Nieuws

Megaclaim in de maak: stichting eist miljarden van ministerie om datalek GGD

Het ministerie van Volksgezondheid moet mogelijk diep in de buidel tasten vanwege het zorgwekkende datalek dat begin dit jaar bij de GGD ontstond.

Sebastiaan Quekel
Demissionair minister Hugo de Jonge (Volksgezondheid). Beeld ANP
Demissionair minister Hugo de Jonge (Volksgezondheid).Beeld ANP

Voormalig Tweede Kamerlid Astrid Oosenbrug en advocaat Douwe Linders bereiden met hun stichting een collectieve procedure voor waarin ze namens alle gedupeerden een gigantische schadevergoeding van enkele miljarden euro’s eisen. “Het moment is gekomen dat we een streep trekken. Tot hier en niet verder,” zegt Linders.

Bij de coronacallcenters van de GGD ging het dit voorjaar, op het hoogtepunt van de crisis, gruwelijk mis. Ruim tienduizend medewerkers van de testlijn konden door een falend systeem toegang krijgen tot persoonlijke gegevens van ruim 6,5 miljoen Nederlanders. Het ging onder meer om namen, adressen, telefoonnummers, geboortedata en burgerservicenummers, maar ook gevoelige medische informatie en zelfs testresultaten. Dergelijke gegevens zijn heel interessant voor cybercriminelen.

Van zeker 1250 mensen is bewezen dat hun vertrouwelijke gegevens uit coronadossiers zijn gestolen en via Telegram aan criminelen zijn verkocht. Dat aantal ligt vermoedelijk veel hoger. Tijdens het onderzoek werden zeven mensen gearresteerd en verloren circa dertig GGD-medewerkers hun baan wegens ongeoorloofd gebruik van de systemen.

Onaanvaardbaar risico

Niet eerder kreeg ons land te maken met een datalek van dergelijke omvang. In een ongemeen fel debat erkende verantwoordelijk demissionair minister Hugo De Jonge dat hij ‘scherper’ had moeten toezien op de databeveiliging. Er waren al langer signalen dat de systemen kwetsbaar waren. Dat maakt de overheid hoofdverantwoordelijk voor het ontstane lek, vindt Astrid Oosenbrug, die zich al jaren bezighoudt met cyberveiligheid. Zij bereidt met haar nieuwe stichting ICAM een rechtszaak voor waarin het ministerie aansprakelijk wordt gesteld. “Snelheid is geen excuus om de meest basale privacy- en beveiligingsmaatregelen opzij te schuiven,” zegt ze erover.

Volgens Oosenbrug zijn de computersystemen van de GGD’en verkeerd ingericht. “Veel te veel mensen hadden toegang tot de gegevens. Mensen konden zonder controle grote bestanden met persoonsgegevens downloaden. Medewerkers waren niet goed geïnstrueerd, niet goed gescreend en wat ze deden werd niet goed bijgehouden. Dan ben je geen slachtoffer, maar had je zelf beter op je winkel moeten letten.”

Het ministerie nam een onaanvaardbaar risico door zo ‘laks om te springen met de persoonsgegevens van miljoenen Nederlanders’, vindt Oosenbrug. “De overheid bezit gevoelige informatie over ons, meer dan wie dan ook. Daardoor moeten burgers erop kunnen vertrouwen dat ze zorgvuldig met hun privacy en dataveiligheid omgaat. Hoe geloofwaardig is een overheid die strenge privacyregels en forse boetes voor anderen opstelt, maar de regels zelf niet naleeft en geen boetes hoeft te betalen?”

Lek als een mandje

Tot verbazing van experts blijkt de beveiliging van persoonsgegevens een jaar na dato nog niet op orde, zo concludeerde de Autoriteit Persoonsgegevens vorige maand in een kritisch rapport. “En dat is werkelijk onbestaanbaar,” verzucht advocaat Douwe Linders. “Hoe kan het dat het systeem nog zo lek is als een mandje? Het is op deze manier wachten op een nieuw datalek. Het ministerie lijkt niet te willen leren van haar fouten.”

