Collectieve rechtszaak om grootste datalek in Nederland van start

“Doel van de rechtszaak is om de overheid ertoe te bewegen zorgvuldiger om te gaan met de vertrouwelijke gegevens van burgers. Met name in situaties waarin burgers verplicht worden deze gegevens aan de overheid te verstrekken.” zegt Adriaan de Gier, woordvoerder van Stichting ICAM. “Het is tekenend dat VWS zelfs ná de onthulling meer dan negen maanden heeft gewacht om het datalek te dichten. Al die tijd konden kwaadwillenden hun gang blijven gaan. Overheidsorganisaties kennen te weinig prikkels om gevoelige informatie van burgers te behandelen met de vertrouwelijkheid die daarvoor nodig is. Boetes aan de overheid voor het overtreden van haar eigen regels worden eigenlijk nooit opgelegd. Het zou haar immers geen pijn doen.”

Stichting ICAM wil met de rechtszaak tevens meer openheid krijgen over de omvang van het datalek en de gevolgen die burgers daarvan hebben moeten ondervinden. Uit de meegeleverde bewijsstukken blijkt dat betrokken overheidsinstanties onderling hebben afgestemd bepaalde documenten niet openbaar te willen maken en in andere documenten belangrijke passages zwart te lakken. Stichting ICAM eist daarnaast een schadevergoeding van € 500 voor iedere persoon van wie gegevens in de GGD-systemen zaten en mogelijk gestolen zijn, tot € 1.500 voor een ieder waarvan vast komt te staan dat hun gegevens inderdaad zijn gestolen.

In januari 2021 maakte een RTL journalist als eerste melding van het datalek bij de GGD, nadat hij een dataset wist te bemachtigen van criminelen in een besloten chatgroep. In de datasystemen van de GGD-en worden zeer vertrouwelijke gegevens opgeslagen die de GGD-en hebben verzameld van 6,5 miljoen Nederlanders, waaronder BSN-nummers, adressen en telefoonnummers, medische informatie, testresultaten en uitkomsten van het bron- en contactonderzoek. Meer dan vijfentwintigduizend tijdelijke, veelal thuiswerkende werknemers van de GGD hebben op dat moment vrij toegang tot alle gegevens. Met een export knop kan deze informatie gedownload en uitgewisseld worden, maar toezicht is nauwelijks aanwezig. Hier wordt grootschalig misbruik van gemaakt: informatie van vrienden, familie en BN’ers worden door medewerkers ingezien en vrijuit gedeeld via onder meer Whatsapp. Sommige malafide medewerkers gaan een stap verder en bieden de gegevens in besloten chatgroepen te koop aan criminelen. Zeker acht medewerkers worden uiteindelijk opgepakt en veroordeeld.

Het ministerie en de GGD zeggen van 1.250 personen vastgesteld te hebben dat hun gegevens gestolen zijn. Zij hebben een excuusbrief ontvangen en hen is een handreiking gedaan. Uit een steekproef van RTL Nieuws bleek echter dat alle personen wiens gegevens in de door het nieuwsmedium verkregen dataset voorkwamen, geen excuusbrief van het ministerie hadden ontvangen. Er zijn dus van meer mensen gegevens gestolen.

“Het lijkt er sterk op dat het ministerie en de GGD zich uitsluitend hebben gebaseerd op screenshots die de veroordeelde medewerkers zelf hebben gemaakt.” zegt Douwe Linders, advocaat namens de stichting. “Logbestanden over welke medewerkers toegang zochten tot informatie lijken namelijk gebrekkig of zelfs totaal afwezig te zijn. Dat roept de vraag op hoe men dan heeft kunnen vaststellen dat het bij die 1.250 slachtoffers gebleven is. Zeker als het onderzoek van RTL Nieuws criminelen citeert die zeggen de gegevens van ‘tienduizenden Nederlanders’ te kunnen leveren. Opmerkelijk genoeg willen noch het ministerie, noch de GGD, noch de Autoriteit Persoonsgegevens antwoord geven op die vraag.”

De rechtszaak van stichting ICAM zal naar verwachting enkele jaren in beslag nemen.

Dankzij de in 2020 geïntroduceerde Wet afwikkeling massaschade in collectieve actie (WAMCA) kunnen gekwalificeerde stichtingen naar de rechter stappen om voor groepen consumenten belangen te behartigen. De rechter bepaalt dan in één procedure of een organisatie de fout in is gegaan en wat eventueel de schadevergoeding moet zijn. De wet moet de rechtspositie van burgers en consumenten versterken wanneer zij als groep nadeel ondervinden door toedoen van grote bedrijven en overheidsorganisaties. Deze beschikken immers vaak over meer juridische en financiële slagkracht dan een individuele burger of consument, waardoor opkomen voor je rechten voor de gemiddelde burger vrijwel onmogelijk is.

Stichting ICAM is een op de WAMCA gebaseerde organisatie zonder winstoogmerk. De stichting komt op voor de belangen van groepen personen die nadeel ondervinden door toedoen van grote organisaties. De collectieve rechtszaak wordt gefinancierd door een Nederlandse procesfinancier. Hierdoor kunnen alle gedupeerden waarvoor de stichting optreedt meedoen op basis van een no cure no pay regeling.