Datalek bij GGD: gegevens van miljoenen Nederlanders in criminele handen

Wat is er aan de hand?

Er is een levendige handel in de adressen, telefoonnummers en burgerservicenummers van Nederlanders, blijkt uit onderzoek van RTL Nieuws. Deze zijn afkomstig uit de it-systemen die door de GGD worden gebruikt. Een datalek dus: privégegevens komen in verkeerde handen. Criminelen hebben veel geld over voor dit soort zeer persoonlijke gegevens.

Hoe heeft dit kunnen gebeuren?

Beveiligingsexperts roepen het al jaren: de mens is de zwakke schakel. Dat blijkt ook nu weer. Dit weekend zijn twee medewerkers van het landelijke nummer voor coronatest-afspraken aangehouden op verdenking van de datadiefstal. Zij zouden tegen betaling persoonsgegevens uit de GGD-systemen hebben aangeboden. De GGD gebruikt diverse systemen.

Om welke systemen gaat het?

In elk geval om CoronIT. Dit is het administratiesysteem voor het test- en vaccinatieproces en de communicatie hierover. Van iedereen die een afspraak maakt voor een coronatest via het callcenter, de coronatestsite of via de huisarts komen de persoonsgegevens in dit systeem. Dat geldt ook voor afspraken voor een vaccinatie. Daarnaast bestaat een ander systeem: HPZone. Ook hieruit ‘lijken’ gegevens te zijn gestolen, meldt de koepelorganisatie. Dit is een elektronisch dossier dat de GGD gebruikt om het bron- en contactonderzoek uit te voeren.

Welke informatie van burgers staat hier in?

Nogal wat: sowieso naam, adres, telefoonnummer/e-mailadres, burgerservicenummer, geslacht, geboortedatum. Daarnaast ook eventueel de test- en vaccineerafspraken plus de testresultaten. Bij bron- en contactonderzoek worden ook medische gegevens vastgelegd (bijvoorbeeld klachten en symptomen en huisarts), waar iemand is geweest en met wie hij in contact is geweest. Het gaat om de gegevens van alle Nederlanders die de afgelopen tijd met de GGD te maken hebben gehad voor een testafspraak, bron- en contactonderzoek of een vaccinatie. Miljoenen dus.

Wat kunnen criminelen hiermee?

Hoe persoonlijker de informatie, hoe groter het gevaar. Wie zeer gedetailleerde informatie heeft over iemand, kan hem gericht bestoken met sms’jes of e-mails om zo nog meer gegevens af te troggelen zoals bankwachtwoorden. Criminelen hebben veel geld over voor dit soort informatie.

Hoeveel mensen hadden toegang tot deze gegevens?

Ongeveer 26.000 GGD’ers en callcentermedewerkers van de testlijn hebben toegang tot CorinIT. Verder hebben achtduizend medewerkers toegang tot alle informatie in het bron- en contactonderzoekssysteem. Maar volgens de GGD-koepel GHOR mag niet iedereen zomaar overal bij: ‘Alleen mensen die voor hun werk noodzakelijk toegang moeten hebben tot een persoonsdossier, mogen dit dossier inzien.’ Callcentermedewerkers voor testafspraken mogen de gezondheidsverklaringen die voor vaccinaties worden ingevuld niet inzien. De controle hierop gebeurt steekproefsgewijs. Bij verboden toegang volgt ontslag en indien nodig aangifte.

Zijn die maatregelen voldoende?

Nou nee, zo bewijst dit voorval. Steekproeven zijn niet voldoende en al helemaal niet bij systemen waar zoveel mensen toegang tot hebben. En dat weet de GGD-koepel zelf ook. De organisatie verwacht eind maart systemen te hebben die automatisch en continu zullen controleren op misbruik. ‘Hier werken wij al geruime tijd aan’, aldus GGD GHOR. André Rouvoet, voorzitter GGD GHOR, zegt daarnaast met onmiddellijke ingang verdere maatregelen te treffen. Zo worden er extra steekproeven gehouden.

Komt dit allemaal uit de lucht vallen?

Het is al langer duidelijk dat de oude systemen die nu worden gebruikt misschien niet zo geschikt zijn in de huidige crisis. Zo schreef minister De Jonge in december in een Kamerbrief over ‘enkele kwetsbaarheden’ die na een risicoanalyse aan het licht kwamen. De minister noemde specifiek het risico op datalekken. Om dit te minimaliseren moet een beter passend autorisatiebeheer worden ingericht. ‘Hierdoor wordt het voor onbevoegde gebruikers onmogelijk gemaakt toegang te krijgen tot bepaalde gegevens’, beloofde De Jonge vorige maand.

Dit is niet het eerste datalek, toch?

Nee. Sinds de invoering van de meldplicht datalekken in 2016 blijft het aantal meldingen bij de Autoriteit Persoonsgegevens stijgen. In 2019 ontving de waakhond bijna 27.000 meldingen, een stijging van 29 procent ten opzichte van een jaar eerder. Vorige week nog onthulde Nieuwsuur een datalek bij het commerciële testbedrijf U-Diagnostics waardoor de persoonsgegevens van tienduizenden Nederlanders in te zien waren.

Hoe nu verder?

Er zijn twee man opgepakt, het onderzoek loopt nog en de GGD neemt extra maatregelen om verder misbruik te voorkomen. Ook heeft de GGD een externe partij in de arm genomen voor een audit. Hiermee is de handel in persoonsgegevens die al zijn buitgemaakt nog niet stilgelegd. Wat eenmaal uit de tube is, kan onmogelijk weer worden teruggeduwd.

Minister De Jonge had het dinsdag tijdens het vragenuurtje over ‘alle mogelijke maatregelen’ die dit soort lekken in de toekomst moeten voorkomen, maar concludeerde ook wat ontluisterend: ‘Uiteindelijk is tegen dit type misdaad geen kruid gewassen.’