GGD GHOR Nederland heeft namens de GGD’en zo’n 1.250 personen geïnformeerd dat hun gegevens onbevoegd zijn ingezien, gestolen en mogelijk verkocht. Zij kwamen naar voren tijdens nog lopend politieonderzoek. Het is volgens GGD GHOR niet duidelijk wanneer de politie het onderzoek afrondt en of er nog meer gedupeerden zijn. De datadiefstal betrof gegevens uit het systeem CoronIT. Dat stelt de instantie in reactie op berichtgeving van RTL Nieuws over nieuw opgedoken gestolen databestanden.
De Autoriteit Persoonsgegevens (AP) stelde de GGD GHOR afgelopen januari onder ‘verscherpt toezicht’ na het bekend worden van grootschalige datadiefstal van persoonsgegevens uit twee informatiesystemen van de GGD. Uit onderzoek van RTL Nieuws bleek destijds dat een kwetsbaarheid in beide systemen was misbruikt door in ieder geval twee medewerkers, die persoonsgegevens hadden verkocht. Het downloaden van deze gegevens bleek al sinds april 2020 mogelijk te zijn. De politie heeft tot nu toe zeven verdachten aangehouden, waarvan er op dit moment twee zijn voorgeleid bij de rechter. Deze maand worden de rechtszaken verwacht.
Datadiefstal groter dan verwacht
Nu stelt RTL Nieuws dat de omvang van de datadiefstal uit GGD-systemen veel groter is dan eerder gedacht. Gedupeerden zouden niet allemaal geïnformeerd zijn. GGD GHOR geeft aan nog steeds in contact te staan met de politie. Er is vooralsnog geen indicatie dat de instantie mensen niet geïnformeerd heeft, die wel gedupeerd zouden zijn.
De politie houdt GGD GHOR regelmatig op de hoogte, eind juni zijn er opnieuw gedupeerden geïnformeerd over de datadiefstal van begin dit jaar. Iedereen die zich bij de GGD’en laat testen of vaccineren moet er vanuit kunnen gaan dat hun gegevens veilig zijn. Daar stelt de organisatie naar eigen zeggen alles voor in het werk.
De instantie wijst nogmaals op maatregelen naar aanleiding van de datadiefstal in januari, zoals het feit dat gegevens niet makkelijk uit de systemen gehaald kunnen worden zonder daartoe bevoegd te zijn. Ook heeft de politie de noodzakelijke toegang gekregen tot GGD GHOR- systemen om daders op te sporen en heeft GGD GHOR onderzoek gedaan op internet naar mogelijk te koop aangeboden persoonsgegevens. Een specialistisch team houdt zich continu bezig met een check of medewerkers op een zorgvuldige manier omgaan met persoonsgegevens.
Onbekend databestand
In juni bleek dat RTL Nieuws over een, bij GGD GHOR onbekend, gestolen databestand van de GGD’en leek te beschikken. Iemand op die lijst was benaderd door RTL Nieuws. Hij bleek echter niet door GGD GHOR geïnformeerd over een eventuele datadiefstal, nam daarop contact op met de instantie maar bleek niet op een gedupeerdenlijst te staan.
‘Vervolgens hebben wij aan de redactie van RTL Nieuws gevraagd om de datasets met gedupeerden, die zij blijkbaar in bezit hebben, te delen met ons of de politie’, aldus GGD GHOR op haar website. ‘Zo kan verder onderzoek worden uitgevoerd en beoordeeld worden of er inderdaad sprake is van datadiefstal. Eventuele dader(s) kunnen dan worden opgespoord en de eventuele gedupeerden kunnen door ons worden ingelicht. De redactie van RTL heeft dit verzoek geweigerd op journalistieke gronden.’
Als blijkt dat RTL nog steeds gestolen databestanden in bezit heeft, betreurt GGD GHOR het dat hierdoor onderzoek naar de daders en het niet informeren van gedupeerden wordt belemmerd. ‘Wij doen alles wat in ons vermogen ligt om ervoor te zorgen dat gegevens van mensen die zich laten testen of vaccineren in veilige handen zijn en blijven.’