Nieuw initiatief in strijd tegen datalekken, pijlen nu gericht op GGD

Het aantal persoonsgegevens wat is gelekt bij een datalek is in 2020 explosief gestegen. WieHeeftMijnGegevens.nl wil helpen om deze stijging een halt toe te roepen. Dit willen zij doen door de veelal complexe en tijdrovende aanvraagprocedures tot verwijdering van persoonsgegevens uit systemen, te vereenvoudigen voor de consument. Vanwege de recente datalekken bij de GGD heeft de organisatie een speciale website gelanceerd MijnGGDgegevens.nl, in de hoop het aantal gelekte persoonsgegevens bij toekomstige datalekken tegen te gaan.

Uit een recente publicatie van de Autoriteit Persoonsgegevens blijkt dat er in 2020 ruim 23.000 keer melding is gemaakt van een datalek. Dat is een daling van het aantal gevallen ten opzichte van 2019 met 11%, echter is het aantal persoonsgegevens dat hierbij gelekt is explosief gestegen. Het Nederlandse initiatief gaat de strijd met datalekken aan vanuit het principe “wat niet online is opgeslagen, kan ook niet in verkeerde handen vallen”. Dat dit niet het einde van datalekken betekent beseft men zich. Het komende jaar is het dan ook de doelstelling het aantal persoonsgegevens dat bij datalekken buit wordt gemaakt, fors te verminderen. Ook wil men bijdragen aan de bewustwording van de risico’s en de gevolgen van het langdurig bewaren van persoonsgegevens waarvoor niet langer de noodzaak bestaat.

WieHeeftMijnGegevens.nl gaat zich daarom richten op ieder bedrijf en iedere instantie waar persoonsgegevens onnodig lang worden opgeslagen en daardoor potentieel in gevaar zijn. Zo heeft men nu haar pijlen gericht op de GGD met een speciale website MijnGGDGegevens.nl. Recent kopten de landelijk media met een grootschalig datalek bij de gemeentelijke gezondheidsdiensten. Bij dit datalek kwamen de gegevens van honderdduizenden Nederlanders op straat terecht. In recente nieuwsartikelen geeft de GGD toe reeds geruime tijd op de hoogte te zijn van de gebrekkige beveiliging. Dat de GGD nu de eerste instantie is waarop de pijlen gericht zijn, is mede verklaarbaar door de grootschalige omvang van de dataopslag aangezien iedere Nederlander die een coronatest laat afnemen hiermee te maken heeft.

De makers van het systeem hebben zich vooral gericht op het verwijderen van persoonsgegevens, omdat volgens recente gebeurtenissen daar het pijnpunt ligt. Gebruikers kunnen een dergelijk verzoek, inclusief het verwerken van de volledige aanvraagprocedure binnen twee minuten veilig doen. Hierbij worden uiteraard geen persoonsgegevens opgeslagen maar slechts éénmaal gebruikt ter verwerking en daarna onomkeerbaar verwijderd.

“We maken hierbij gebruik van de wetgeving AVG. Ieder bedrijf of instantie die een verzoek via onze portalen ontvang, moet hier volgens de wet binnen vier weken verplicht op reageren” legt Dennis Meijer – medeoprichter van WieHeeftMijnGegevens.nl uit. Inmiddels zijn meerdere situaties gemeld bij waarbij ook sprake zou zijn van een verhoogd risico op datalekken. Het bedrijf doet hier inmiddels grondig onderzoek naar.

Overigens hoopt Meijer dat de GGD hem benadert om de aanvragen snel en geautomatiseerd te verwerken zodat aanvragers snel kunnen worden geholpen. Tot op heden is er tussen partijen nog geen contact.