De politie heeft het onderzoek naar de datadiefstal bij de GGD afgewikkeld. Onderzoekers stellen vast dat van zo’n 1.250 Nederlanders screenshots zijn gemaakt van hun persoonlijke gegevens. GGD GHOR gaat de betrokkenen op korte termijn informeren over het afronden van het onderzoek, en een “financieel gebaar” naar de slachtoffers maken.
Dat meldt de koepelorganisatie in een persbericht (1).
In januari 2021 ontdekte RTL Nieuws een groot datalek bij de GGD. Duizenden medewerkers konden zonder problemen bij privacygevoelige en persoonlijke gegevens van Nederlanders die zich op corona hadden laten testen. Van sommigen werden deze gegevens gekopieerd en aan de hoogste bieder verkocht.
Het voorval werd gemeld bij de Autoriteit Persoonsgegevens, die concludeerde dat de GGD zijn zaakjes niet op orde had. Voorzitter van GGD GHOR André Rouvoet en de toenmalige minister van Volksgezondheid, Welzijn en Sport (VWS) Hugo de Jonge gingen diep door het stof en boden hun excuses aan voor de gang van zaken. Sindsdien moeten (tijdelijke) medewerkers een Verklaring Omtrent Gedrag (VOG) overleggen en een geheimhoudingsverklaring ondertekenen als ze aan de slag willen in de coronabestrijding.
Voor Stichting ICAM zijn de excuses onvoldoende. De stichting, onder leiding van voormalig PvdA-Kamerlid Astrid Oosenbrug, bereidt een massaschadeclaim voor. Ze eist een bedrag van ruim 3,2 miljard euro van het ministerie van VWS. “Veel te veel mensen hadden toegang tot de gegevens. Mensen konden zonder controle grote bestanden met persoonsgegevens downloaden. Medewerkers waren niet goed geïnstrueerd, niet goed gescreend en wat ze deden werd niet goed bijgehouden. Dan ben je geen slachtoffer, maar had je zelf beter op je winkel moeten letten”, aldus Oosenbrug.
Nadat het datalek aan het licht kwam, heeft de politie vastgesteld dat er van zo’n 1.250 Nederlanders screenshots zijn gemaakt met daarop hun persoonsgegevens. Dat was in strijd met de werkinstructies en training van de callcentermedewerkers. In totaal heeft de politie acht verdachten opgepakt voor hun aandeel in de datadiefstal. Vier van hen zijn inmiddels veroordeeld, de overige vier moeten zich nog voor de rechter verantwoorden.
“Nu het politieonderzoek is afgerond, hebben we inzicht in de omvang en impact van de datadiefstal”, vertelt Ton Coenen, de algemeen directeur van GGD GHOR. “We betreuren het dat er zo’n 1.250 personen geraakt zijn door de datadiefstal. En naast onze excuses willen we een financieel gebaar richting deze betrokkenen maken.” Details over het ‘financieel gebaar’ geeft Coenen niet.
Betrokkenen ontvangen in de loop van april bericht van de koepelorganisatie.
In maart 2021 schreef GGD GHOR een excuusbrief aan duizend Nederlanders voor het datalek. Nader onderzoek van de politie wees echter uit dat 1.250 Nederlanders het slachtoffer waren geworden. Zij kregen daarna eveneens een brief van de koepelorganisatie.
RTL Nieuws schreef in augustus dat het werkelijke aantal gedupeerden “veel groter” is. Het medium wist de hand te leggen op een dataset van zo’n zeshonderd Nederlanders. De redactie benaderde willekeurig tien mensen van deze lijst. Geen van hen zei te zijn geïnformeerd van een datalek door de GGD.
In een reactie zei een woordvoerder van de GGD niet bekend te zijn met deze dataset. “Wij kunnen geen mensen informeren van wie wij de identiteit niet kennen.” Tevens vertelde hij dat er geen aanwijzingen waren dat gedupeerden niet op de hoogte waren gebracht van het lek.
Eerder vandaag schreven we dat GGD GHOR aangifte heeft gedaan tegen twee voormalige uitzendkrachten. De koepelorganisatie heeft vastgesteld dat het duo één of meerdere valse vaccinatiebewijzen heeft aangemaakt. Tegen betaling maakten de oud-medewerkers een vaccinatiebewijs aan, waarmee een groengekleurde QR-code verscheen in de CoronaCheck-app.
De koepelorganisatie gaat het onderzoek met terugwerkende kracht verder uitbreiden. De instantie verwacht dat er in de nabije toekomst meerdere aangiften zullen volgen.