Grootschalige handel in data uit coronasystemen GGD

Twee personen zijn dit weekend door de politie gearresteerd wegens het handelen in gegevens afkomstig uit coronasystemen van de GGD. Onder meer adresgegevens, telefoonnummers en burgerservicenummers werden verkocht.

Dit blijkt uit onderzoek van RTL Nieuws, dat de GGD heeft geconfronteerd met de illegale handel. Hierop is het cybercrimeteam van de politie Midden-Nederland ingeschakeld, dat een onderzoek is gestart. Twee mannen in Amsterdam zijn gearresteerd: een 21-jarige man uit Heiloo en een 23-jarige man uit Alblasserdam. Beide waren werkzaam in het callcenter van de GGD. Bij huiszoekingen zijn computers in beslag genomen.

CoronaIT en HPzone Light

De gestolen data is afkomstig uit een tweetal coronasystemen van de GGD: CoronIT en HPzone Light. CoronIT bevat privégegevens van Nederlanders die een coronatest hebben gedaan. HPzone Light is het systeem voor bron- en contactonderzoek van de GGD.

Gegevens uit de systemen is op Telegram, Snapchat en Wickr maandenlang te koop aangeboden via tientallen accounts en grote chatgroepen. De kosten van dergelijke gegevens variëren. Het was ook mogelijk gericht informatie van een specifiek persoon te laten opzoeken. In andere gevallen werden grote datasets met privégegevens van tienduizenden Nederlanders aangeboden, inclusief burgerservicenummers. Deze gegevens kunnen worden misbruikt voor identiteitsfraude. De overheid biedt burgers daarnaast geen mogelijkheid het burgerservicenummer te wijzigen.

De gegevens worden naar verluid gestolen door omgekochte medewerkers van de GGD en andere organisaties die toegang hebben tot de systemen. In andere gevallen worden medewerkers betaald voor inloggegevens tot deze systemen.

AP: 'Zeer kwalijk'

Opvallend is dat de GGD geen geautomatiseerde en continu controle uitvoert op de systemen. Een dergelijke controle moet eind maart alsnog worden uitgevoerd. De Autoriteit Persoonsgegevens spreekt van een 'ernstig datalek' en noemt deze 'zeer kwalijk'. "De AP heeft de GGD direct om opheldering geëist. Deze data bevatten naam, adres, woonplaats en telefoonnummers en ook nog eens BSN’s: allemaal actueel en in grote hoeveelheden. Dat is heel veel waard", zegt de toezichthouder tegen RTL Nieuws. Ook wijst de toezichthouder erop dat organisatie nalatig kunnen zijn indien zij gegevens in het systeem onvoldoende beveiligen. "Dan riskeer je niet alleen een boete van de AP, maar ook bijvoorbeeld massaclaims van slachtoffers."

"Wij zijn verantwoordelijk voor de veiligheid van onze systemen", zegt André Rouvoet, voorzitter van de GGD GHOR Nederland. "Iedereen die zich bij ons laat testen moet daar op kunnen vertrouwen. Na melding door RTL Nieuws heeft de GGD 'onmiddellijk verdere maatregelen getroffen'. De GGD meldt ook dat medewerkers een Verklaring Omtrent het Gedrag (VOG) moeten aanleveren en een geheimhoudingsverklaring ondertekenen. Daarnaast worden steekproefgewijs controles uitgevoerd onder medewerkers.

U-Diagnostics

Het is niet de eerste keer dat privégegevens van Nederlanders lekken via systemen verbonden aan coronatests. Vorige week kwam ook al een datalek aan het licht. Toen ging het om het commerciële testbedrijf U-Diagnostics, dat persoonsgegevens bleek te delen via een WhatsApp-groep. Ook werden in deze groep inloggegevens tot een database gedeeld, waardoor gegevens van tenminste tienduizenden Nederlandse niet goed beveiligd waren.