De GGD was al maanden op de hoogte van het datalek in haar systemen. Afgelopen zomer meldde de eerste medewerker het probleem bij zijn leidinggevende, maar die deed niets met de waarschuwing. Sterker nog, de interne kritiek werd structureel weggewuifd.
Dat schrijft techjournalist Daniël Verlaan van RTL Nieuws. De afgelopen dagen sprak hij met tientallen GGD-medewerkers die op basis van anonimiteit hun verhaal deden.
Privégegevens van miljoenen Nederlanders te koop aangeboden
Verlaan bracht deze week het schandaal naar buiten dat er op grote schaal privégegevens worden verkocht van miljoenen Nederlanders worden verkocht. Deze gegevens zijn afkomstig uit twee systemen waar medewerkers van de GGD dagelijks mee werken: CoronIT en HPzone Lite. Het eerste systeem bevat naast NAW- en contactgegevens ook informatie over de medische achtergrond, medicijngebruik, testafspraken voor een coronatest, testuitslagen en het burgerservicenummer. Het andere systeem gebruikt de GGD om bron- en contactonderzoek mee uit te voeren.
Via onder meer Telegram, Snapchat en Wickr worden de privégegevens van Nederlanders die zich hebben laten testen op corona aangeboden. Hetzelfde geldt voor mensen die in het bron- en contactonderzoek van de GGD naar voren kwamen. Met de juiste connecties is het mogelijk om de persoonsgegevens van een specifiek iemand te kopen. Hiervoor betaal je grofweg tussen de 30 en 50 euro. Ook kun je complete datasets kopen die de privégegevens van duizenden Nederlanders bevat. Cybercriminelen en hackers kunnen hiermee identiteitsfraudeplegen en bijvoorbeeld een lening of telefoonabonnement op jouw naam afsluiten. Of ze gebruiken de data om spearphishingcampagnesop touw te zetten.
‘Het is een schande’
Minister van Volksgezondheid, Welzijn en Sport Hugo de Jonge schetste deze week in de Tweede Kamer het beeld dat het datalek recentelijk aan het licht is gekomen en er direct maatregelen zijn genomen. Niets is echter minder waar. Techjournalist Daniël Verlaan voerde de afgelopen dagen gesprekken met tientallen medewerkers van de GGD over het onderwerp. En allemaal zeggen ze hetzelfde: de GGD wist al maanden af van het lek.
Verschillende werknemers trokken de afgelopen maanden aan de bel en kaartten het probleem aan bij hun leidinggevenden. Telkens kregen ze te horen dat het niet belangrijk genoeg was. “Het boeit ze gewoon niet”, zo vertelt een anonieme medewerker aan RTL Nieuws.
Een andere medewerker die Verlaan sprak vertelt dat hij toegang had tot gegevens die waren opgeslagen in de systemen van andere GGD-regio’s. “Informatie waar ik helemaal geen toegang tot zou moeten hebben”, merkt hij op. Hij vertelt dat medewerkers gegevens van iedereen kon opvragen en met de exportknop kon downloaden. Een ander vult zijn verhaal aan: “Studenten kunnen nog geen tentamen maken zonder webcamsurveillance, maar om toegang te krijgen tot de persoonsgegevens van miljoenen Nederlanders is niets meer nodig dan een laptop en een beetje geduld. Het is een schande.”
Lang niet alle medewerkers overlegden een VOG
Minister De Jonge verdedigde deze week het optreden van de GGD in de Tweede Kamer. Tijdens het mondelinge vragenuurtje verzekerde hij dat de gegevens van Nederlanders die zich laten testen op corona en in de systemen van de GGD belanden, veilig zijn. Medewerkers krijgen een training waarin de omgang met vertrouwelijke gegevens centraal staat. En voordat ze aan de slag gaan moeten ze een Verklaring Omtrent Gedrag (VOG) overleggen en een geheimhoudingsverklaring ondertekenen.
Volgens Verlaan klopt het verhaal van de minister niet. Hij sprak meer dan tien medewerkers die zeiden dat ze nooit een VOG hebben ingeleverd. Sommigen van hen kreeg deze week de vraag of ze dat alsnog konden doen. Teleperformance, het callcenterbedrijf dat medewerkers aanlevert die de coronatestlijn bemannen, zegt tegenover RTL Nieuws dat nieuwe medewerkers binnen zes weken een VOG moeten kunnen laten zien. Doet deze persoon dat niet, dan “wordt er per direct afscheid genomen”, zo laat het bedrijf weten.
