Stichting ICAM bereidt een financiële claim voor tegen het ministerie van Volksgezondheid, Welzijn en Sport. Aanleiding voor de claim is het datalek bij de GGD, dat begin dit jaar aan het licht kwam. Als een gesprek met het departement niets oplevert, stapt de stichting naar de rechter.
Dat schrijven diverse media, waaronder de NOS en het Algemeen Dagblad.
GGD krikt beveiliging persoonsgegevens op
Begin dit jaar onthulde RTL Nieuws een grootschalig datalek bij de GGD. Duizenden medewerkers hadden toegang tot de persoonsgegevens van iedereen die zich hadden laten testen op corona, een testafspraak hadden gemaakt of deel uitmaakten van bron- en contactonderzoek. Naar schatting gaat het om zo’n 6,5 miljoen Nederlanders. Het ging onder meer voor- en achternamen, woonadressen, contactgegevens, geboortedata, burgerservicenummers en medische gegevens.
Vanwege de omvang van het lek deed de Autoriteit Persoonsgegevens onderzoek naar de wijze waarop de GGD de gegevens beveiligde. De toezichthouder concludeerde afgelopen maand dat de beveiliging heel wat te wensen over liet. Zo was er onduidelijkheid over het autorisatiebeheer en de controle van logbestanden. “Hierdoor is onvoldoende duidelijk wie waarvoor verantwoordelijk is en wie welke maatregelen in dit verband dient te treffen. Dat vergroot de kans op nieuwe tekortkomingen in de beveiliging van persoonsgegevens”, zo schreef de toezichthouder.
Verder ontbraken duidelijke afspraken over beveiligingsmaatregelen tussen GGD GHOR, de 25 GGD-afdelingen en samenwerkingspartners als callcenters, alarmcentrales, uitzendbureaus en IT-leveranciers. De meeste aanbevelingen zijn de afgelopen maanden geïmplementeerd door de GGD. De gezondheidsinstantie schakelde de print- en exportfunctionaliteit grotendeels uit, beperkte de zoekmogelijkheden in de IT-systemen, en laat meer interne controles en externe audits uitvoeren om misbruik te voorkomen. Verder is de VOG-administratie (Verklaring Omtrent Gedrag) op orde gebracht, zodat alleen medewerkers van onbesproken gedrag privacygevoelige gegevens kunnen inzien.
Volgens de officiële cijfers zijn er persoonsgegevens van 1.250 Nederlanders verkocht. RTL Nieuws betwistte dat en stelde in augustus dat de gegevens van veel meer Nederlanders zijn verkocht. Volgens demissionair minister Hugo de Jonge (Volksgezondheid) zijn er geen aanwijzingen dat er meer slachtoffers zijn dan de genoemde 1.250 mensen. De eerste verdachten zijn inmiddels veroordeeld door de rechtbank.
‘Snelheid is geen excuus’
Stichting ICAM vindt dat het ministerie van Volksgezondheid verantwoordelijk en aansprakelijk is voor het datalek. De stichting, onder leiding van voormalig PvdA-Kamerlid Astrid Oosenbrug, zegt dat de IT-systemen van de GGD-afdelingen verkeerd zijn ingericht. “Veel te veel mensen hadden toegang tot de gegevens. Mensen konden zonder controle grote bestanden met persoonsgegevens downloaden. Medewerkers waren niet goed geïnstrueerd, niet goed gescreend en wat ze deden werd niet goed bijgehouden. Dan ben je geen slachtoffer, maar had je zelf beter op je winkel moeten letten”, aldus Oosenbrug tegenover het AD.
Minister De Jonge heeft tegenover de Tweede Kamer ruiterlijk erkend dat hij scherper had moeten toezien op de beveiliging van de persoonsgegevens. “Snelheid is geen excuus om de meest basale privcacy- en beveiligingsmaatregelen opzij te schuiven”, vindt Oosenbrug. Ze vindt dat de bewindsman hierdoor een ‘onaanvaardbaar risico’ nam.
Stichting ICAM eist miljarden van ministerie
Advocaat Douwe Linders staat Stichting ICAM bij. Zij vindt het onbegrijpelijk dat het huidige systeem ‘nog zo lek als een mandje is’. “Het datalek bij de GGD is begin 2020 ontstaan, negen maanden later ontdekt, en twintig maanden later nog steeds niet gedicht”, zo vertelt Linders. Zij meent dat het ministerie hardleers is en niet van haar fouten leert. “Er moet dus eerder actie komen en als niemand dat doet, dan moeten de burgers dat kennelijk zelf doen via een collectieve actie als deze.”
Voordat Stichting ICAM er daadwerkelijk een rechtszaak van maakt, wil ze eerst in gesprek met het ministerie van Volksgezondheid. Als het gesprek niets oplevert, dan gaat er een dagvaarding uit. Naar verwachting ligt deze in februari volgend jaar op de deurmat van het departement.
Een eventuele rechtszaak wordt gefinancierd door een anonieme geldschieter. Mocht het tot een schikking komen, dan krijgt hij een percentage van 20 procent van de totale opbrengst. Stichting ICAM wil een schadevergoeding van 500 euro voor iedereen die in de databank van de GGD was opgenomen. Iedereen waarvan de persoonsgegevens aantoonbaar van zijn verkocht, heeft volgens de stichting recht op 1.500 euro. Alles bij elkaar opgeteld komt de schadeclaim uit op meer dan 3,2 miljard euro.
Het ministerie heeft vooralsnog niet gereageerd op de kwestie.
Update (7 december 2021): ongeveer 25.000 mensen hebben zich inmiddels aangesloten bij de collectieve schadeclaim tegen het ministerie van Volksgezondheid, zo meldt NU.nl. Mensen die willen meedoen kunnen zich gratis aanmelden. De kosten van het proces worden voorgeschoten door Liesker Procesfinanciering uit Breda. Als de schadeclaim wordt toegewezen, krijgt het advocatenkantoor 20 procent van de vergoeding (met een maximum van vijf keer het bedrag dat het kantoor voorschiet).
Update (25 januari 2022): Stichting ICAM laat weten dat zich in anderhalve maand tijd meer dan 80.000 mensen zich hebben gemeld. De stichting heeft naar eigen zeggen al diverse meldingen van slachtoffers ontvangen wiens persoonsgegevens wellicht zijn misbruikt. Half februari komt de stichting met een ‘uitvoerige update’ over de massaclaim.
