zoekmogelijkheden in de IT-systemen te beperken, vaker controles uit te voeren en de VOG-administratie (Verklaring Omtrent Gedrag) op orde te brengen.

Meer slachtoffers bij datalek GGD

In maart maakte GGD GHOR kenbaar dat de persoonsgegevens van ongeveer duizend Nederlanders was ingezien en mogelijk verkocht. Zij ontvingen van de gezondheidsinstantie een brief waarin ze haar excuses aanbood voor de gang van zaken. “We betreuren ten zeerste dat deze diefstal heeft plaatsgevonden. We zijn ons ervan bewust dat uw vertrouwen in de GGD’en mogelijk beschadigd is. We bieden dan ook onze oprechte excuses aan voor de eventuele gevolgen die dit incident voor u heeft. Daarnaast hopen we uw vertrouwen terug te winnen”, zo schreef GGD GHOR.

In een updatebericht schrijft GGD GHOR dat het politieonderzoek nog steeds in volle gang is. Daaruit is gebleken dat de persoonsgegevens van zo’n 1.250 Nederlanders is ingezien, gestolen en mogelijk verkocht. Alle gedupeerden krijgen of hebben inmiddels een brief ontvangen over het datalek. “Als uit het politieonderzoek de gegevens van andere gedupeerden naar voren komen, dan sturen wij die ook een brief”, aldus GGD GHOR.

In een brief aan de Tweede Kamer schrijft demissionair minister De Jonge dat de Fraudehelpdesk 75 meldingen heeft ontvangen waarin de GGD wordt genoemd. Volgens de minister is één van de meldingen direct te relateren aan het datalek bij de GGD. De Jonge sluit niet uit dat er aangiftes aan het datalek gerelateerd zijn. “Aan gedupeerden wordt de mogelijkheid aangeboden om hulp te krijgen van Slachtofferhulp Nederland”, aldus minister De Jonge.

Eerste verdachten erkennen schuld

In totaal heeft de politie zeven verdachten gearresteerd naar aanleiding van het datalek. Twee verdachten, Mourad Z. en Amin L., moesten zich begin mei bij de rechtbank van Utrecht verantwoorden voor hun daden. Beiden erkenden schuld en zeiden dat ze niet beseften dat ze niet door andermans dossiers mochten spitten.

De advocaten van de verdachten pleitten dat de GGD medeschuldig was aan het datalek. De training die nieuwe medewerkers kregen deugde volgens hen niet. Om die reden waren hun cliënten niet bewust van de risico’s van het lekken van vertrouwelijke gegevens. Bovendien werkten ze van thuis uit en was ‘doorklikken en afvinken’ de belangrijkste taak van potentiële werknemers. Tot slot was het onoorbaar dat de GGD medewerkers toegang gaf tot zo veel gevoelige privégegevens en grepen leidinggevenden niet in toen er foto’s met uiteenlopende persoonsgegevens via WhatsApp-groepen werden gedeeld.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen