SP wil opheldering over omvang datalek GGD

Geparkeerde auto van de GGD-afdeling Amsterdam

De Socialistische Partij (SP) wil het naadje van de kous weten over de omvang van het datalek bij de GGD, dat begin dit jaar werd geconstateerd. De partij wil weten wat er klopt van het bericht dat er veel meer gedupeerden zijn dan de eerder gemelde 1.250 mensen. Tevens moet het kabinet antwoord geven op de vraag hoe het nu is gesteld met de informatiebeveiliging van de IT-systemen waar de persoonsgegevens van afkomstig zijn.

Dat blijkt uit schriftelijke vragen van Maarten Hijink (SP).

1.250 Nederlanders ontvangen excuusbrief van GGD

Begin dit jaar onthulde RTL Nieuws een grootschalig datalek bij de GGD. Via de print- en exportfunctie van twee IT-systemen wisten medewerkers de privégegevens van Nederlanders te achterhalen. Het ging om onder meer namen, adressen, telefoonnummers, geboortedata, e-mailadressen, burgerservicenummers en nationaliteit. Via kanalen als Snapchat, Wickr en Telegram verkochten kwaalwillige werknemers deze gegevens. Cybercriminelen kunnen deze gegevens gebruiken voor phishingidentiteitsfraude of stalking.

Uit politieonderzoek bleek dat de persoonsgegevens van duizend Nederlanders illegaal waren verhandeld. “We betreuren ten zeerste dat deze diefstal heeft plaatsgevonden. We zijn ons ervan bewust dat uw vertrouwen in de GGD’en mogelijk beschadigd is. We bieden dan ook onze oprechte excuses aan voor de eventuele gevolgen die dit incident voor u heeft. Daarnaast hopen we uw vertrouwen terug te winnen”, zo schreef GGD GHOR, de overkoepelende instantie van alle GGD-afdelingen in Nederland, in een excuusbrief aan de gedupeerden.

In juni bleek het aantal slachtoffers hoger te liggen, namelijk 1.250. Ook zij ontvingen een brief van de koepelorganisatie waarin ze haar excuses aanbood voor het ongemak.

‘Duizenden tot tienduizenden’ slachtoffers niet op de hoogte gebracht

Donderdag kwam RTL Nieuws met het verhaal dat dit slechts het topje van de ijsberg is. Volgens de nieuwszender zijn de persoonsgegevens van ‘vele duizenden tot tienduizenden’ Nederlanders buitgemaakt bij het datalek. De redactie wist de hand te leggen op een dataset van zo’n zeshonderd Nederlanders. Uit deze lijst werden tien willekeurige personen gebeld met de vraag of zij een brief hadden ontvangen van de GGD. Dat was bij niemand het geval.

In een reactie zei de GGD niet bekend te zijn met deze datasets. “Wij kunnen geen mensen informeren van wie wij de identiteit niet kennen”, legde een woordvoerder uit. Volgens hem zijn er geen aanwijzingen dat gedupeerden niet op de hoogte zijn gebracht.

Waarom is niet iedereen geïnformeerd over het datalek?

Zomerreces of niet, voor Maarten Hijink van de SP was dit aanleiding om schriftelijk een aantal vragen te stellen aan demissionair minister van Volksgezondheid, Welzijn en Sport Hugo de Jonge. Het eerste dat hij van de minister wil horen is hoe het mogelijk is dat de GGD geen beeld heeft van de omvang van het datalek. Tevens wil Hijink van minister De Jonge weten wanneer hij op de hoogte is gesteld dat het datalek vele malen omvangrijker is. “Waarom heeft u de Tweede Kamer hier niet van op de hoogte gesteld?” wil hij van de bewindspersoon weten.

De socialist is ook geïnteresseerd in hoe het kan dat slechts 1.250 mensen zijn geïnformeerd over het datalek terwijl het om ‘vele duizenden tot tienduizenden’ slachtoffers gaat. Hijink wil van minister De Jonge weten hoe hij ervoor gaat zorgen dat alle mensen waarvan persoonsgegevens zijn gestolen zo snel mogelijk worden geïnformeerd. “Kunt u een volledig overzicht geven van hoeveel mensen zijn getroffen door de datadiefstal bij de GGD en hoeveel mensen hiervan op de hoogte zijn gesteld?”, zo vraagt het Kamerlid aan de minister.

Is de informatiebeveiliging bij de GGD op orde?

Tot slot is Hijink nieuwsgierig naar de laatste stand van zaken omtrent de informatiebeveiliging bij de GGD. De SP’er wil weten of minister De Jonge inmiddels stappen heeft genomen om de beveiliging van CoronIT en HPzone Lite te verbeteren.

Tijdens een debat in de Tweede Kamer over het datalek beloofde de minister om maatregelen te treffen. Hij gaf opdracht om de print- en exportfunctionaliteit grotendeels uit te schakelen, de zoekmogelijkheden in de IT-systemen te beperken, vaker controles uit te voeren en de VOG-administratie (Verklaring Omtrent Gedrag) op orde te brengen. Ook zou een externe partij een audit laten uitvoeren om de algehele beveiliging van de systemen in kaart te brengen.

Hijink informeert naar de uitkomsten van deze audit. “Zijn daaruit nog resterende risico’s op het gebied van informatieveiligheid naar boven gekomen?”, zo vraagt hij aan De Jonge.

Het Reglement van Orde van de Tweede Kamer zegt dat de minister drie weken de tijd heeft om de schriftelijke vragen te beantwoorden. Echter, het Reglement gaat enkel de werkwijze van de Tweede Kamer en heeft bovendien geen juridische geldingskracht, zeker niet voor ministers en andere kabinetsleden. We moeten dus afwachten wanneer de minister de tijd vindt om een antwoord te geven op de vragen.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen