RTL: Privégegevens van miljoenen Nederlanders uit systemen GGD worden illegaal op internet verhandeld

Die gegevens zijn geld waard voor criminelen, die hun werkterrein steeds vaker naar internet verleggen. Een mailadres, een adres en een telefoonnummer kunnen worden gebruikt voor phishing, waarbij wordt geprobeerd geld af te troggelen door je voor te doen als een organisatie. Via een hack van de adreslijst in WhatsApp doet een oplichter zich voor als bijvoorbeeld een familielid, om zo geld over te laten maken.

Omdat een van de twee systemen, CoronIT, wordt gebruikt om te registreren wie een coronatest heeft gedaan, zijn er bij dit datalek ook burgerservicenummers (BSN) te koop voor criminelen. Dat BSN kan in combinatie met de overige gegevens (die er in CoronIT dus bij staan) gebruikt worden voor identiteitsfraude. Daarbij doet een dader zich als iemand anders voor, of vervalst zijn eigen gegevens met de gelekte BSN-nummers. 

Ook wordt volgens RTL Nieuws aangeboden om specifieke personen op te zoeken – waarmee de adressen van bedreigde of bekende personen op straat kunnen komen te liggen. RTL vroeg zelf een aantal van die bestanden op, overigens met toestemming van de betrokkenen.

Callcenter

De gegevens zijn behalve uit CoronIT ook uit HPzone Light gehaald, dat voor bron- en contactonderzoek wordt gebruikt. Zo’n 26.000 mensen hebben toegang tot die software en kunnen dus gegevens inzien. Afgelopen weekend arresteerde de politie twee mannen van 21 en 23 op verdenking van de illegale handel in persoonlijke data. Beide werkten voor een callcenter van de GGD dat wordt ingezet voor het bron- en contactonderzoek. Zij zijn gearresteerd nadat de GGD vrijdag melding deed van datadiefstal.

André Rouvoet, voorzitter van de GGD GHOR Nederland, belooft verbetering aan RTL Nieuws. Het is nu al zo dat medewerkers een Verklaring Omtrent het Gedrag (VOG) moeten aanleveren. 

Doordat het hoogstwaarschijnlijk mensen zijn die de data uit de systemen haalden, is beter beveiligen van de software zelf niet zomaar de oplossing. Daarbij moest de GGD in korte tijd flink meer mensen in dienst nemen en registreren in software die niet ontworpen is voor de schaal van de huidige covid-19-pandemie. En ook bij GGD’s werken mensen thuis, wat controle moeilijker maakt. 

Toch zijn er mogelijkheden om de systemen beter te beveiligen, legt Bèr Engels van privacy-organisatie Bits of Freedom uit. Zo kun je vastleggen wie wanneer in welke programma's is geweest, of van bepaalde velden voorkomen dat er tekst uit wordt geknipt.

CoronIT wordt nu alleen door de GGD-testlocaties gebruikt om te registreren wie is getest of niet. Halverwege deze maand zei het RIVM te verwachten dat ook commerciële bedrijven er hun resultaten in kunnen gaan registreren.