Het ministerie van Volksgezondheid Welzijn en Sport (VWS) wordt aansprakelijk gesteld voor een datalek bij de GGD waarbij mogelijk privacygevoelige data van 6,5 miljoen Nederlanders is gelekt. De stichting ICAM wil bij voldoende steun van gedupeerden een collectieve rechtszaak starten. Volgens haar kan dit ‘qua omvang grootste datalek ooit’ binnen de Nederlandse overheid niet ongestraft blijven.
De onafhankelijke stichting ICAM komt op voor groepen die schade lijden door toedoen van grote organisaties. In januari 2021 werd bekend dat GGD-callcentermedewerkers die hielpen met bron- en contact-onderzoek bij coronabesmettingen, grootschalig misbruik maakten van de toegang tot de privé-informatie van ruim 6,5 miljoen Nederlanders. Ook werd die informatie door medewerkers in bulk gedownload en online doorverkocht aan criminelen. ‘Het GGD-datalek is qua omvang het grootste dat Nederland ooit heeft gekend’, stelt de stichting.
De systemen waren oorspronkelijk bedoeld voor een klein team artsen, maar werden in 2020 toegankelijk gemaakt voor meer dan tienduizend nieuwe callcentermedewerkers. Volgens ICAM hadden zij vrij toegang tot burgerservicenummers, adressen en telefoonnummers, medische informatie en testresultaten. Via een exportfunctie werd informatie uit de systemen gehaald. ‘Informatie van vrienden, familie en bekende Nederlanders werd bekeken en vrijuit gedeeld via Whatsapp. Anderen boden de informatie in besloten chatgroepen te koop aan’, schrijft de stichting in een toelichting.
Zeker zeven medewerkers zijn opgepakt en twee van hen zijn inmiddels veroordeeld.
‘Onaanvaardbaar risico’
Woordvoerder van ICAM, Astrid Oosenbrug, stelt dat snelheid geen excuus is om de meest basale privacy- en beveiligingsmaatregelen opzij te schuiven. Het oud-Tweede Kamerlid voor de PvdA, dat momenteel bij ict-beveiliger Eset werkt als manager publieke zaken: ‘Er is door het ministerie van VWS een onaanvaardbaar risico genomen met de persoonsgegevens van miljoenen burgers. De overheid bezit gevoelige informatie over ons, meer dan wie dan ook. Daardoor moeten burgers erop kunnen vertrouwen dat ze zorgvuldig met hun privacy en dataveiligheid omgaat. Hoe geloofwaardig is een overheid die strenge privacyregels en forse boetes voor anderen opstelt, maar de regels zelf niet naleeft en geen boetes hoeft te betalen?’
Volgens de stichting heeft VWS een jaar na de ontdekking nog steeds niet scherp wat de omvang van de datadiefstal is en hoe ver de consequenties ervan reiken. Ook is pas negen maanden na de eerste waarschuwingen over misbruik de exportfunctie uitgeschakeld. Daarbij zouden waarschuwingen meermaals genegeerd zijn en het een door VWS ‘ingecalculeerd risico’ zijn om systemen open te houden.
‘De GGD en het ministerie reageerden achteraf geschokt, maar er is maandenlang door zowel werknemers als deskundigen voor misbruik gewaarschuwd. Kennelijk zijn er meer prikkels nodig om minister De Jonge het belang van zorgvuldige omgang met persoonsgegevens te laten inzien’, aldus advocaat Douwe Linders, die namens SOLV Advocaten de stichting vertegenwoordigt in de rechtszaak.
Vijfhonderd euro
De eisende partijen halen de in de privacywet AVG vastgelegde voorwaarden voor dataminimalisatie aan. Organisaties die op schaal privégegevens opslaan, moeten beperken wie er toegang heeft, en die toegang alleen beperken tot gegevens die daadwerkelijk nodig zijn voor het uitvoeren van hun functie. Zeker voor overheidsinstellingen zijn de regels streng.
ICAM vordert een schadevergoeding van vijfhonderd euro voor iedere persoon van wie gegevens in de GGD-systemen zaten en dus gestolen konden worden. Ze vordert 1.500 euro voor iedereen waarvan er bewijs is dat gegevens zijn gestolen. De komende maanden kunnen gedupeerden zich aanmelden voor de claim en zich zonder kosten inschrijven.
De GGD’s hebben grove fouten gemaakt. Maar wat is het belang van een eventuele rechtszaak tegen VWS? Er komt al een parlementaire enquête over de aanpak van de coronapandemie. Wie gaat wie uiteindelijk betalen? De massaschade-procedure kan tot een claim van honderden miljoenen euro’s leiden (€500 per persoon die in de databases van de GGD’s staan en €500 tot €1.500 voor gedupeerden). En hoe komt men te weten wie gedupeerde is. De stichting ICAM stelt dat VWS verantwoordelijk is voor het gebruik van de ICT-systemen van de GGD. Zie datalek-ggd.nl. Maar is dat zo? Voor zover de GGD’s dezelfde systemen gebruiken, zijn/waren ze niet altijd op dezelfde wijze zijn ingericht. Dat geeft de GGD’s vrijheid (maar het belemmert efficiënt samenwerken om overzichten te produceren voor VWS en hun adviseurs zoals het OMT). Ligt de verantwoordelijkheid niet gewoon bij de GGD’s die geen geld over hebben?
Deze privacykwestie is het zoveelste probleem op een rij bij de GGD’s en het gaat niet alleen over ICT. De reeks aan problemen laten zien dat de GGD organisaties lang niet klaar stonden voor de uitvoering van hun hoofdtaken, zoals ingrijpen bij epidemieën. Het helpt ook niet dat VWS geen middellange termijn scenario’s maakt en de demissionaire ministers met de waan van de dag meegaan en in zelfs tijden van crises weken of maanden te laat beslissen. Hierdoor verschuift steeds weer de aandacht naar nieuwe beslispunten en moeten GGD’s het maar zelf uitzoeken. Alleen een ransomware aanval hebben ze bij de GGD’s gelukkig nog niet over zich heen gekregen. Arme GGD medewerkers, die zijn al de kop van jut van allerlei soorten wappies. En arme ICT-ers daar. Ze hebben GGD bazen die niet naar hun expertise luisteren en ze moeten hun winkel verbouwen tijdens de dolle dwaze dagen.