Stichting ICAM zet de eerder aangekondigde rechtszaak tegen het ministerie van VWS door. Volgens de stichting is VWS verantwoordelijk voor de it-systemen van de GGD. Bij een datalek in 2021, de grootste uit de Nederlandse geschiedenis, zouden de vertrouwelijke gegevens van 6,5 miljoen burgers op straat zijn beland. Het gaat vooral om personen die een coronatest- of vaccinatieafspraak hebben gemaakt.
ICAM heeft het ministerie gedagvaard voor de rechtbank Amsterdam, mede namens de ruim 133.000 burgers die zich bij haar als actieve deelnemer hebben aangemeld. De Stichting eist een schadevergoeding van vijfhonderd euro voor een iedere van wie gegevens in de GGD-systemen zaten en mogelijk gestolen zijn, tot 1.500 euro voor een ieder waarvan vast komt te staan dat hun gegevens inderdaad zijn gestolen.
Het ministerie en de GGD zeggen van 1.250 personen vastgesteld te hebben dat hun gegevens gestolen zijn. Maar volgens ICAM zijn er sterke aanwijzingen dat van meer slachtoffers gegevens zijn ontvreemd. In de datasystemen van de GGD staan vertrouwelijke gegevens als bsn-nummers, adressen en telefoonnummers, medische informatie, testresultaten en uitkomsten van het bron- en contactonderzoek.
BN’ers
Op het hoogtepunt van de corona-crisis hadden 25.000 tijdelijke werknemers van de GGD vrij toegang tot alle gegevens. Met een export knop was deze informatie te downloaden en uit te wisselen. Toezicht was nauwelijks aanwezig. Medewerkers zagen informatie van vrienden, familie en bekende Nederlanders in. Ze deelden die vrijuit via onder meer Whatsapp. Sommige medewerkers gingen een stap verder en boden de gegevens in besloten chatgroepen te koop aan criminelen. Zeker acht medewerkers werden uiteindelijk opgepakt en veroordeeld. De indieners van de claim zullen wel moeten bewijzen dat scraping en het maken van foto’s van het beeldscherm vallen te voorkomen.
Volgens ICAM heeft de rechtszaak als doel de overheid ertoe te bewegen zorgvuldiger om te gaan met de vertrouwelijke gegevens van burgers. Adriaan de Gier, woordvoerder van Stichting ICAM, vindt het tekenend dat VWS zelfs ná de onthulling meer dan negen maanden heeft gewacht om het datalek te dichten. ‘Al die tijd konden kwaadwillenden hun gang blijven gaan.’
De Gier wil met de rechtszaak tevens meer openheid krijgen over de omvang van het datalek en de gevolgen die burgers daarvan hebben moeten ondervinden. Het ergert hem dat betrokken overheidsinstanties onderling hebben afgestemd bepaalde documenten niet openbaar te willen maken en in andere documenten belangrijke passages zwart te lakken. Volgens De Gier liepen gesprekken met het ministerie en meerdere Woo-verzoeken om informatie boven tafel te krijgen op niets uit.
Als 25.000 tijdelijke werknemers vrij toegang tot alle gegevens hadden en deze met een export knop konden downloaden dan zie ik weinig noodzaak in het bewijzen dat scraping en het maken van foto’s van het beeldscherm valt te voorkomen. Les 1 in gegevensbescherming gaat tenslotte om data minimalisatie want de GGD had de zaken hierin duidelijk niet op orde als iedereen overal bij kan. De vraag is vooral of dit systemisch is want ik vrees dat ook bij andere systemen eenvoudig een download gemaakt kan worden zonder dit ergens gelogd wordt.