GGD-datalek leidt tot collectieve rechtszaak tegen ministerie van VWS

Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) moet aansprakelijk gehouden worden voor het datalek dat begin dit jaar bij de GGD is ontdekt. Dat eist stichting ICAM in een collectieve procedure tegen het ministerie vanwege gebrekkig toezicht.

Eerder dit jaar werd bekend dat door callcenter medewerkers grootschalig misbruik is gemaakt van de toegang tot de privé-informatie van ruim 6,5 miljoen Nederlanders. Ook werd deze informatie door medewerkers in bulk gedownload en online doorverkocht aan criminelen. Het GGD-datalek is qua omvang het grootste dat Nederland ooit heeft gekend, meent de stichting.

Een RTL Nieuws journalist legde eerder dit jaar via besloten chatgroepen de hand op een bestand met daarin de privégegevens van zeker 600 personen. Deze gegevens bleken afkomstig uit twee IT-systemen van de GGD voor het maken van test- en vaccinatie-afspraken en voor bron- en contactonderzoek.

De systemen waren oorspronkelijk bedoeld voor een klein team artsen, maar werden in 2020 toegankelijk gemaakt voor meer dan tienduizend nieuwe callcenter medewerkers. Zij kregen vrij toegang tot onder meer BSN-nummers, adressen en telefoonnummers, maar ook medische informatie, testresultaten en personen met wie de betreffende persoon in de dagen daarvoor in contact was geweest. Via een exportfunctie kon deze informatie eenvoudig worden gedownload.

Informatie van vrienden, familie en BN’ers werden ingezien en vrijuit gedeeld via WhatsApp. Andere callcenter medewerkers gingen nóg verder en boden de informatie in besloten chatgroepen te koop aan criminelen. Zeker zeven medewerkers werden opgepakt door de politie, waarvan er inmiddels twee zijn veroordeeld.

Er is door het ministerie van VWS een onaanvaardbaar risico genomen met de persoonsgegevens van miljoenen mensen, zegt Astrid Oosenbrug, oud-Tweede Kamerlid en woordvoerder van Stichting ICAM.

Een jaar na ontdekking heeft het ministerie nog steeds niet scherp wat de omvang van de datadiefstal is en hoe ver de consequenties ervan reiken. Het ministerie en de GGD hebben vooralsnog pas van 1250 personen kunnen vaststellen dat hun gegevens gestolen zijn. Pas negen maanden na de eerste waarschuwingen over misbruik schakelde het ministerie de exportfunctie uit.

Volgens de stichting heeft het ministerie van VWS de belangrijkste privacywet (AVG) niet nageleefd. Daarin wordt voor persoonsgegevens onder meer het principe van dataminimalisatie voorgeschreven: organisaties moeten beperken wie er toegang heeft, en alleen tot datgene wat zij daadwerkelijk nodig hebben. Zo had het ministerie bijvoorbeeld veel duidelijkere afspraken over de omgang met deze gegevens moeten maken met alle partijen die door de GGD ingehuurd werden. Ook had fraudegevoelige informatie zoals het BSN-nummer direct na registratie moeten worden versleuteld, om zo een extra beveiligingslaag in te bouwen.

Stichting ICAM vordert een schadevergoeding van 500 euro voor iedere persoon van wie gegevens in de GGD-systemen zaten en dus gestolen konden worden. Ze vordert verder 1500 euro voor iedereen waarvan bewijs is dat gegevens zijn gestolen. De komende maanden kunnen mensen zich aanmelden voor de claim en zich zonder kosten inschrijven via de website www.datalek-ggd.nl.