Uit onderzoek van RTL Nieuws blijkt dat er BSN-nummers, adresgegevens en telefoonnummers uit de GGD-coronasystemen zijn gelekt en worden verhandeld. Twee werknemers van een GGD-callcenter worden ervan verdacht de gegevens te hebben aangeboden via berichtendienst Telegram. Zij zijn intussen aangehouden. Het toont aan dat een goede persoonsgegevensbeveiliging altijd noodzakelijk is, net zoals het snel handelen na een datalek.
Medewerkers hadden eenvoudig toegang tot persoonsgegevens
De gelekte gegevens zijn afkomstig uit twee databanken, CoronIT en HPzone Light. Zo’n 26.000 GGD’ers en callcentermedewerkers hebben toegang tot die eerste databank, waarin onder andere informatie over testafspraken en testuitslagen te vinden is. De tweede databank, waartoe de callcentermedewerkers eveneens toegang hebben, werd onder andere gebruikt voor bron- en contactonderzoek. De verhandelde persoonsgegevens kunnen nu worden gebruikt voor identiteitsfraude, stalking en phishing.
De callcentermedewerkers verdienen gemiddeld 11 euro per uur en krijgen met veel stress te maken. Dit maakt van hen een makkelijk doelwit voor criminelen die hen actief benaderen. Volgens een anonieme tussenpersoon zou er op deze manier dagelijks tot honderden euro’s kunnen worden verdiend. Tegelijkertijd wordt er massaal vanuit huis gewerkt en is de controle minder goed, wat het opnieuw eenvoudiger maakt om gegevens naar criminelen door te sluizen. Het gaat bovendien om medische gegevens, een van de gevoeligste persoonsgegevens die er zijn. Hierdoor is de gezondheidssector sowieso al een geliefd doelwit.
Beveiligingsmaatregelen volstonden mogelijk niet
Nochtans had men wel een aantal beveiligingsmaatregelen getroffen. Zo moeten medewerkers allemaal over een VOG (Verklaring Omtrent het Gedrag) beschikken, een geheimhoudingsverklaring ondertekenen en volgen er steekproefsgewijs controles. Na de berichtgeving in de krant heeft de GGD aangegeven dat ze de controle nog verder zullen opschalen om vanaf eind maart de systemen ook volledig permanent te monitoren.
Autoriteit Persoonsgegevens onderzoekt het datalek
Intussen heeft koepelorganisatie GGD GHOR Nederland ook officieel melding gedaan van het datalek. Dit is niet onbelangrijk, want organisaties zijn verplicht om alle datalekken bij de Autoriteit Persoonsgegevens (AP) te melden. De AP heeft opheldering geëist, zonder nu al uitspraken te doen over eventuele nalatigheid. Daarvoor moet het onderzoek eerst worden afgerond.
Toch zijn er intussen wel signalen die op nalatigheid wijzen. Een medewerkster zou aan RTL Nieuws hebben verklaard dat er maanden geleden al personeelsleden aan de alarmbel trokken, maar dat er nooit werd ingegrepen. Ook heeft de GGD intussen zelf verklaard dat de HPZone-software niet privacyvriendelijk is voor de schaal waarop wordt gewerkt en dat ze zullen overstappen naar een veiliger portaal. Dit lijkt zelfs een understatement te zijn, want de gegevens waren heel makkelijk te exporteren en er werd zelfs niet gelogd wie toegang had gekregen tot bepaalde data.
We benadrukken dat de AP de laatste jaren al talloze keren heeft aangegeven dat de beveiliging van medische gegevens aan de hoogste eisen moet voldoen. Het heeft ook altijd actief ingegrepen bij inbreuken. Zo kreeg het HagaZiekenhuis eerder nog een boete van 460.000 euro opgelegd omdat een aantal werknemers het medisch dossier van Samantha de Jong hadden ingekeken. Toen bleek dat het ziekenhuis de logs onvoldoende had gecontroleerd en dat er geen tweestapsverificatie was voorzien. Bij het HagaZiekenhuis was er dus zelfs nog sprake van logbestanden, wat bij het nieuwe GGD-datalek niet eens het geval is …
Beveiliging van persoonsgegevens moet grootste prioriteit zijn
Indien er uiteindelijk ook effectief sprake zou zijn van nalatigheid riskeert men niet alleen een boete, maar kunnen alle benadeelden ook een schadeclaim indienen. Benadeelden kunnen ook nu al schriftelijk een klacht indienen bij de GGD. Nadien kunnen ze daarvan een bewijs aanleveren bij de AP zodat zij met de klacht aan de slag kunnen gaan.
Uiteindelijk moet de beveiliging van persoonsgegevens voor elke organisatie een topprioriteit zijn. Het datalek bij de GGD heeft dit nog maar eens bewezen. Publiekelijke verontwaardiging, negatieve media-aandacht, torenhoge boetes en schadeclaims kunnen volgen. Zorg er dus voor dat je aan de AVG-eisen voldoet. Maak een belafspraak met een van onze privacy-experts en laat je adviseren.
MKBrecht.nl Bedrijfsjuristen & Advocaten
Met onze brede expertise binnen onze praktijkgebieden bedienen we cliënten in uiteenlopende sectoren. Van MKB, beursgenoteerde bedrijven en internationale ondernemingen tot (semi-)overheden en non-profit. We bieden juridische adviezen op alle niveaus, van boardroom tot individuele medewerker. Kenmerkend voor onze dienstverlening zijn de hoge kwaliteit, betrouwbaarheid en verdieping in specialismen.
Op zoek naar:
Meer weten over onze dienstverlening? Bel 085 25000 44
