Bij de coronacallcenters van de GGD ging het dit voorjaar – op het hoogtepunt van de crisis – goed mis. Ruim tienduizend medewerkers van de testlijn konden door een falend systeem toegang krijgen tot persoonlijke gegevens van ruim 6,5 miljoen Nederlanders. Het ging onder meer om namen, adressen, telefoonnummers, geboortedata en burgerservicenummers, maar ook gevoelige medische informatie en zelfs testresultaten. Dergelijke gegevens zijn heel interessant voor cybercriminelen.

Van zeker 1250 mensen is bewezen dat hun vertrouwelijke gegevens uit coronadossiers zijn gestolen en via Telegram aan criminelen zijn verkocht. Dat aantal ligt vermoedelijk veel hoger. Tijdens het onderzoek werden zeven mensen gearresteerd en verloren circa dertig GGD-medewerkers hun baan wegens ongeoorloofd gebruik van de systemen.

Onaanvaardbaar risico

Niet eerder kreeg ons land te maken met een datalek van dergelijke omvang. In een ongemeen fel debat erkende verantwoordelijk minister Hugo De Jonge dat hij ‘scherper’ had moeten toezien op de databeveiliging. Er waren al langer signalen dat de systemen kwetsbaar waren. Dat maakt de overheid hoofdverantwoordelijk voor het ontstane schandaal, vindt Astrid Oosenbrug, die zich al jaren bezighoudt met cyberveiligheid. Zij bereidt met haar nieuwe stichting Icam een rechtszaak voor waarin het ministerie aansprakelijk wordt gesteld. ,,Snelheid is geen excuus om de meest basale privacy- en beveiligingsmaatregelen opzij te schuiven”, zegt ze erover.

Volgens Oosenbrug zijn de computersystemen van de GGD’s verkeerd ingericht. ,,Veel te veel mensen hadden toegang tot de gegevens. Mensen konden zonder controle grote bestanden met persoonsgegevens downloaden. Medewerkers waren niet goed geïnstrueerd, niet goed gescreend en wat ze deden werd niet goed bijgehouden. Dan ben je geen slachtoffer, maar had je zelf beter op je winkel moeten letten.’’

Het ministerie nam een onaanvaardbaar risico door zo ‘laks om te springen met de persoonsgegevens van miljoenen Nederlanders, vindt Oosenbrug. ,,De overheid bezit gevoelige informatie over ons, meer dan wie dan ook. Daardoor moeten burgers erop kunnen vertrouwen dat ze zorgvuldig met hun privacy en dataveiligheid omgaat. Hoe geloofwaardig is een overheid die strenge privacyregels en forse boetes voor anderen opstelt, maar de regels zelf niet naleeft en geen boetes hoeft te betalen?”

Tot verbazing van experts blijkt de beveiliging van persoonsgegevens een jaar na dato nog niet op orde, zo concludeerde de Autoriteit Persoonsgegevens vorige maand in een kritisch rapport. ,,En dat is werkelijk onbestaanbaar”, verzucht advocaat Douwe Linders. ,,Hoe kan het dat het systeem nog zo lek als een mandje is? Het is op deze manier wachten op een nieuw datalek. Het ministerie lijkt niet te willen leren van haar fouten.”

Oosenbrug benadrukt dat ze er begrip voor heeft dat de GGD het druk had met het bestrijden van de corona-uitbraak. ,,We zitten in een pandemie. Die overkomt je, en het is uitlegbaar dat de systemen niet gebouwd zijn om zo veel gegevens van zo veel mensen te verzamelen. Dat kan gebeuren. Maar we zijn bijna twee jaar verder en het is nog steeds niet op orde. Dat vind ik schadelijk.’’

Enorme claim

Om een duidelijk signaal af te geven, vordert de stichting een schadevergoeding van 500 euro voor iedere Nederlander van wie gegevens in de GGD-systemen zaten, en dus gestolen hadden kunnen worden, en nog eens 1500 euro voor iedere Nederlander van wie bewijs is dat zijn of haar gegevens zijn gestolen. Icam opent maandag de website datalek-ggd.nl. Daar kunnen mensen zich aansluiten bij de claim. De schadeclaim loopt daarmee in de miljarden euro’s. Een enorm bedrag, al helemaal in het licht van de crisis, waarin veel getroffen sectoren afhankelijk zijn van financiële steun van de overheid.

Komt zo’n claim dan wel op het goede moment? ,,Hier hebben wij inderdaad over nagedacht, maar zoiets als dit komt nooit op het goede moment”, reageert Linders. ,,Soms heb je geen keuze. Het datalek bij de GGD is begin 2020 ontstaan, negen maanden later ontdekt, en twintig maanden later nog steeds niet gedicht. De criminelen die dit soort informatie willen stelen of misbruiken wachten dit niet af. Er moet dus eerder actie komen en als niemand dat doet, dan moeten de burgers dat kennelijk zelf doen via een collectieve actie als deze. En in tegenstelling tot een boete van de Autoriteit Persoonsgegevens komt de schadevergoeding die we claimen terecht waar die terecht zou moeten komen: bij de gedupeerden zelf.”

Volgens RTL Nieuws werd de GGD al maanden voor de datadiefstal gewaarschuwd door eigen medewerkers over de kwetsbaarheden rond de coronasystemen. Deze zorgen zouden leidinggevenden hebben weggewuifd. Inmiddels zijn er wel veiligheidsmaatregelen getroffen en zijn er ‘uit voorzorg diverse systeemaanpassingen gedaan’. Zo is de zoekfunctie beperkt en de groep personen die gegevens uit de systemen kan exporteren aanzienlijk verkleind. Ten slotte wordt nog gewerkt aan vervanging van de ict-systemen voor bron- en contactonderzoek.

Stichting Icam wil eerst in gesprek met het ministerie. Als dat niets oplevert ‘dan verwachten we in februari de dagvaarding uit te kunnen sturen’. Het ministerie van Volksgezondheid, Welzijn en Sport was zondag niet in de gelegenheid een reactie te geven.

Bron: ad.nl