Begin dit jaar bleek dat gevoelige persoonsgegevens waren gelekt van ruim duizend mensen die zich hadden laten testen op corona. Dit was mogelijk vanwege slechte beveiliging van de GGD-systemen. Omdat de beveiliging nog steeds niet op orde is, wil stichting ICAM miljarden claimen bij VWS om zo de slachtoffers schadeloos te kunnen stellen.

Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) moet aansprakelijk gehouden worden voor het datalek dat begin dit jaar bij de GGD is ontdekt. Dit eist de door oud-Tweede Kamerlid Astrid Oosenbrug en advocaat Douwe Linders opgerichte stichting ICAM in een collectieve procedure tegen het ministerie, dat verantwoordelijk wordt gehouden voor de door de GGD gebruikte IT-systemen. Eerder dit jaar werd bekend dat medewerkers van callcentra grootschalig misbruik hadden gemaakt van de toegang tot privé-informatie van ruim 6,5 miljoen Nederlanders. Dit leidde tot het grootste datalek dat Nederland ooit heeft gekend.

Grootschalig misbruik
RTL Nieuws maakte eind januari als eerste melding van het datalek bij de GGD. Een journalist ontdekte binnen een besloten chatgroep op Telegram een bestand met daarin privégegevens van zeker 600 personen. Deze gegevens bleken afkomstig uit de IT-systemen CoronIT en HPZone van de GGD voor respectievelijk het maken van testafspraken en voor bron- en contactonderzoek. De systemen waren oorspronkelijk bedoeld voor een klein team artsen, maar werden in 2020 toegankelijk gemaakt voor zo’n 26.000 medewerkers van door de GGD ingeschakelde callcentra. Alle medewerkers kregen vrij toegang tot onder meer BSN-nummers, adressen en telefoonnummers, maar ook tot medische informatie, testresultaten en gegevens van personen met wie GGD-cliënten in de dagen daarvoor in contact waren geweest. Via een exportfunctie kon deze informatie eenvoudig worden gedownload en daar is misbruik van gemaakt. Medewerkers raadpleegden informatie van vrienden, familie en BN’ers en deelden die vrijuit via Whatsapp. Andere medewerkers gingen nog verder en verkochten de informatie in besloten chatgroepen aan criminelen. Zeker zeven medewerkers werden opgepakt door de politie, waarvan er inmiddels twee zijn veroordeeld. Dertig medewerkers werden ontslagen.

Onaanvaardbaar risico
Astrid Oosenbrug, die zich al jaren bezighoudt met cyberveiligheid, zegt te begrijpen dat de GGD-systemen snel opgetuigd moesten worden, maar vindt dat geen excuus om de meest basale privacy- en beveiligingsmaatregelen opzij te schuiven. “Zeker niet voor een organisatie die over jouw meest gevoelige gegevens beschikt. Het ministerie van VWS heeft een onaanvaardbaar risico genomen met de persoonsgegevens van miljoenen mensen, terwijl burgers erop moeten kunnen vertrouwen dat de overheid zorgvuldig met hun privacy en dataveiligheid omgaat. Zonder dit vertrouwen ontstaat er een drempel om je te laten testen of vaccineren. Hoe geloofwaardig is een overheid die strenge privacyregels en forse boetes voor anderen opstelt, maar de regels zelf niet naleeft en boetes niet hoeft te betalen?”

Datadiefstal structureel onderschat
Volgens stichting ICAM heeft het ministerie van VWS een jaar na de ontdekking van het datalek nog steeds niet scherp wat de omvang van de datadiefstal is en hoe ver de consequenties ervan reiken. Het ministerie en de GGD hebben vooralsnog van 1.250 personen kunnen vaststellen dat hun gegevens via Telegram te koop worden aangeboden. De slachtoffers hebben hiervoor een excuusbrief ontvangen. Maar volgens de stichting is het inmiddels zeker dat het om veel meer mensen gaat. In het bestand dat RTL Nieuws had gevonden stonden van veel meer mensen de gegevens en die slachtoffers hebben geen excuusbrief van het ministerie ontvangen en weten daarom niet dat criminelen over hun persoonsgegevens beschikken.

Medewerkers hadden gewaarschuwd
De exportfunctie, waarmee persoonsgegevens eenvoudig door iedereen gestolen kunnen worden, is inmiddels uitgeschakeld. Maar dat gebeurde pas negen maanden nadat de datadiefstal was ontdekt. “Dit kan moeilijk naïviteit genoemd worden”, zegt advocaat Linders van stichting ICAM. “Dat noem ik eerder een ingecalculeerd risico waarbij men tot het allerlaatste moment heeft gewacht om in te grijpen. De GGD en het ministerie reageerden achteraf geschokt, maar er is maandenlang door zowel werknemers als deskundigen voor misbruik van de systemen gewaarschuwd. Die waarschuwingen werden echter door de verantwoordelijke personen genegeerd. Kennelijk zijn er meer prikkels nodig om het ministerie het belang van zorgvuldige omgang met persoonsgegevens te laten inzien. Het hoort zelf de verantwoordelijkheid te nemen, in plaats van deze af te schuiven op anderen, zoals de GGD. Dit is een belangrijke reden voor ons om deze collectieve procedure te starten.”

Schadevergoeding
Volgens de stichting heeft het ministerie van VWS de belangrijkste onderdelen van de privacywet (AVG) niet nageleefd. Bijvoorbeeld die waarin het principe van dataminimalisatie wordt voorgeschreven. Dat houdt in dat organisaties moeten beperken wie toegang krijgt tot persoonsgegevens en dat niet meer gegevens worden gedeeld dan voor de uitvoering van een functie nodig zijn. Het ministerie had volgens ICAM met de ingehuurde partijen veel duidelijkere afspraken kunnen maken over de omgang met de gegevens. Ook had fraudegevoelige informatie, zoals het BSN-nummer, direct na registratie moeten worden versleuteld. Verder hadden medewerkers beter gescreend moeten worden en had het misbruik van de systemen gedetecteerd moeten worden. Vorige maand meldde de Autoriteit Persoonsgegevens dat de beveiliging van persoonsgegevens bij de GGD nog steeds niet op orde is. Mede daarom eist de stichting van het ministerie een schadevergoeding van 500 euro voor iedere burger van wie de gegevens in de GGD-systemen zaten en dus gestolen zijn of gestolen hadden kunnen worden. Ook vordert zij 1.500 euro voor iedereen waarvan bewezen is dat de gegevens zijn gestolen. De komende maanden kunnen mensen die zich hebben laten testen zich via de website van Stichting ICAM aansluiten bij de claim.

Over stichting ICAM
Stichting ICAM is een onafhankelijke organisatie zonder winstoogmerk. De stichting komt op voor de belangen van groepen personen die schade lijden door toedoen van grote organisaties. De collectieve rechtszaak wordt gefinancierd door het Nederlandse Liesker Procesfinanciering. Hierdoor kunnen alle burgers waarvoor de stichting optreedt zonder kosten vooraf meedoen op basis van een no cure no pay regeling. De zaak wordt inhoudelijk behandeld door een team van SOLV Advocaten onder leiding van Douwe Linders.