‘Controle is wassen neus’
Naast scholing, overleggen van een VOG en tekenen van een geheimhoudingsovereenkomst, voert de GGD periodieke controles uit, vertelde minister De Jonge aan de Tweede Kamer. De werknemers die Verlaan sprak bevestigen dat deze controles niets meer dan ‘een wassen neus’ zijn. Enkele medewerkers vertellen dat ze eens in de zoveel maanden hun digitale prullenbak moesten tonen aan hun leidinggevende via Microsoft Teams. Die controleerde of daar gestolen gegevens inzaten uit de systemen waar ze mee werkten. Anderen klaagden eveneens over het gebrek aan controles. Deze waarschuwingen werden echter massaal genegeerd.
De mensen die Verlaan sprak bevestigen het bestaan van omvangrijke WhatsApp-groepen waarin massaal screenshots met privégegevens werden gedeeld. Na het uitbreken van het nieuws werden de deelnemers gevraagd om foto’s en video’s met privégegevens te verwijderen. Dit zet echter geen zoden aan de dijk: deze media worden namelijk automatisch geüpload naar opslagdiensten als Google Drive of iCloud van Apple.
GGD: ‘Wij wisten van niets’
De GGD geeft aan niet bekend te zijn met de signalen dat duizenden medewerkers vrije toegang hadden tot de privégegevens van miljoenen Nederlanders. “Waar dit het geval is, is dit zeker kwalijk, want wij waarderen medewerkers die ons op risico’s wijzen”, vertelt een woordvoerder van de GGD tegenover RTL Nieuws. De eerste melding over de alomvattende toegang tot de persoonsgegevens van miljoenen Nederlanders, kwam volgens Verlaan afgelopen zomer al binnen.
Ook zegt de GGD niets te weten over het feit dat er privégegevens van Nederlanders via WhatsApp-groepen werden gedeeld. “Als we hiervan horen maken we er direct een eind aan”, aldus de woordvoerder van de GGD. Zowel binnen de GGD als callcenterbedrijf Teleperformance wordt opgeroepen om niet langer privégegevens via WhatsApp te delen.
Op haar website schrijft de GGD dat ze meerdere aanvullende maatregelen heeft genomen om misbruik te voorkomen. Dan moet je denken aan controle aan de poort, meer aandacht voor privacy en geheimhouding tijdens de training en steekproefsgewijze controle of de juiste medewerkers een dossier hebben geraadpleegd. Eind maart hoopt de GGD systemen te implementeren die automatisch en continu controles uitvoeren.
Autoriteit Persoonsgegevens: ‘Beveiliging moet aan de hoogste eisen voldoen’
De Autoriteit Persoonsgegevens is niet gerustgesteld over het datalek. Via een persbericht laat de toezichthouder weten dat ze onmiddellijk om opheldering heeft gevraagd bij de GGD. “Iemands medische gegevens, adres, telefoonnummer en BSN zijn zeer privé. En dat moeten ze ook blijven”, zegt bestuursvoorzitter Aleid Wolfsen. “Zulke informatie is heel geschikt voor bijvoorbeeld identiteitsfraude en phishing. De beveiliging moet daarom aan de hoogste eisen voldoen. Doe je dat onvoldoende, dan ben je nalatig en kun je aansprakelijk gesteld worden. Je riskeert dan niet alleen een boete van de AP, maar mogelijk ook claims van slachtoffers.”
Mis niets! Meld je aan voor onze nieuwsbrief
Altijd op de hoogte van het laatste nieuws, acties en reviews.
Wij respecteren je privacy. Je informatie is veilig en je kunt je altijd gemakkelijk afmelden.
Anton Mous
Privacy en securityredacteur
Politicoloog, historicus, webredacteur, copywriter: Anton is van vele markten thuis. Hij zet zijn schrijftalenten in voor VPNgids.nl om lezers op de hoogte te brengen van de laatste ontwikkelingen op het gebied van cybersecurity en privacy.
Meer artikelen uit de sectie Nieuws
Formule 1: de GP van Italië (Monza) 2024 gratis live kijken
30 augustus 2024
Zo kijk je MotoGP Aragon 2024 (MotoGP Spanje) gratis live
30 augustus 2024
Paralympische Spelen 2024 kijken-ook in het buitenland
28 augustus 2024