Uit onderzoek van RTL-nieuws bleek maandag dat er grootschalig gehandeld is in persoonsgegevens van miljoenen Nederlanders, afkomstig uit de twee belangrijkste coronasystemen van de GGD. De Autoriteit Persoonsgegevens (AP) heeft direct opheldering geëist bij de GGD.

Het gaat om diefstal van adressen, telefoonnummers, burgerservicenummers en testresultaten. De AP heeft laten weten dat de GGD burgers goed en snel moet informeren over de gevolgen, onder meer via de website en door een informatielijn open te stellen. De informatielijn van de AP zelf is intussen overbelast, door de vele vragen die burgers hebben over het incident.

Nalatig en aansprakelijk
Aleid Wolfsen, voorzitter van de AP: “Iemands medische gegevens, adres, telefoonnummer en BSN zijn zeer privé. En dat moeten ze ook blijven. Zulke informatie is heel geschikt voor bijvoorbeeld identiteitsfraude en phishing. De beveiliging moet daarom aan de hoogste eisen voldoen. Doe je dat onvoldoende, dan ben je nalatig en kun je aansprakelijk gesteld worden. Je riskeert dan niet alleen een boete van de AP, maar mogelijk ook claims van slachtoffers.”
De AP heeft de overheid, maar ook de zorgsector, in de afgelopen jaren al regelmatig gewaarschuwd dat beveiliging van medische gegevens aan de hoogste eisen moet voldoen. Deze datadiefstal laat weer eens zien hoe belangrijk gegevensbescherming is.

Topprioriteit
Wolfsen: “Iedere organisatie – niet alleen de overheid – moet de beveiliging van persoonsgegevens als topprioriteit aanmerken. Hoe meer je doet met data, hoe groter de risico’s zijn. En hoe hoger het niveau van gegevensbescherming daarom moet zijn. Gegevens over iemands gezondheid zijn zeer gevoelig. De Algemene verordening gegevensbescherming (AVG) bepaalt dan ook dat die extra beschermd moeten worden ten opzichte van bijvoorbeeld namen en adressen.

Datasets
Bij het testen op corona en het bron- en contactonderzoek verwerkt de GGD gegevens van heel veel mensen. Deze data bevatten naam, adres, woonplaats, telefoonnummers en ook nog eens BSN’s en testresultaten. Allemaal actuele data en in grote hoeveelheden. Dat is heel veel waard voor kwaadwillenden.
Bij het testen en bron- en contactonderzoek zijn veel mensen betrokken. Dan juist moet je je gegevens extra goed beveiligen. En checken of medewerkers niet meer gegevens opvragen dan noodzakelijk of complete datasets downloaden.
Het is belangrijk om persoonsgegevens goed te beveiligen en ervoor te zorgen dat niet iedereen overal bij kan. Loggen en dit goed blijven monitoren zijn daarbij essentieel, aldus de AP.