- Wie beschuldigen jullie precies?
Stichting ICAM spreekt het ministerie van Volksgezondheid, Welzijn en Sport (VWS) aan. Gedurende de corona pandemie hebben de GGD'en hun uiterste best gedaan om alles in goede banen te leiden. Het ging echter mis bij het beveiligen van de IT-systemen waarin persoonsgegevens van 6,5 miljoen Nederlandse burgers zijn opgeslagen. Het ministerie van VWS had de leiding over de bestrijding van de corona pandemie en heeft opdracht gegeven tot de ingebruikname van de slecht beveiligde IT-systemen. Wij vinden dat het ministerie verantwoordelijkheid moet nemen en zich niet zou moeten verschuilen achter de GGD'en.
- Welke fouten hebben zij gemaakt
In het kort:
- 26.000 medewerkers hadden toegang tot veel meer gegevens dan zij nodig hadden voor hun werk.
- Deze medewerkers konden zonder fraudecontroles grote bestanden met persoonsgegevens downloaden.
- Deze persoonsgegevens waren niet versleuteld.
- Medewerkers werden niet goed geïnstrueerd hoe er met privacy diende te worden omgegaan.
- De activiteiten van de medewerkers werden niet (voldoende) gelogd en gemonitord. Daardoor werd de datadiefstal niet tijdig gesignaleerd en weet niemand hoeveel data er precies zijn gestolen.
- Zeer gevoelige gegevens van 6,5 miljoen burgers zijn hierdoor mogelijk in criminele handen gekomen.
- Welke regels zijn precies overtreden?
De wijze waarop het ministerie van VWS met persoonsgegevens binnen de IT-systemen van de GGD is omgegaan en nog steeds omgaat, is in strijd met de Algemene Verordening Gegevensbescherming (AVG), specifieke zorgwetgeving en verschillende NEN-normen.
Om precies te zijn is in strijd gehandeld met:
- Het beginsel van dataminimalisatie van artikel 5 van de AVG.
- De beginselen van privacy by design en privacy by default van artikel 25 AVG.
- De beveiligingsplicht zoals neergelegd in artikel 32 AVG.
- De NEN 7510 norm voor informatiebeveiliging in de zorg.
- De Wet op de geneeskundige behandelingsovereenkomst en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.
- Hebben we hier geen toezichthouders voor?
Jazeker, maar helaas is de Autoriteit Persoonsgegevens (AP) structureel onderbezet. In veel gevallen ontbreekt het de toezichthouder aan voldoende capaciteit om inbreuken op te sporen en recht te zetten. Pas in november 2021 heeft de Autoriteit Persoonsgegevens een rapport naar buiten gebracht over het GGD-datalek en geconcludeerd dat de beveiliging nog steeds (!) ondermaats is. Tot een boete of dwangsom is het echter niet gekomen.
- Wat willen jullie bereiken?
Met onze collectieve actie willen wij drie dingen bereiken:
- Duidelijkheid over de omvang van de datadiefstal en op welke manier het ministerie van VWS en de GGD dat vaststellen.
- Het vertrouwen in de digitale overheid herstellen. Daarvoor moeten privacy en databeveiliging structureel verankerd worden in beleid. Wij denken met deze rechtszaak de noodzakelijke prikkels te kunnen bieden, zodat toekomstige datalekken voorkomen worden.
- Een schadevergoeding voor de gedupeerden van wie door toedoen van het ministerie persoonsgegevens in criminele handen zijn gekomen, of een groot risico hierop lopen.
- Hoe kom ik erachter of mijn data zijn misbruikt?
Dit is onduidelijk: er bestond geen ‘logboek’ van de handelingen die medewerkers uitvoeren binnen de IT-systemen van de GGD. Daarom weten het ministerie en de GGD niet van wie precies de gegevens zijn gestolen en hoe groot deze groep is. Medewerkers werden niet of nauwelijks gecontroleerd en plannen om dit wel te doen zijn nooit geïmplementeerd.
Tot nu toe hebben het ministerie en de GGD van 1.250 mensen kunnen vaststellen dat hun gegevens daadwerkelijk zijn ontvreemd. Zij hebben van de GGD een excuusbrief gekregen. Voor alle andere 6,5 miljoen mensen tasten we momenteel in het duister of hun gegevens wel of niet zijn gestolen. Stichting ICAM wil duidelijkheid hierover en wil dat de beveiliging op orde wordt gebracht. Daarom spannen we deze zaak aan namens alle burgers die zich in de IT-systemen van de GGD bevonden.
- Hoe zit het met die 500 euro die de GGD onlangs heeft aangeboden?
Dat heeft de GGD inderdaad gedaan. Ze heeft dat echter aan een kleine groep gedupeerden aangeboden. Stichting ICAM vindt dat de GGD en het ministerie van VWS aan iedereen schadevergoeding moeten aanbieden, met name onze deelnemers maar eigenlijk aan de hele groep van 6,5 miljoen mensen van wie de gegevens betrokken zijn bij het datalek. Zie onze Updatemail van mei 2022, waar we hier nader op in gaan.
- Wat is de status van de rechtszaak?
De gesprekken met VWS en de GGD-en in het voorjaar van 2022 hebben niets uitgehaald. Men weigert openheid van zaken te geven over wat er precies gebeurd is en wat de impact van het lek is geweest. We willen bijvoorbeeld weten van wie er gegevens gestolen zijn en van wie niet. Men wil ook de onderzoeksrapporten waarin dat staat niet met ons delen: alles is ‘geheim’ en ‘vertrouwelijk’. VWS en de GGD-en vinden dat er ook geen reden is om schadevergoeding te betalen (behalve de ca. 1.250 mensen die als ‘gebaar’ € 500 hebben ontvangen). Om die reden brengt Stichting ICAM in maart 2023 de dagvaarding uit en is de gerechtelijke massaschadeprocedure officieel gestart. Ook hebben we een paar Woo-procedures gestart, om ook langs die weg informatie te verzamelen. Meer informatie vind je ook op de tijdlijn van het datalek.
- Door wie en hoe wordt deze zaak gefinancierd?
De rechtszaak wordt gefinancierd door Liesker Procesfinanciering, gevestigd in Breda. Hierdoor kunnen wij beloven dat deelnemers zelf geen eigen bijdrage hoeven te betalen. De procesfinancier schiet de kosten van de rechtszaak voor en zorgt dat deze gevoerd kan worden op basis van een "no cure no pay"-afspraak: hij krijgt alleen een vergoeding voor zijn kosten als de zaak slaagt.
Deze vergoeding bedraagt 20% van de schadevergoeding die Stichting ICAM voor gedupeerden weet te innen, en is gemaximeerd op vijf keer de door de procesfinancier geïnvesteerde som. Deze vergoeding is bedoeld om de procesfinancier te compenseren voor het grote risico dat hij loopt. In de sectie Documenten is een Verantwoordingsdocument te vinden, waarin we de afspraken tussen Stichting ICAM en de procesfinancier nader toelichten.