Coronasystemen GGD zo lek als een mand, privégegevens miljoenen Nederlanders liggen op straat
Indignatie redactie
4 min. lezen
ICT en overheid gaan in Nederland niet samen, zo blijkt maar weer uit onderzoek van RTL Nieuws. Er is namelijk een complete illegale handel ontstaan in persoonsgegevens van miljoenen Nederlanders die zich hebben laten testen bij de GGD.
Er is weer sprake van een onnoemelijke onkunde bij de overheid op het gebied van ICT. De GGD’s maken gebruik van twee registratiesystemen, CoronIT en HPzone Light, om de testuitslagen en het bron- en contactonderzoek mee te verwerken. Kennelijk heeft niemand er bij stilgestaan dat er voldoende waarborging van de privacy moest worden ingebouwd, want de systemen zijn zo lek als een mandje.
Ruim 26.000 GGD’ers en callcentermedewerkers hebben toegang tot CoronIT. En hoeveel mensen er toegang hebben tot HPzone Light weet de GGD niet eens, maar het gaat in ieder geval om medewerkers van het Rode Kruis, de ANWB en callcentermedewerkers van Teleperformance.
HPzone Light zegt mij niet zoveel, maar de naam ‘CoronIT’ impliceert dat het om een programma gaat dat specifiek voor de coronacrisis is gebouwd. Een nieuw systeem dus. Eentje waar je makkelijk een logboek voor had kunnen inbouwen waarin je registreert wie op welk moment bepaalde gegevens inziet. Waar je gegevens had kunnen afschermen door te werken met rechten voor accounts, zodat de GGD’er wél het BSN-nummer kan zien maar een callcentermedewerker niet.
Ook hadden ze er op deze manier voor kunnen zorgen dat niet iedereen bij de complete dataset kan maar alleen voorgeschoteld krijgt waar diegene op een bepaald moment wat mee moet. Dan hadden ze ook direct verdachten in beeld kunnen krijgen, want dan kun je de dataset direct herleiden naar de malafide medewerker. Daar hadden ze iedereen dan ook direct op kunnen attenderen en dan was dit probleem waarschijnlijk veel minder ernstig geweest dan het nu is.
Tussen de 30 en 50 euro
Op chatdiensten als Telegram, Snapchat en Wickr worden al maanden privégegevens uit de GGD-systemen door tientallen accounts en in verschillende grote chatgroepen te koop aangeboden. Sommige accounts bieden aan om de gegevens van een specifiek persoon op te zoeken. Dat kost tussen de 30 en 50 euro en dan ontvang je van iemand het woon- en mailadres en telefoon- en burgerservicenummer.
Andere accounts bieden grote datasets aan met daarin de privégegevens van vele tienduizenden Nederlanders. Criminelen vragen hier duizenden euro’s voor omdat het relatief uniek is dat er op zo’n grote schaal burgerservicenummers worden verkocht. Een burgerservicenummer is zeer gevoelig en kan worden misbruikt voor identiteitsfraude.
En hoe reageert de GGD? Precies zoals je verwacht:
“De GGD was niet op de hoogte van de illegale datahandel uit hun systemen. “Wij zijn verantwoordelijk voor de veiligheid van onze systemen”, zegt André Rouvoet, voorzitter van de GGD GHOR Nederland. (…) De GGD laat weten dat medewerkers een Verklaring Omtrent het Gedrag (VOG) moeten aanleveren en een geheimhoudingsverklaring moeten ondertekenen. Ook worden er steekproefgewijs controles uitgevoerd onder werknemers. De afgelopen tijd zijn er tientallen mensen gecontroleerd en ontslagen, stelt de GGD.”
Veel te weinig dus. Leuk dat ze een paar sukkels te grazen hebben weten te nemen. Maar voor de rest? Die VOG’s krijgen ze wel, die geheimhoudingsverklaring ondertekenen ze wel en die controles kunnen ze ook vast wel omzeilen. De oplossing is technisch van aard, maar dat kost natuurlijk weer vele miljoenen euro’s, want dat kosten ICT-projecten altijd bij de overheid.
Verkoop van datasets
RTL Nieuws vroeg de afgelopen tijd de gegevens van een aantal personen bij illegale handelaars op. Daarvoor hebben de betrokkenen vooraf toestemming gegeven. In alle gevallen ontvingen we het juiste woonadres, telefoonnummer, e-mailadres en burgerservicenummer. De betaling ging via Bitcoin of betaalkaart Paysafecard.
Ook heeft RTL Nieuws een dataset ingezien van honderden Nederlanders, illegaal verkregen uit het systeem voor bron- en contactonderzoek van de GGD. Deze dataset was volgens de aanbieder een voorproefje van de vele duizenden tot tienduizenden personen die hij kon leveren.
Er worden zelfs specifieke datasets op aanvraag geleverd, bijvoorbeeld alleen mensen uit Amsterdam of enkel vijftigplussers. Eén van de verkopers zegt dat er veel vraag is naar de gegevens. “Ik eet goed broer”, vertelt hij in een chatgesprek, verwijzend naar dat hij veel geld verdient met de verkoop van deze data.
John van den Heuvel en Peter R. de Vries
De accounts adverteren met foto’s van privégegevens van BN’ers, onder wie een aantal populaire influencers en de twee bekendste misdaadjournalisten van Nederland: John van den Heuvel en Peter R. de Vries, waarvan eerstgenoemde al jaren wordt beveiligd door de politie.
John van den Heuvel noemt het “ontluisterend” dat zijn privégegevens op deze manier worden verspreid: “Het is pijnlijk dat de GGD dit niet goed kan regelen. Ik heb niet de illusie dat criminelen niet achter mijn woonadres kunnen komen, maar het wordt ze zo wel heel makkelijk gemaakt.”
“Het gaat hier om zeer gevoelige gegevens waar mensen met kwade bedoelingen flink misbruik van kunnen maken”, laat Peter R. de Vries weten. “De overheid schiet hierin zwaar tekort, want zij hebben de plicht om die gegevens goed dicht te timmeren.”
Zowel Van den Heuvel als De Vries waren niet op de hoogte dat hun privégegevens op deze manier door criminelen worden gedeeld. De Vries noemt het ‘veelzeggend’ dat hij niets van de GGD heeft gehoord en door RTL Nieuws op de hoogte is gesteld.
