De politie heeft twee personen aangehouden die verdacht worden van handel in medische gegevens. Dit nadat RTL Nieuws de illegale handel van miljoenen persoonsgegevens op het spoor was gekomen. Iedereen die getest is op corona loopt het risico slachtoffer te worden van identiteitsfraude.

Eerder kwam al een commercieel testbedrijf negatief in het nieuws vanwege slecht beveiligde persoonsgegevens. Maar dat incident verbleekt volledig in vergelijking met wat nu aan het licht is gekomen. Voor 30 tot 50 euro konden via Telegram, Snapchat en Wickr de afgelopen maanden persoonsgegevens worden gekocht van mensen die zich hebben laten testen op corona en van mensen die via bron- en contactonderzoek in de systemen terecht waren gekomen. Het gaat hierbij om adresgegevens, maar ook om burgerservicenummers (bsn) en medische informatie. Zo konden criminelen heel eenvoudig aan de privéadressen komen van de bedreigde misdaadverslaggevers John van den Heuvel en Peter R. de Vries.

Enorme handel
Het was volgens RTL Nieuws een enorme handel. Er konden ook grote datasets worden aangeschaft met de gegevens van tienduizenden Nederlanders. De onderzoekers schaften zelf ook enkele datasets aan, met toestemming van de betrokkenen. Na betaling met bitcoins of Paysafecard werden deze netjes opgestuurd. Een van de aanbieders gaf inzage in de gegevens van honderden Nederlanders om de interesse te wekken voor een nog veel grotere dataverzameling. Ook konden gegevens van bijvoorbeeld alle Amsterdammers of vijftigplussers worden opgevraagd.

Tienduizenden hebben toegang
Dat het zo mis kon gaan was wellicht te verwachten. Maar liefst 26.000 GGD- en callcentermedewerkers hadden toegang tot de systemen. Een systeem voor bron- en contactonderzoek was ook door medewerkers van het Rode Kruis, de ANWB en een callcenter te raadplegen. Veel medewerkers werken van huis uit, waardoor het niet zo ingewikkeld is om ongemerkt gegevens naar criminelen door te sturen. Mogelijk hebben enkele van hen ook inloggegevens verkocht, waardoor de criminelen zelf in de systemen konden komen om data te stelen. De malafide medewerkers konden met hun praktijken honderden euro’s per dag verdienen, want persoonsgegevens zijn in het illegale circuit veel geld waard. Een aantal illegale verkopers adverteert met foto’s van bekende Nederlanders.

Maatregelen
De GGD zegt niet op de hoogte te zijn van de illegale handel in persoonsgegevens. Na door RTL Nieuws op de hoogte gebracht te zijn, zouden er direct maatregelen worden getroffen. Volgens de GGD hebben medewerkers een Verklaring Omtrent Gedrag, maar al eerder is gebleken dat die geen levenslange garantie voor integriteit biedt. Daarnaast moet een geheimhoudingsverklaring worden ondertekend en vinden steekproefsgewijze controles plaats. Die hebben al enkele keren tot ontslag op staande voet geleid. Er wordt nu gekeken of de systemen beter te beveiligen zijn, zodat medewerkers permanent worden gecontroleerd.

Nader onderzoek
De twee aangehouden mannen werkten in het callcenter van de GGD. Hun woningen zijn doorzocht en hun computers in beslag genomen. Het cybercrimeteam van politie Midden-Nederland doet daar nader onderzoek naar. De politie verwacht dat er meer aanhoudingen gaan plaatsvinden.
De Autoriteit Persoonsgegevens noemt het incident mogelijk een zeer ernstig datalek. Vooral vanwege de enorme aantallen burgers die hiervan het slachtoffer zijn geworden en de gevoelige informatie in de dossiers. De AP sluit niet uit dat de GGD een massaclaim van gedupeerden tegemoet kan zien, omdat misbruik van de gegevens veel schade kan opleveren. Daarnaast kan een boete worden opgelegd wegens de falende beveiliging.
Deskundigen vrezen dat mensen door de kwestie minder snel bereid zullen zijn zich te laten testen. Wie zich al heeft laten testen of via bron- en contactonderzoek naar voren is gekomen, doet er goed aan om extra alert te zijn op fraudepogingen. Het is helaas onmogelijk om de gegevens af te nemen van de criminelen en hun klanten.