Opnieuw datalek bij GGD, gegevens 460 mensen gedeeld via groepsmail

Geparkeerde auto van de GGD-afdeling Amsterdam

De GGD wordt opnieuw geconfronteerd met een datalek. Lichtpuntje is dat het lek ditmaal niet zo omvangrijk is als de eerste keer en er geen persoonsgegevens van Nederlanders zijn doorverkocht. Door een menselijke fout bij het bron- en contactonderzoek naar aanleiding van een feest in Groenlo, zijn de contactgegevens van 460 mensen onbedoeld openbaar gemaakt. Het incident is gemeld bij de Autoriteit Persoonsgegevens.

Dat schrijft de Gelderlander.

E-mailadressen per ongeluk in cc-veld geplaatst in plaats van bcc-regel

Afgelopen zaterdag was er een feest in discotheek City Lido in het Gelderse Groenlo. Ondanks de strenge controle bij de deur, liep er een aantal mensen rond die besmet waren met het coronavirus. Een van de bezoekers meldde zondagochtend bij de eigenaar van de discotheek dat hij positief getest was. Vlak daarvoor had hij zich laten inenten met het Janssen-vaccin. De QR-code in de CoronaCheck-app kwam echter niet door, waarop hij besloot om zich te laten testen. Toen de QR-code alsnog in de app verscheen, heeft hij de uitslag niet meer bekeken. Tot de volgende dag. Toen kwam hij erachter dat hij positief getest was.

Daarop startte de regionale GGD-afdeling bron- en contactonderzoek. Daarbij is er door de instantie een e-mail verstuurd naar honderden bezoekers van de discotheek. De e-mailadressen waren echter niet afgeschermd. In plaats van de mailadressen in het bcc-veld te plaatsen (blind carbon copy), waren ze opgenomen in het cc-veld (carbon copy). Zodoende waren de e-mailadressen voor iedereen zichtbaar. In totaal gaat het om 460 bezoekers waarvan het e-mailadres per ongeluk op straat is beland.

Datalek is gemeld bij de Autoriteit Persoonsgegevens

Jan Willem Brethouwer, manager publieke gezondheid GGD Noord- en Oost-Gelderland, benadrukt dat het om een menselijke fout gaat. “Wij betreuren zeer dat de gegevens van 460 bezoekers op deze manier bij de andere bezoekers terecht zijn gekomen. We hebben de betrokkenen geïnformeerd en excuses aangeboden. Het proces wordt na dit incident onder de loep genomen”, zo vertelt hij tegenover de Gelderlander.

Brethouwer zegt dat er geprobeerd is om de e-mail in te trekken. Bij een groot deel van de ontvangers is dat gelukt, maar niet bij allemaal. Volgens Europese privacy wet- en regelgeving is er sprake van een datalek. Dat betekent dat het lek binnen 72 uur gemeld moet worden bij de nationale privacywaakhond. In ons land is dat de Autoriteit Persoonsgegevens. Dat heeft de GGD dan ook gedaan. Of de fout nog gevolgen heeft voor de GGD, is onbekend.

De GGD laat weten dat er na het feest drie positieve PCR-tests zijn. Mogelijk loopt dat aantal de komende dagen nog op. Een vergelijkbaar incident deed zich onlangs voor bij discotheek Aspen Valley in Enschede. Bij een avondje stappen bleek ten minste één bezoeker besmet te zijn met het coronavirus. Van de 800 jongeren die de bewuste avond de discotheek bezochten, zijn er inmiddels 189 positief getest. Om die reden houdt de eigenaar zijn zaak voorlopig dicht.

Niet het eerste datalek bij de GGD

Het is niet het eerste datalek waarmee de GGD geconfronteerd wordt. In januari legde RTL Nieuws bloot dat medewerkers via twee IT-systemen persoonsgegevens van Nederlanders verzamelden en verkochten via kanalen als Snapchat, Telegram en Wickr. Het ging om zaken als namen, woonadressen, telefoonnummers, geboortedata, e-mailadressen, burgerservicenummers en nationaliteit.

Demissionair minister van Volksgezondheid, Welzijn en Sport Hugo de Jonge nam allerlei maatregelen om herhaling te voorkomen. Hij gaf opdracht om de print- en exportfunctionaliteit grotendeels uit te schakelen, de zoekmogelijkheden in de IT-systemen te beperken, vaker controles uit te voeren en de VOG-administratie (Verklaring Omtrent Gedrag) op orde te brengen.

Uit politieonderzoek is gebleken dat de persoonsgegevens van zo’n 1.250 Nederlanders is ingezien, gestolen en mogelijk verkocht. De gedupeerden zijn hierover geïnformeerd. GGD GHOR, de overkoepelende organisatie van alle GGD-afdelingen, zegt dat als er meer slachtoffers blijken te zijn, zij eveneens op de hoogte worden gebracht.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen