GGD-datalek

Jouw privégegevens op straat door toedoen van de overheid?

Digitale veiligheid is een belangrijke taak van de overheid. Toch verkeren sinds het GGD-datalek miljoenen burgers in onzekerheid of hun persoonsgegevens op straat liggen. Nog steeds is de beveiliging niet op orde. Wij dagen het ministerie van VWS voor de rechter voor het niet naleven van de privacyregels.
Coronatest of -vaccinatie gehad? Dan zijn mogelijk je gegevens gestolen.
Via een collectieve actie een misstand bij de overheid aan de kaak stellen.
Steun onze actie voor een schadevergoeding van 500 – 1.500 euro p.p.

Wat is er aan de hand?

Iedereen die bij de GGD een coronatest- of vaccinatieafspraak heeft gemaakt, of bij bron- en contactonderzoek betrokken is geweest, loopt een groot risico op identiteitsfraude, oplichting en bedreiging. Van BSN-nummers en adresgegevens tot testresultaten: duizenden callcentermedewerkers konden van iedereen gevoelige informatie inzien en in bulk downloaden.

Stichting ICAM start een collectieve actie tegen het Ministerie van Volksgezondheid, Welzijn en Sport (VWS). Zij is verantwoordelijk voor de IT-systemen van de GGD, en daarmee voor het grootste datalek uit de Nederlandse geschiedenis.

Over deze actie

Wat speelt er?
Zijn mijn gegevens gestolen?
Waarom wij dit doen
Middenin de eerste golf van de pandemie moest het ministerie van VWS ervoor zorgen dat het GGD-personeel flink werd opgeschaald om de testcapaciteit op peil te houden. Verouderde IT-systemen, waar normaal slechts een klein team GGD-artsen toegang toe had, werden toegankelijk gemaakt voor duizenden nieuwe callcenter medewerkers. Zij kregen vrij toegang tot de privégegevens van miljoenen burgers en konden deze met één klik downloaden. Op deze manier konden de callcenter medewerkers gemakkelijk gegevens met elkaar uitwisselen.

Dit bleek een inschattingsfout: er werd grootschalig misbruik gemaakt. Testuitslagen van vrienden en familie werden ingezien, telefoonnummers en adresgegevens van BN'ers zoals John van den Heuvel, Peter R. de Vries en Badr Hari worden vrijuit gedeeld via Whatsapp. De GGD en VWS namen herhaaldelijke waarschuwingen niet serieus, waardoor het aangetoonde misbruik ongehinderd doorgang kon vinden.

In januari 2021 maakte RTL Nieuws journalist Daniël Verlaan als eerste melding van het datalek. Hij legde via besloten Telegram chatgroepen de hand op een bestand met daarin de privégegevens van zeker 600 personen. Deze gegevens bleken afkomstig uit twee IT-systemen van de GGD voor het maken van testafspraken en voor bron- en contactonderzoek. Volgens de aanbieders konden de gegevens van nog eens tienduizenden personen worden geleverd, in ruil voor geld. Pas nadat dit misbruik in de publiciteit kwam, schakelde het ministerie de downloadknop alsnog direct uit voor de meeste medewerkers.

26.000 GGD-medewerkers hebben vrij toegang gehad tot de gevoelige gegevens van maar liefst 6,5 miljoen burgers. Een groot deel van deze medewerkers werden tijdelijk ingehuurd en via partnerorganisaties ingebracht, zoals callcenters, alarmcentrales en IT-leveranciers. Hun screening liet te wensen over. Zij konden bij gevoelige informatie komen, zoals woonadressen, telefoonnummers, burgerservicenummers, testresultaten en met wie iemand in de afgelopen dagen contact heeft gehad.

Tot nu toe heeft de GGD van 1.250 personen kunnen vaststellen dat hun gegevens in de gestolen datasets zaten. Deze personen hebben een excuusbrief ontvangen. Daarmee staat echter niet vast dat de gegevens van de overige 6,5 miljoen mensen niét gestolen en verkocht zijn. Een steekproef van RTL Nieuws onder tien willekeurige personen van wie data in de door RTL verkregen dataset werden aangetroffen, wees uit dat niemand van hen een brief ontvangen hadden. Dit maakt de werkelijke omvang van de datadiefstal groter dan bij het ministerie en de GGD bekend zijn.

Inmiddels zijn we een jaar verder, en heeft nog steeds niemand de precieze omvang van de datadiefstal kunnen achterhalen. Wel heeft de Autoriteit Persoonsgegevens in november 2021 laten weten dat het ministerie en de GGD persoonsgegevens de persoonsgegevens van burgers nog steeds onvoldoende beveiligen. Ook jouw gegevens kunnen hier dus tussen zitten.

Burgers moeten erop kunnen vertrouwen dat de overheid zorgvuldig omgaat met het opslaan, verwerken en beveiligen van gevoelige informatie, zoals BSN-nummers en medische gegevens. Een reeks ernstige incidenten toont echter aan dat de overheid haar zaken niet op orde heeft. Er worden vaak halve maatregelen genomen in plaats van een gedegen beleid waarin privacy en dataveiligheid verankerd zijn. Hierdoor doen zich telkens opnieuw incidenten voor, waarbij de schade steeds als een voldongen feit aan de burger wordt gepresenteerd.

Juist nu het aantal besmettingen weer toeneemt, is vertrouwen in de overheid essentieel om de test- en vaccinatiebereidheid hoog te houden. Toch zijn er kennelijk meer prikkels nodig om de overheid het belang van privacy en goede beveiligingsmaatregelen te doen inzien. Daarom start Stichting ICAM een collectieve rechtszaak tegen het ministerie van VWS, dat uiteindelijk verantwoordelijk is voor de IT-systemen van de GGD.

We willen dat het ministerie:

  • helderheid geeft over de omvang van het datalek;
  • van privacy en dataveiligheid een harde eis maakt bij de uitrol van nieuwe IT-systemen bij de overheid;
  • gedupeerden een passende compensatie biedt.

We zullen eerst met het ministerie van VWS in gesprek gaan om onze eisen ingewilligd te krijgen. Als dat geen succes heeft, zullen we een rechtszaak beginnen om dit via de rechter af te dwingen.

Verhalen van gedupeerden

Sinds de gegevens bij de GGD gelekt zijn krijg ik zeer regelmatig sms’jes en belletjes van onbekende nummers. Ook word ik op Facebook regelmatig door nepaccounts lastig gevallen.
Boris
9 February, 2022
Ik heb me best vaak voor Corona getest bij de GGD en ik heb aanzienlijk veel meer spam emails ontvangen, maar veel meer storend is dat ik nog steeds regelmatig gebeld ben door verschillende nummers die mij proberen op te lichten. Ik vermoed dat dat mee te maken heeft met de GGD datalek.
Adina
31 January, 2022
Nadat ik mij heb laten testen bij de testlocatie in (*) in december 2020, heb ik erg veel last van spam mail gekregen (soms tot circa 10 stuks per dag) waarin je natuurlijk gevraagd wordt om ergens op te klikken. Daarvoor nooit gehad, een enkele in jaren.
Olga
7 April, 2022

Wat gaan wij er aan doen?

STAP 1
Meld je aan voor een claim
Sluit je aan
STAP 2
Wij verifiëren je gegevens
STAP 3
Wij vorderen een schade-vergoeding voor jou
Meld je nu aan

Over stichting ICAM

Stichting ICAM is een onafhankelijke organisatie zonder winstoogmerk. Met onze collectieve acties bundelen wij de krachten van groepen personen die (massa)schade lijden door toedoen van grote organisaties. Individuele partijen beschikken vaak zelf niet over voldoende kennis en financiële middelen om een rechtszaak te starten tegen organisaties met veel meer juridische en financiële slagkracht. Wij vinden dat dit geen belemmering zou moeten vormen om je recht te halen.

Met de collectieve actie rondom het GGD-datalek zet Stichting ICAM zich ervoor in de Nederlandse overheid te dwingen zorgvuldiger om te gaan met de persoonsgegevens en privacy van burgers. Dit doen we samen met een team van privacyexperts, advocaten, (oud-)politici en een betrokken achterban.

Meer over ICAM
  • Raad van Bestuur

    Marnix Bos
    Voorzitter
    Thijs Breukink
    Penningmeester
    Astrid Oosenbrug
    Woordvoerder
  • Raad van Toezicht

    Quirine Eijkman
    Voorzitter
    Rob van den Hoven van Genderen
    Lid (juridisch)
    Vacature
    Lid (financieel)

Waar heb je recht op?

Voor iedereen die is opgenomen in de GGD-systemen en waarvan dus persoonsgegevens toegankelijk zijn geweest en mogelijk zijn gestoleneisen we €500 per persoon.

Voor iedereen waarvan (in de toekomst) blijkt dat hun persoonsgegevens daadwerkelijk zijn gestoleneisen we €1.500 per persoon.

