4min Security

Collectieve rechtszaak om grootste datalek in Nederland van start

Collectieve rechtszaak om grootste datalek in Nederland van start

Stichting ICAM kondigt vandaag aan een rechtszaak tegen het ministerie van VWS te zijn gestart. De stichting houdt VWS verantwoordelijk voor het datalek dat men in 2021 bij de GGD ontdekte. Vertrouwelijke gegevens van 6,5 miljoen mensen belandden toen op straat . Gesprekken met het ministerie en meerdere Woo-verzoeken om informatie boven tafel te krijgen, liepen afgelopen jaar op niets uit.

Stichting ICAM heeft daarop het ministerie gedagvaard voor de rechtbank Amsterdam. Dit mede namens de ruim 133.000 burgers die zich bij haar als actieve deelnemer aanmeldden. Niet eerder heeft een overheidsorganisatie zich in een privacyzaak van deze omvang voor de rechter moeten verantwoorden.

Zorgvuldige omgang

“Doel van de rechtszaak is om de overheid ertoe te bewegen zorgvuldiger om te gaan met de vertrouwelijke gegevens van burgers. Met name in situaties waarin burgers verplicht worden deze gegevens aan de overheid te verstrekken.” zegt Adriaan de Gier, woordvoerder van Stichting ICAM. “Het is tekenend dat VWS zelfs ná de onthulling meer dan negen maanden wachtte om het datalek te dichten. Al die tijd konden kwaadwillenden hun gang blijven gaan. Overheidsorganisaties kennen te weinig prikkels om gevoelige informatie van burgers te behandelen met de vertrouwelijkheid die daarvoor nodig is. Boetes aan de overheid voor het overtreden van haar eigen regels komen eigenlijk nooit voor. Het zou haar immers geen pijn doen.”

Openheid over datalek

Stichting ICAM wil met de rechtszaak tevens meer openheid over de omvang van het datalek. En de gevolgen die burgers daarvan ondervonden. Uit de meegeleverde bewijsstukken blijkt dat betrokken overheidsinstanties onderling afstemden bepaalde documenten niet openbaar te maken. En in andere documenten belangrijke passages zwart te lakken. Stichting ICAM eist daarnaast een schadevergoeding van € 500 voor iedere persoon van wie gegevens in de GGD-systemen zaten en mogelijk gestolen zijn, tot € 1.500 voor een ieder waarvan vast komt te staan dat hun gegevens inderdaad zijn gestolen.

Ongekend groot datalek

In januari 2021 maakte een RTL journalist als eerste melding van het datalek bij de GGD, nadat hij een dataset wist te bemachtigen van criminelen in een besloten chatgroep. In de datasystemen van de GGD-en worden zeer vertrouwelijke gegevens opgeslagen die de GGD-en hebben verzameld van 6,5 miljoen Nederlanders, waaronder BSN-nummers, adressen en telefoonnummers, medische informatie, testresultaten en uitkomsten van het bron- en contactonderzoek.

Meer dan vijfentwintigduizend tijdelijke, veelal thuiswerkende werknemers van de GGD hebben op dat moment vrij toegang tot alle gegevens. Met een export knop kan deze informatie gedownload en uitgewisseld worden, maar toezicht is nauwelijks aanwezig. Hier wordt grootschalig misbruik van gemaakt: informatie van vrienden, familie en BN’ers worden door medewerkers ingezien en vrijuit gedeeld via onder meer Whatsapp. Sommige malafide medewerkers gaan een stap verder en bieden de gegevens in besloten chatgroepen te koop aan criminelen. Zeker acht medewerkers worden uiteindelijk opgepakt en veroordeeld.

Omvang blijft onduidelijk

Het ministerie en de GGD zeggen van 1.250 personen vastgesteld te hebben dat hun gegevens gestolen zijn. Zij hebben een excuusbrief ontvangen en hen is een handreiking gedaan. Uit een steekproef van RTL Nieuws bleek echter dat alle personen wiens gegevens in de door het nieuwsmedium verkregen dataset voorkwamen, geen excuusbrief van het ministerie hadden ontvangen. Er zijn dus van meer mensen gegevens gestolen.

“Het lijkt er sterk op dat het ministerie en de GGD zich uitsluitend hebben gebaseerd op screenshots die de veroordeelde medewerkers zelf hebben gemaakt.” zegt Douwe Linders, advocaat namens de stichting. “Logbestanden over welke medewerkers toegang zochten tot informatie lijken namelijk gebrekkig of zelfs totaal afwezig te zijn. Dat roept de vraag op hoe men dan heeft kunnen vaststellen dat het bij die 1.250 slachtoffers gebleven is. Zeker als het onderzoek van RTL Nieuws criminelen citeert die zeggen de gegevens van ’tienduizenden Nederlanders’ te kunnen leveren. Opmerkelijk genoeg willen noch het ministerie, noch de GGD, noch de Autoriteit Persoonsgegevens antwoord geven op die vraag.”

De rechtszaak van stichting ICAM zal naar verwachting enkele jaren in beslag nemen.