Levendige handel in privégegevens afkomstig uit IT-systemen GGD

Serverroom in een datacentrum

Cybercriminelen en hackers handelen op grote schaal in privégegevens van Nederlanders. Via chatdiensten als Telegram en Snapchat worden al maanden persoonsgegevens uit meerdere IT-systemen van de GGD verkocht. Afgelopen weekend heeft de politie twee personen gearresteerd die verdacht worden van illegale datahandel.

Dat schrijft Daniël Verlaan, techjournalist bij RTL Nieuws. Hij heeft een dataset ingezien van honderden Nederlanders. Volgens de persoon die de dataset aanleverde aan de techjournalist, was dit slechts het topje van de ijsberg.

Data is afkomstig uit CoronIT en HPzone Lite

De gegevens zijn afkomstig uit twee IT-systemen van de GGD: CoronIT en HPzone Lite. CoronIT is het systeem dat de GGD gebruikt om de gegevens van Nederlanders te noteren die een coronatest hebben laten afnemen, een afspraak voor een test maken of een testuitslag hebben ontvangen. HPzone Lite is het informatiesysteem dat de GGD aanwendt om bron- en contactonderzoek te verrichten.

Voor beide systemen geldt dat ze volstaan met privégegevens van duizenden en duizenden Nederlanders. Dan moet je denken aan voor- en achternaam, woonadres, contactgegevens (telefoonnummer en e-mailadres) en burgerservicenummer. Allemaal gegevens waarvan je niet wil dat ze in de verkeerde handen terecht komen. Hackers misbruiken deze gegevens om identiteitsfraude te plegen, maar ook voor phishing en stalking.

Verlaan: ‘Levendige handel in privégegevens’

Bronnen vertellen tegenover Daniël Verlaan dat het door de coronacrisis makkelijker is om gegevens door te sluizen naar criminelen. Oplichters kopen medewerkers om die toegang hebben tot de systemen. Een andere methode is dat ze actief mensen met toegang tot de IT-systemen van de GGD zoeken en hen betalen voor de inloggegevens van deze systemen. Cybercriminelen bieden de medewerkers tot wel enkele honderden euro’s per dag om deze gegevens door te spelen.

Zo’n 26.000 GGD- en callcentermedewerkers, maar ook instanties als het Rode Kruis en de ANWB hebben toegang tot (een deel van) deze data. Ieder van hen kan in theorie de privégegevens hebben doorgespeeld aan de daders.

Verlaan schrijft dat er een levendige handel is in deze privégegevens. Volgens hem worden er al maandenlang gegevens aangeboden die afkomstig zijn uit de IT-systemen van de GGD. De handel vindt plaats via applicaties als Telegram, Snapchat en Wickr. De gegevens opvragen van een specifiek persoon kost volgens de techjournalist gemiddeld tussen de 30 en 50 euro. Sommige criminelen bieden datasets aan met de privégegevens van tienduizenden Nederlanders. Daar vragen ze enkele duizenden euro’s voor.

GGD treft aanvullende maatregelen

De GGD was niet op de hoogte van het datalek en de handel in persoonsgegevens. “Wij zijn verantwoordelijk voor de veiligheid van onze systemen. Iedereen die zich bij ons laat testen moet daar op kunnen vertrouwen”, zo laat André Rouvoet, oud-voorman van de ChristenUnie en momenteel voorzitter van de GGD GHOR.

Toen Verlaan het lek afgelopen vrijdag bij de GGD meldde, trof de organisatie direct maatregelen. Medewerkers moeten een Verklaring Omtrent Gedrag (VOG) aanleveren en een geheimhoudingsclausule ondertekenen. Ook voert de GGD steekproefsgewijs controles uit. Volgens de GGD zijn hierdoor de afgelopen tijd tientallen medewerkers gecontroleerd en ontslagen. Tot slot laat de GGD de monitoring van haar systemen opschalen. Eind maart moeten de systemen ‘automatisch en continu’ worden gecontroleerd.

Politie arresteert twee verdachten

De politie Midden-Nederland arresteerde afgelopen weekend twee verdachten. Het gaat om een 21-jarige man uit Heiloo en een 23-jarige man uit Alblasserdam. Beiden werkten in het callcenter van de GGD. De politie doorzocht hun woningen en nam daarbij hun computers in beslag. De verdachten worden dinsdag aan de rechter-commissaris voorgeleid.