Tijdlijn van het datalek

Sleep om meer te zien

Tweede rechtszaak om belangrijke informatie boven tafel te krijgen.

September 2022
We hebben een beroep gedaan op de Woo (de Wet Open Overheid) om meer informatie over het datalek boven tafel te krijgen. Veel belangrijke informatie  bleek echter zwartgelakt, vermoedelijk meer dan is toegestaan. Daarop hebben we besloten een tweede rechtszaak op te starten.

Gesprekken met VWS leveren niets op

April 2022
Na de aankondiging van onze collectieve actie hebben we een gespreksuitnodiging naar het ministerie van VWS gestuurd. Volgens VWS hebben de 6,5 miljoen Nederlanders van wie gegevens in de GGD-systemen zaten echter geen schade geleden door het datalek, omdat ‘alles op internet nou eenmaal risico’s met zich meebrengt’

Stichting ICAM stuurt sommatiebrief uit

Februari 2022
De minister moet binnen acht weken een oplossing bieden voor het datalek en toezeggen dat de gedupeerden worden gecompenseerd. Lees de brief hier.

Beveiligingsmaatregelen nog steeds onvoldoende

November 2021
Uit onderzoek van de Autoriteit Persoonsgegevens blijken er nog steeds aanzienlijke risico’s voor de bescherming van persoonsgegevens te bestaan. De verbeteringen die de GGD heeft doorgevoerd zijn niet voldoende.

Datalek blijkt veel groter

Augustus 2021
Veel meer burgers blijken slachtoffer te zijn van het datalek dan aanvankelijk is gemeld. Ook zijn niet alle slachtoffers van het datalek geïnformeerd door de GGD.

Een excuusbrief voor 1.250 mensen

Maart 2021
Pas in maart 2021 komt het ministerie in actie. Twee maanden na publicatie van het RTL Nieuws artikel wordt de downloadmogelijkheid voor het merendeel van de medewerkers uitgeschakeld. Medio maart stuurt de GGD een excuusbrief naar de 1.250 gedupeerden die bij hen en de politie bekend zijn.

GGD onder verscherpt toezicht

Januari 2021
De Autoriteit Persoonsgegevens stelt het ministerie van VWS en de GGD na bekendmaking van het lek onder verscherpt toezicht.

Privé-gegevens burgers liggen op straat

Januari 2021
Uit onderzoek van een RTL Nieuws journalist blijkt dat er op grote schaal gehandeld wordt in de privégegevens uit de IT-systemen van de GGD. Hij weet de hand te leggen op een dataset met zeker 600 personen. De aanbieders laten weten de gegevens van tienduizenden anderen te kunnen leveren in ruil voor geld.

Waarschuwingen in de wind geslagen

December 2020
Vertrokken medewerkers waarschuwen dat ze zelfs nog weken na hun laatste werkdag in de GGD-systemen kunnen. De Autoriteit persoonsgegevens kondigt aan aanvullende vragen te stellen, maar tot handhaving leidt dit niet.

Toegang tot niet-noodzakelijke gegevens

Juli 2020
Al in de zomer van 2020 wordt duidelijk dat GGD-medewerkers informatie van vrienden opzoeken en zelfs privégegevens van BN’ers zoals John van den Heuvel en Peter R. de Vries. Gegevens zoals adressen en telefoonnummers worden verspreid in besloten Whatsapp-groepen.

Duizenden nieuwe flexkrachten erbij

April 2020
De corona pandemie stelt het ministerie van VWS voor een grote opgave: de capaciteit moet snel worden opgeschaald: duizenden callcenter medewerkers, veelal via uitzendbureaus aangetrokken, krijgen vrije toegang tot de privégegevens van miljoenen burgers. Er worden geen extra beveiligingschecks in de IT-systemen ingebouwd. 

Veelgestelde vragen

Uncategorized FAQ

  • Wie beschuldigen jullie precies?

    Stichting ICAM spreekt het ministerie van Volksgezondheid, Welzijn en Sport (VWS) aan. Gedurende de corona pandemie hebben de GGD'en hun uiterste best gedaan om alles in goede banen te leiden. Het ging echter mis bij het beveiligen van de IT-systemen waarin persoonsgegevens van 6,5 miljoen burgers zijn opgeslagen. Het ministerie van VWS had de leiding over de bestrijding van de corona pandemie en heeft opdracht gegeven tot de ingebruikname van de slecht beveiligde IT-systemen. Wij vinden dat het ministerie verantwoordelijkheid moet nemen en zich niet zou moeten verschuilen achter de GGD'en.

  • Wie kan er meedoen?

