Antwoorden van minister De Jonge op vragen over het bericht dat de diefstal van computerdata over personen veel groter is dan gemeld, en dat gedupeerden niet zijn geïnformeerd. Het Tweede Kamerlid Hijink (SP) heeft deze vragen gesteld (ingezonden 13 augustus 2021).
1. Wat is uw oordeel over het bericht dat de datadiefstal bij de GGD veel groter is dan gemeld en dat gedupeerden niet zijn geïnformeerd?
Ik heb kennisgenomen van het bericht en contact opgenomen met GGD GHOR Nederland. Voor zover nu bekend gaat het om 1.250 gedupeerden. GGD GHOR Nederland heeft mij aangegeven dat uit onderzoek tot op heden niet blijkt dat de datadiefstal groter is dan gemeld noch dat er gedupeerden niet zouden zijn geïnformeerd.
2. Wanneer werd bekend bij de GGD dat de gegevens van veel meer mensen zijn gestolen dan eerder werd gemeld?
In juni kreeg GGD GHOR Nederland het signaal dat RTL mensen benaderde met de vraag of zij geïnformeerd waren door GGD GHOR Nederland dat hun data deel uitmaakte van de datadiefstal. GGD GHOR Nederland heeft daarop RTL benaderd met de vraag of RTL beschikte over (nieuwe) databestanden gestolen uit de systemen van de GGD. GGD GHOR Nederland heeft RTL twee keer gevraagd om eventuele bestanden met hen of de politie te delen in het kader van het onderzoek en het informeren van getroffen burgers. RTL heeft dit verzoek beide keren op journalistieke gronden naast zich neergelegd.
Of “de datadiefstal veel groter is dan gemeld” is op grond van het bericht van RTL niet te zeggen. RTL geeft aan dat zij de bestanden eerder dit jaar hebben verkregen en daarvan een tiental personen te hebben gebeld met de vraag of zij zijn geïnformeerd door de GGD. Omdat RTL de bestanden niet wil delen (en stelt deze inmiddels verwijderd te hebben) kan niet worden vastgesteld of dit gaat om de persoonsgegevens van mensen die nog niet door de GGD geïnformeerd zijn.
3. Hoe komt het dat de GGD onvoldoende in kaart heeft van welke mensen de gegevens zijn gestolen?
GGD GHOR Nederland heeft destijds door externe partijen onderzoek laten doen naar de datadiefstal binnen de systemen CoronIT en HPZone. Uit deze onderzoeken zijn geen aanwijzingen gevonden om te stellen dat de datadiefstal groter is dan gemeld. De resultaten van die onderzoeken zijn gedeeld met de politie. De politie doet strafrechtelijk onderzoek naar de datadiefstal uit systemen van de GGD onder gezag van het openbaar ministerie. Het onderzoek is lopend en tot nu toe zijn zeven verdachten aangehouden.
De politie heeft aan GGD GHOR Nederland de bestanden die aangetroffen zijn bij verdachten doorgegeven. Op basis van die bestanden zijn circa 1.250 mensen door GGD GHOR Nederland per brief geïnformeerd. Een organisatie kan alleen mensen informeren waarvan zij weet dat zij gedupeerd zijn.
Zoals eerder aan uw Kamer gemeld heeft GGD GHOR Nederland direct nadat de datadiefstal in januari bekend werd aanvullende maatregelen getroffen om datadiefstal te detecteren en tegen te gaan. (1)
4. Wanneer bent u op de hoogte gebracht van het feit dat de datadiefstal veel meer mensen betrof dan zijn geïnformeerd? Waarom heeft u de Kamer hier niet van op de hoogte gesteld?
In eerdere brieven heb ik uw Kamer geïnformeerd over de potentiële slachtoffers van de datadiefstal en de communicatie van GGD’en richting de vastgestelde slachtoffers. GGD GHOR Nederland kan de vermeende gedupeerden in het meest recente bericht van RTL niet verifiëren omdat RTL niet is ingegaan op het verzoek van GGD GHOR Nederland om inzage te geven in de gegevens of het bestand te delen.
5. Hoe kon het gebeuren dat slechts 1250 mensen zijn geïnformeerd dat hun data is gestolen, terwijl het nu om “vele duizenden tot tienduizenden personen” blijkt te gaan?
Of “de datadiefstal veel groter is dan gemeld” is op grond van het bericht van RTL niet te zeggen. De 1.250 personen waarvan kon worden vastgesteld dat de gegevens zijn gestolen, zijn door GGD GHOR Nederland geïnformeerd. Een ieder die meer informatie heeft roep ik op deze informatie te delen met de politie.
6. Hoe gaat u ervoor zorgen dat alle mensen van wie de gegevens zijn gestolen hierover zo snel mogelijk worden geïnformeerd?
Alle personen waarvan is vastgesteld dat de gegevens zijn gestolen, zijn door GGD GHOR Nederland geïnformeerd.
7. Kunt u een volledig overzicht geven van hoeveel mensen zijn getroffen door de datadiefstal bij de GGD en hoeveel mensen hiervan op de hoogte zijn gesteld?
De politie doet strafrechtelijk onderzoek naar de datadiefstal en heeft aan GGD GHOR Nederland de namen van gedupeerden doorgegeven die zijn aangetroffen bij de betreffende verdachten. Het betreft circa 1.250 mensen en zij zijn allemaal door GGD GHOR Nederland per brief geïnformeerd.
8. Hoe staat het inmiddels met de informatieveiligheid bij de GGD, in het bijzonder binnen CoronIT en HPZone Lite? Zijn alle stappen die in de Kamerbrief van januari hierover zijn aangekondigd reeds doorlopen?
Voor het antwoord op deze vraag verwijs ik u naar mijn brieven aan uw Kamer van 2 februari 2021 (2), 12 februari 2021 (3), 23 februari 2021 (4), 23 maart 2021 (5), 13 april 2021 (6), 11 mei 2021 (7), 18 juni 2021 (8), 6 juli 2021 (9) en 13 augustus 2021 (10).
9. Wat is er gebleken uit de externe audit die is uitgevoerd? Zijn daaruit nog resterende risico’s op het gebied van informatieveiligheid naar boven gekomen?
Voor het antwoord op deze vraag verwijs ik u naar mijn brieven aan uw Kamer van 11 mei 2021 (11) (12) en 18 juni 2021 (13).
Voetnoten
(1) Kamerstuk, vergaderjaar 2020-21, 27529, nr. 235
(2 Kamerstuk, vergaderjaar 2020-21, 27529, nr. 235
(3) Kamerstuk, vergaderjaar 2020-21, 27529, nr. 258
(4) Kamerstuk, vergaderjaar 2020-21, 25295, nr. 995
(5) Kamerstuk, vergaderjaar 2020-21, 25295, nr. 1063
(6) Kamerstuk, vergaderjaar 2020-21, 25295, nr. 1105
(7) Kamerstuk, vergaderjaar 2020-21, 25295, nr. 1179
(8) Kamerstuk, vergaderjaar 2020-21, 25295, nr. 1297
(9) Kamerstuk, vergaderjaar 2020-21, 25295, nr. 1356
(10) Kamerstuk, vergaderjaar 2020-21, 2021Z14270
(11) Kamerstuk, vergaderjaar 2020-21, 25295, nr. 1179
(12) Kamerstuk, vergaderjaar 2020-21, 27529, nr. 264
(13) Kamerstuk, vergaderjaar 2020-21, 25295, nr. 1297
