GGD-datalek leidt tot collectieve rechtszaak tegen ministerie van VWS
6 DECEMBER, AMSTERDAM - Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) moet aansprakelijk gehouden worden voor het datalek dat begin dit jaar bij de GGD is ontdekt. Dit eist stichting ICAM in een collectieve procedure tegen het ministerie, dat volgens de stichting verantwoordelijk is voor de door de GGD gebruikte IT-systemen. Eerder dit jaar werd bekend dat er door callcenter medewerkers grootschalig misbruik is gemaakt van de toegang tot de privé-informatie van ruim 6,5 miljoen Nederlanders. Het gaat om de eerste collectieve rechtszaak die gestart wordt naar aanleiding van het GGD-datalek, dat qua omvang het grootste is dat Nederland ooit heeft gekend.
Een RTL Nieuws journalist maakte eind januari als eerste melding van het datalek bij de GGD. Hij legde via besloten chatgroepen de hand op een bestand met daarin de privégegevens van zeker 600 personen. Deze gegevens bleken afkomstig uit twee IT-systemen van de GGD voor het maken van testafspraken en voor bron- en contactonderzoek. De systemen waren oorspronkelijk bedoeld voor een klein team artsen, maar werden in 2020 toegankelijk gemaakt voor duizenden nieuwe callcenter medewerkers. Zij hadden vrij toegang tot onder meer BSN-nummers, adressen en telefoonnummers, maar ook medische informatie, testresultaten en personen met wie de betreffende persoon in de dagen daarvoor in contact was geweest. Via een exportfunctie kon deze informatie eenvoudig worden gedownload. Hier is grootschalig misbruik van gemaakt: informatie van vrienden, familie en BN’ers werden ingezien en vrijuit gedeeld via Whatsapp. Andere callcenter medewerkers gingen nóg verder en boden de informatie in besloten chatgroepen te koop aan criminelen. Zeker zeven medewerkers werden opgepakt door de politie, waarvan er inmiddels twee zijn veroordeeld.
“Snelheid is geen excuus om de meest basale privacy- en beveiligingsmaatregelen opzij te schuiven; zeker niet voor een organisatie die over jouw meest gevoelige gegevens beschikt”, zegt Astrid Oosenbrug, oud-Tweede Kamerlid en woordvoerder van Stichting ICAM. “Er is door het ministerie van VWS een onaanvaardbaar risico genomen met de persoonsgegevens van miljoenen mensen. Burgers moeten erop kunnen vertrouwen dat de overheid zorgvuldig met hun privacy en dataveiligheid omgaat. Zonder dit vertrouwen ontstaat er een drempel om je te laten testen of vaccineren. Hoe geloofwaardig is een overheid die strenge privacyregels en forse boetes voor anderen opstelt, maar de regels zelf niet naleeft en boetes niet hoeft te betalen?”
Datadiefstal structureel onderschat
Een jaar na ontdekking heeft het ministerie nog steeds niet scherp wat de omvang van de datadiefstal is en hoe ver de consequenties ervan reiken. Het ministerie en de GGD hebben vooralsnog van 1.250 personen kunnen vaststellen dat hun gegevens gestolen zijn. Zij hebben allen een excuusbrief ontvangen. Maar het is inmiddels zeker dat het om veel meer mensen gaat. Zo bleek uit een steekproef van RTL Nieuws dat alle personen wiens gegevens in de door het nieuwsmedium verkregen dataset voorkwamen, geen excuusbrief van het ministerie hadden ontvangen.
Pas negen maanden na de eerste waarschuwingen over misbruik schakelde het ministerie de exportfunctie uit. “Dit kan moeilijk naïviteit genoemd worden, eerder een ingecalculeerd risico waarbij men tot het allerlaatste moment heeft gewacht om in te grijpen. De GGD en het ministerie reageerden achteraf geschokt, maar er is maandenlang door zowel werknemers als deskundigen voor misbruik gewaarschuwd. Kennelijk zijn er meer prikkels nodig om het ministerie het belang van zorgvuldige omgang met persoonsgegevens te laten inzien. Zij hoort zelf verantwoordelijkheid te nemen, in plaats van dit af te schuiven op anderen, zoals de GGD’en. Dit is een belangrijke reden voor ons om deze collectieve procedure te starten”, aldus advocaat Douwe Linders, de hoofdeiser namens stichting ICAM.
Volgens de stichting heeft het ministerie van VWS de belangrijkste privacywet (AVG) niet nageleefd. Daarin wordt voor persoonsgegevens onder meer het principe van dataminimalisatie voorgeschreven: organisaties moeten beperken wie er toegang heeft, en alleen tot datgene wat zij daadwerkelijk nodig hebben. Zo had het ministerie bijvoorbeeld veel duidelijkere afspraken over de omgang met deze gegevens kunnen maken, met alle partijen die door de GGD ingehuurd werden. Ook had fraudegevoelige informatie zoals het BSN-nummer direct na registratie moeten worden versleuteld, om zo een extra beveiligingslaag in te bouwen.
Stichting ICAM vordert schadevergoeding van € 500 voor iedere burger van wie de gegevens in de GGD-systemen zaten en dus gestolen zijn of gestolen konden worden. Ze vordert € 1.500 voor iedereen waarvan bewijs is dat gegevens zijn gestolen. De komende maanden zal de stichting gebruiken om deelnemers te verzamelen, die zich zonder kosten vooraf kunnen inschrijven via de website van Stichting ICAM (www.datalek-ggd.nl).
Over de stichting
Stichting ICAM is een onafhankelijke organisatie zonder winstoogmerk. De stichting komt op voor de belangen van groepen personen die schade lijden door toedoen van grote organisaties. De collectieve rechtszaak wordt gefinancierd door het Nederlandse Liesker Procesfinanciering. Hierdoor kunnen alle burgers waarvoor de stichting optreedt zonder kosten vooraf meedoen op basis van een no cure no pay regeling. De zaak wordt inhoudelijk behandeld door een team van SOLV Advocaten onder leiding van Douwe Linders.