    Stichting ICAM zal een schadevergoeding vorderen voor iedereen die sinds februari 2020:

    • een corona testafspraak heeft gemaakt bij een GGD.
    • een corona vaccinatieafspraak heeft gemaakt bij een GGD.
    • contact heeft gehad met een GGD omdat zij in bron- en contactonderzoek als ‘nauw contact’ werden aangemerkt.


    Ben je meerderjarig en voldoe je aan één of meer van bovenstaande voorwaarden? Dan kun je jezelf hier opgeven als deelnemer.

  • Hoe komen jullie aan het schadebedrag?

    Wij vorderen €500 per persoon voor iedereen van wie zijn of haar gegevens in de IT-systemen van de GGD zitten. Voor iedereen van wie daadwerkelijk vast komt te staan dat zijn of haar gegevens  zijn gestolen, vorderen wij een hoger bedrag, namelijk €1.500. 

    Tot op heden is voor privacyschendingen in Nederland zo’n €250 tot €500 aan immateriële schade per persoon toegekend, in enkele gevallen zelfs meer. Voor het bepalen van de hoogte van het schadebedrag wordt meestal aangehaakt bij een uitspraak van de Raad van State van 1 april 2020. Stichting ICAM vindt dat er goede aanknopingspunten zijn om voor de gedupeerden van het GGD-datalek € 500 tot  € 1.500 te vorderen. Het gaat immers om een lek van zeer grote omvang, om gevoelige privégegevens (die vaak enkel de overheid tot haar beschikking heeft) en om langdurig verwijtbaar handelen door de overheid dat zelfs nu nog niet voldoende is opgelost. 

  • Kost het geld om mee te doen?

    Deelnemen aan deze actie kost jou niets.  Dit is een bewuste keuze geweest, in lijn met de missie van onze stichting dat kosten voor gedupeerden geen rol horen te spelen bij het halen van hun recht.

    ICAM heeft geen winstoogmerk. De procedure wordt gevoerd op basis van “no cure, no pay”. Alle kosten worden betaald door ICAM en je hoeft dus zelf niets te betalen. Alleen als er een schadevergoeding wordt toegekend, vraagt ICAM om een no cure, no pay-vergoeding om de gemaakte kosten en de risico’s te dekken. De no cure, no pay-vergoeding bedraagt 20% van de voor jou geïncasseerde schadevergoeding.  ICAM zal proberen om de no cure, no pay-vergoeding door de gedaagde partijen te laten betalen, zodat je ook die vergoeding niet hoeft te betalen.

  • Wat willen jullie bereiken?

    Met onze collectieve actie willen wij drie dingen bereiken:

    • Duidelijkheid over de omvang van de datadiefstal en op welke manier het ministerie van VWS en de GGD dat vaststellen.
    • Het vertrouwen in de digitale overheid herstellen. Daarvoor moeten privacy en databeveiliging structureel verankerd worden in beleid. Wij denken met deze rechtszaak de noodzakelijke prikkels te kunnen bieden, zodat toekomstige datalekken voorkomen worden.
    • Een schadevergoeding voor de gedupeerden van wie door toedoen van het ministerie persoonsgegevens in criminele handen zijn gekomen, of een groot risico hierop lopen.
  • Hoe zit het met die 500 euro die de GGD onlangs heeft aangeboden?

    Dat heeft de GGD inderdaad gedaan. Ze heeft dat echter aan een kleine groep gedupeerden aangeboden. Stichting ICAM vindt dat de GGD en het ministerie van VWS aan iedereen schadevergoeding moeten aanbieden, met name onze deelnemers maar eigenlijk aan de hele groep van 6,5 miljoen mensen van wie de gegevens betrokken zijn bij het datalek. Zie onze Updatemail van mei 2022 [hyperlink], waar we hier nader op in gaan.

  • Naar alle vragen
    • Actueel Een

      He share of first to worse. Weddings and any opinions suitable smallest nay. My he houses or months settle remove ladies appear. he houses or months settle remove ladies appear. ses or months settle remove ladies My he houses or months settle remove ladies appear. he houses or months settle remove ladies appear.ses or months settle remove ladies
      Meld je aan
    • Actueel Twee

      He share of first to worse. Weddings and any opinions suitable smallest nay. My he houses or months settle remove ladies appear. he houses or months settle remove ladies appear.ses or months settle remove ladies My he houses or months settle remove ladies appear. he houses or months settle remove ladies appear.ses or months settle remove ladies
      Meld je aan

    Nieuws over het GGD-datalek

    linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram