Ministerie van Volksgezondheid aangeklaagd wegens groot GGD-datalek

Stichting ICAM begint een collectieve rechtszaak tegen het ministerie van Volksgezondheid, Welzijn en Sport (VWS) vanwege het grote datalek dat begin 2021 bij de GGD werd ontdekt. De privé-informatie van 6,5 miljoen Nederlanders kon misbruikt worden. Volgens de stichting draagt het ministerie de verantwoordelijkheid voor de informatiesystemen van de GGD.

Callcentermedewerkers maakten op grote schaal misbruik van toegang tot de persoonlijke informatie van meer dan 6,5 miljoen Nederlanders, zo bleek eerder dit jaar. Deze informatie werd door medewerkers in bulk gedownload en online verkocht aan criminelen. Het GGD-datalek is qua omvang het grootste dat Nederland ooit heeft gekend.

Systemen voor bron- en contactonderzoek, testen en vaccinatie misbruikt
Een RTL Nieuws-journalist maakte eind januari als eerste melding van het datalek bij de GGD. Hij legde via besloten chatgroepen de hand op een bestand met daarin de privégegevens van zeker 600 personen. Deze gegevens bleken afkomstig uit twee IT-systemen van de GGD - systemen voor het maken van test- en vaccinatie-afspraken en voor bron- en contactonderzoek.

Toegang tot persoonlijke en medische informatie
De systemen waren oorspronkelijk bedoeld voor een klein team artsen, maar werden in 2020 toegankelijk gemaakt voor meer dan tienduizend nieuwe callcentermedewerkers. Zij hadden vrij toegang tot onder meer BSN-nummers, adressen en telefoonnummers, maar ook medische informatie, testresultaten en personen met wie de betreffende persoon in de dagen daarvoor in contact was geweest. Via een exportfunctie kon deze informatie eenvoudig worden gedownload.

Informatie van GGD aan criminelen verkocht
Hier is grootschalig misbruik van gemaakt: informatie van vrienden, familie en BN’ers werden ingezien en vrijuit gedeeld via WhatsApp. Andere callcentermedewerkers gingen nóg verder en boden de informatie in besloten chatgroepen te koop aan criminelen. Zeker zeven medewerkers werden opgepakt door de politie, waarvan er inmiddels twee zijn veroordeeld.

Stichting ICAM: ‘Snelheid is geen excuus’
‘Snelheid is geen excuus om de meest basale privacy- en beveiligingsmaatregelen opzij te schuiven’, zegt Astrid Oosenbrug, oud-Tweede Kamerlid voor de PvdA en woordvoerder van Stichting ICAM. ‘Er is door het ministerie van VWS een onaanvaardbaar risico genomen met de persoonsgegevens van miljoenen mensen.’ Omdat de overheid meer gevoelige informatie over haar burgers bezit dan wie dan ook, moeten die burgers kunnen vertrouwen op zorgvuldigheid van de overheid, vindt Oosenbrug. ‘Hoe geloofwaardig is een overheid die strenge privacyregels en forse boetes voor anderen opstelt, maar de regels zelf niet naleeft en geen boetes hoeft te betalen?’

Omvang van datadiefstal nog steeds onduidelijk
Een jaar na ontdekking kent het ministerie de omvang van de datadiefstal nog steeds niet. De GGD en het ministerie hebben pas van 1.250 mensen vastgesteld dat hun data zijn gestolen en hen een excuusbrief gestuurd. Echter, toen RTL Nieuws een steekproef deed met de dataset die het had gevonden, bleek dat iedereen wiens data daarin voorkwam, geen brief van het ministerie had gekregen.

Ministerie van VWS verwijderde exportfunctie pas na maanden
Pas negen maanden na de eerste waarschuwingen over misbruik schakelde het ministerie de exportfunctie uit. ‘Dit kan moeilijk naïviteit genoemd worden,’ zegt advocaat Douwe Linders, die ICAM vertegenwoordigt in de collectieve rechtszaak. ‘Eerder een ingecalculeerd risico waarbij men tot het laatste moment heeft gewacht om in te grijpen. De GGD en het ministerie reageerden achteraf geschokt, maar er is maandenlang door zowel werknemers als deskundigen voor misbruik gewaarschuwd. Kennelijk zijn er meer prikkels nodig om minister De Jonge het belang van zorgvuldige omgang met persoonsgegevens te laten inzien. Hij hoort zelf verantwoordelijkheid te nemen, in plaats van dit af te schuiven op anderen, zoals de GGD’en. Dit is een belangrijke reden voor ICAM om deze collectieve procedure te starten.’

ICAM stelt dat het ministerie de AVG niet heeft nageleefd. De AVG schrijft voor persoonlijke gegevens het principe voor van ‘dataminimalisatie’, wat betekent dat organisaties moeten beperken wie toegang krijgt tot data, en alleen toegang mogen verlenen tot de noodzakelijke gegevens. Volgens de stichting had het ministerie duidelijker moeten afspreken hoe ingehuurde partijen met de persoonlijke data mochten omgaan. Daarnaast had fraudegevoelige informatie - bijvoorbeeld BSN-nummers - versleuteld moeten worden na registratie, om een extra beveiligingslaag in te bouwen.

Stichting ICAM vordert een schadevergoeding van 500 euro voor iedereen wiens gegevens in de GGD-systemen zaten en dus kwetsbaar waren voor diefstal. Ze vordert 1.500 euro voor iedereen waarvan bewijs is dat gegevens zijn gestolen. Wie zich wil aanmelden voor de claim, kan dat de komende maanden doen via www.datalek-ggd.nl.

Wat is Stichting ICAM?
ICAM is een onafhankelijke organisatie zonder winstoogmerk. De stichting komt op voor de belangen van groepen mensen die schade lijden door toedoen van grote organisaties. Een procesfinancier financiert de collectieve rechtszaak. Hierdoor kunnen burgers zonder kosten vooraf meedoen, op basis van een no cure no pay-regeling. De zaak wordt inhoudelijk behandeld door een team van het bureau SOLV Advocaten onder leiding van Douwe Linders.