Oosenbrug benadrukt dat ze er begrip voor heeft dat de GGD het druk had met het bestrijden van de corona-uitbraak. “We zitten in een pandemie. Die overkomt je, en het is uitlegbaar dat de systemen niet gebouwd zijn om zo veel gegevens van zo veel mensen te verzamelen. Dat kan gebeuren. Maar we zijn bijna twee jaar verder en het is nog steeds niet op orde. Dat vind ik schadelijk.”

Om een duidelijk signaal af te geven, vordert de stichting een schadevergoeding van 500 euro voor iedere Nederlander van wie gegevens in de GGD-systemen zat, en dus gestolen had kunnen worden, en nog eens 1500 euro voor iedere Nederlander van wie bewijs bestaat dat zijn of haar gegevens zijn gestolen. ICAM opent maandag de website datalek-ggd.nl. Daar kunnen mensen zich aansluiten bij de claim. De schadeclaim loopt daarmee in de miljarden euro’s. Een enorm bedrag, al helemaal in het licht van de crisis, waarin veel getroffen sectoren afhankelijk zijn van financiële steun van de overheid. Komt zo’n claim dan wel op het goede moment?

Geen keuze

“Hier hebben wij inderdaad over nagedacht, maar zoiets als dit komt nooit op het goede moment,” reageert Linders. “Soms heb je geen keuze. Het datalek bij de GGD is begin 2020 ontstaan, negen maanden later ontdekt, en twintig maanden later nog steeds niet gedicht. De criminelen die dit soort informatie willen stelen of misbruiken, wachten dit niet af. Er moet dus eerder actie komen en als niemand dat doet, dan moeten de burgers dat kennelijk zelf doen via een collectieve actie als deze. En in tegenstelling tot een boete van de Autoriteit Persoonsgegevens komt de schadevergoeding die we claimen terecht waar die terecht zou moeten komen: bij de gedupeerden zelf.”

Volgens RTL Nieuws werd de GGD al maanden voor de datadiefstal gewaarschuwd door eigen medewerkers over de kwetsbaarheden van de coronasystemen. Deze zorgen zouden leidinggevenden hebben weggewuifd. Inmiddels zijn er wel veiligheidsmaatregelen getroffen en zijn er ‘uit voorzorg diverse systeemaanpassingen gedaan’. Zo is de zoekfunctie beperkt en de groep personen die gegevens uit de systemen kan exporteren aanzienlijk verkleind. Bovendien wordt gewerkt aan vervanging van de ict-systemen voor bron- en contactonderzoek.

Stichting ICAM wil eerst in gesprek met het ministerie. Als dat niets oplevert ‘dan verwachten we in februari de dagvaarding uit te kunnen sturen’. Het ministerie van Volksgezondheid, Welzijn en Sport was zondag niet in de gelegenheid een reactie te geven.

De datadiefstal raakte twee systemen: HPZone en CoronIT. CoronIT wordt gebruikt om testafspraken en uitslagen te verwerken. Maar liefst 26.000 callcentermedewerkers van de testlijn konden bij die gegevens.

HPZone is nodig voor alle informatie rond het bron- en contactonderzoek. Daar hadden 20.000 GGD’ers toegang toe. Die software wordt al sinds 2003 gebruikt door de GGD voor bron- en contactonderzoek bij infectieziekten.

Reactie GGD GHOR Nederland op datalek

André Rouvoet, voorzitter van GGD GHOR Nederland, liet na het datalek in een reactie weten: “Deze criminele activiteit is een klap in het gezicht van 17 miljoen Nederlanders, die allemaal lijden onder de coronacrisis en van wie velen zich proberen te houden aan alle maatregelen in deze tijden. Dat er dan corrupte medewerkers zijn die over de rug van al deze mensen geld willen verdienen is ongehoord en een ernstig misdrijf.”

Honderdduizenden Nederlanders laten zich per week testen. “Wij hebben alles op alles gezet om het verwerken van die miljoenen gegevens zo veilig mogelijk te laten plaatsvinden. Er zijn opleidingen en mensen tekenen een geheimhoudingsverklaring. Wij gaan opnieuw naar de beveiliging kijken,” zei Rouvoet. Hij hoopt dat het datalek mensen niet afschrikt om zich te laten testen.

Meer over

Wilt u belangrijke informatie delen met Het Parool?

Tip hier onze journalisten


Op alle verhalen van Het Parool rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@parool .nl.
© 2022 DPG Media B.V. - alle rechten voorbehouden