zoeken binnen de website

GGD-datalek leidt tot collectieve rechtszaak tegen ministerie van VWS

Het ministerie van Volksgezondheid, Welzijn en Sport moet aansprakelijk gehouden worden voor het datalek dat begin dit jaar bij de GGD is ontdekt. Dat eist stichting ICAM in een collectieve procedure tegen het ministerie. Eerder dit jaar werd bekend dat door callcenter medewerkers grootschalig misbruik is gemaakt van de toegang tot de privé-informatie van ruim 6,5 miljoen Nederlanders.

Ook werd deze informatie door medewerkers in bulk gedownload en online doorverkocht aan criminelen. Het GGD-datalek is qua omvang het grootste dat Nederland ooit heeft gekend.

Een RTL Nieuws journalist maakte eind januari als eerste melding van het datalek bij de GGD. Hij legde via besloten chatgroepen de hand op een bestand met daarin de privégegevens van zeker 600 personen. Deze gegevens bleken afkomstig uit twee IT-systemen van de GGD voor het maken van test- en vaccinatie-afspraken en voor bron- en contactonderzoek. De systemen waren oorspronkelijk bedoeld voor een klein team artsen, maar werden in 2020 toegankelijk gemaakt voor meer dan tienduizend nieuwe callcenter medewerkers. Zij hadden vrij toegang tot onder meer BSN-nummers, adressen en telefoonnummers, maar ook medische informatie, testresultaten en personen met wie de betreffende persoon in de dagen daarvoor in contact was geweest. Via een exportfunctie kon deze informatie eenvoudig worden gedownload. Hier is grootschalig misbruik van gemaakt: informatie van vrienden, familie en BN’ers werden ingezien en vrijuit gedeeld via Whatsapp. Andere callcenter medewerkers gingen nóg verder en boden de informatie in besloten chatgroepen te koop aan criminelen. Zeker zeven medewerkers werden opgepakt door de politie, waarvan er inmiddels twee zijn veroordeeld.

“Snelheid is geen excuus om de meest basale privacy- en beveiligingsmaatregelen opzij te schuiven”, zegt Astrid Oosenbrug, oud-Tweede Kamerlid en woordvoerder van Stichting ICAM. “Er is door het ministerie van VWS een onaanvaardbaar risico genomen met de persoonsgegevens van miljoenen mensen. De overheid bezit gevoelige informatie over ons, meer dan wie dan ook. Daardoor moeten burgers erop kunnen vertrouwen dat ze zorgvuldig met hun privacy en dataveiligheid omgaat. Hoe geloofwaardig is een overheid die strenge privacyregels en forse boetes voor anderen opstelt, maar de regels zelf niet naleeft en geen boetes hoeft te betalen?”

Datadiefstal structureel onderschat

Een jaar na ontdekking heeft het ministerie nog steeds niet scherp wat de omvang van de datadiefstal is en hoe ver de consequenties ervan reiken. Het ministerie en de GGD hebben vooralsnog pas van 1.250 personen kunnen vaststellen dat hun gegevens gestolen zijn. Zij hebben een excuusbrief ontvangen. Maar het is inmiddels zeker dat het om veel meer mensen gaat. Zo bleek uit een steekproef van RTL Nieuws dat alle personen wiens gegevens in de door het nieuwsmedium verkregen dataset voorkwamen, geen excuusbrief van het ministerie hadden ontvangen.

Pas negen maanden na de eerste waarschuwingen over misbruik schakelde het ministerie de exportfunctie uit. “Dit kan moeilijk naïviteit genoemd worden, eerder een ingecalculeerd risico waarbij men tot het laatste moment heeft gewacht om in te grijpen. De GGD en het ministerie reageerden achteraf geschokt, maar er is maandenlang door zowel werknemers als deskundigen voor misbruik gewaarschuwd. Kennelijk zijn er meer prikkels nodig om minister De Jonge het belang van zorgvuldige omgang met persoonsgegevens te laten inzien. Hij hoort zelf verantwoordelijkheid te nemen, in plaats van dit af te schuiven op anderen, zoals de GGD’en. Dit is een belangrijke reden voor ICAM om deze collectieve procedure te starten”, aldus advocaat Douwe Linders die stichting ICAM in de rechtszaak vertegenwoordigt.

Volgens de stichting heeft het ministerie van VWS de belangrijkste privacywet (AVG) niet nageleefd. Daarin wordt voor persoonsgegevens onder meer het principe van dataminimalisatie voorgeschreven: organisaties moeten beperken wie er toegang heeft, en alleen tot datgene wat zij daadwerkelijk nodig hebben. Zo had het ministerie bijvoorbeeld veel duidelijkere afspraken over de omgang met deze gegevens moeten maken met alle partijen die door de GGD ingehuurd werden. Ook had fraudegevoelige informatie zoals het BSN-nummer direct na registratie moeten worden versleuteld, om zo een extra beveiligingslaag in te bouwen.

Stichting ICAM vordert een schadevergoeding van € 500 voor iedere persoon van wie gegevens in de GGD-systemen zaten en dus gestolen konden worden. Ze vordert € 1.500 voor iedereen waarvan bewijs is dat gegevens zijn gestolen. De komende maanden kunnen mensen zich aanmelden voor de claim en zich zonder kosten inschrijven via de website www.datalek-ggd.nl.

tags: ,

Reactieformulier

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie. U kunt bij de vormgeving van uw reactie gebruik maken van textile en er is beperkt gebruik van html mogelijk.