Het stelen en doorverkopen van persoonsgegevens is volgens Jeroen Niessen van het cybercrimeteam van de politie Midden-Nederland een ernstig misdrijf. “Politie en Openbaar Ministerie zitten hier bovenop. De GGD heeft afgelopen vrijdag bij ons een melding gedaan van de datadiefstal. Wij zijn daarop direct een groot onderzoek gestart en hebben in deze zaak binnen 24 uur twee mensen aangehouden. Meer aanhoudingen worden zeker niet uitgesloten. Het onderzoek gaat verder, onder meer naar de omvang van de datadiefstal.”

De Autoriteit Persoonsgegevens is op de hoogte van het datalek. Een woordvoerder vertelt tegenover RTL Nieuws dat de kwestie ‘zeer ernstig’ is. De toezichthouder heeft de GGD dan ook om opheldering gevraagd.

Update (2 februari 2021): de politie heeft dinsdag 2 februari een derde verdachte aangehouden op verdenking van datadiefstal. Het gaat om een 25-jarige man uit Amstelveen, zo schrijft de politie. Meer details over de arrestatie en verdachte zijn niet kenbaar gemaakt.

Update (3 februari 2021): inmiddels is een vierde verdachte aangehouden door het cybercrimeteam van de politie Midden-Nederland. Het gaat om een 22-jarige man uit Heiloo, zo meldt de politie. Het is onbekend of agenten zijn huis hebben doorzocht of apparatuur in beslag hebben genomen. De politie roept iedereen op alert te zijn en alle regels en adviezen van de Autoriteit Persoonsgegevens op te volgen. Mocht je iemand op Telegram of elders aantreffen die persoonsgegevens verkoopt, neem dan contact op met de politie.

Update (4 februari 2021): de politie laat weten dat ze een vijfde verdachte heeft aangehouden. Het betreft een 21-jarige man uit Rotterdam. De politie sluit niet uit dat er nog meer arrestaties zullen volgen in deze zaak.

Update (15 februari 2021): vrijdag 12 februari heeft de politie een 18-jarige man uit Den Haag aangehouden op verdenking van illegale handel in persoonsgegevens. Het onderzoek naar de datadiefstal gaat onverminderd door. De politie sluit niet uit dat er meerdere aanhoudingen zullen volgen. 

Update (26 februari 2021): woensdag 24 februari is een zevende verdachte van datadiefstal aangehouden, zo bevestigt de politie op haar website. Het gaat om een 19-jarige man uit Nootdorp. Techjournalist Daniël Verlaan, die het balletje aan het rollen bracht, zegt op Twitter dat er woensdagavond een achtste verdachte is opgepakt. Meer details over deze arrestatie volgen op korte termijn.

GGD heeft de nodige privacyschandalen op zijn naam staan

Het is niet de eerste keer dat de GGD in verlegenheid wordt gebracht vanwege het lekken van privacygevoelige gegevens. Afgelopen september deed een man uit Steenwijk zijn verhaal. Hij volgde een training bij callcenterbedrijf Teleperformance om aan de slag te gaan bij de coronatestlijn, waarbij het toegang kreeg tot het systeem.

Tijdens het traject kreeg hij te horen dat hij te horen dat hij de training niet mocht afmaken. Op dat moment had de GGD zijn autorisatie moeten intrekken, maar dat gebeurde niet. Een maand later kon de man nog steeds inloggen in het systeem en gegevens van willekeurige Nederlanders raadplegen. Uit intern onderzoek van het callcenterbedrijf bleek dat in totaal 38 keer was misgegaan. Voor de Autoriteit Persoonsgegevens was dit aanleiding om een onderzoek in te stellen.

In november kwam naar boven dat enkele medewerkers van de GGD de dossiers van bekende Nederlanders hadden bekeken. Eén van de slachtoffers zou Ahmed Aboutaleb zijn, de burgemeester van Rotterdam.

Update (27 januari 2021): de berichtgeving van RTL Nieuws zorgt voor zoveel opschudding, dat de telefoon roodgloeiend staat bij de Autoriteit Persoonsgegevens. Via een persbericht laat de toezichthouder weten dat ze veel telefoontjes krijgt van verontruste burgers. Daarom is de dienst momenteel slecht bereikbaar en lopen de wachttijden op.

“We begrijpen uw bezorgdheid. Maar met uw vragen en klachten moet u in eerste instantie contact opnemen met de GGD (…) De AP gaat pas met uw klacht aan de slag als u de klacht eerst schriftelijk heeft ingediend bij de GGD zelf. En u het bewijs daarvan bij de AP heeft aangeleverd”, schrijft de toezichthouder. Mensen die daarna alsnog met vragen zitten of een klacht willen indienen, kunnen hiervoor een klachtenformulier invullen op de website van de Autoriteit Persoonsgegevens.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen