Datalek in coronasystemen GGD; dit zijn de gevolgen

Miljoenen adresgegevens, burgerservicenummers en telefoonnummers afkomstig uit de databases van de GGD worden op grote schaal verhandeld, zo blijkt uit onderzoek van RTL Nieuws. De gegevens worden door medewerkers van de GGD aangeboden via Snapchat en Telegram.

Er blijkt een actieve handel te zijn in privégegevens van miljoenen Nederlanders, zo stelde RTL Nieuws in de tweede helft van januari vast. Naar aanleiding van dit onderzoek is het cybercrimeteam van de politie Midden-Nederland direct zelf een onderzoek gestart. De gegevens blijken afkomstig te zijn uit twee coronadatabases van de GGD.

Het gaat om de systemen CoronIT en HPZone Light die intensief worden gebruikt door de GGD. CoronIT is een registratiesysteem waarin privégegevens en testuitslagen worden bewaard van alle mensen die zich hebben laten testen. Tienduizenden callcentermedewerkers hebben toegang tot dit systeem. Het andere systeem, HPZone Light, wordt gebruikt voor het bron- en contactonderzoek. In dit systeem staan privégegevens van alle Nederlanders die besmet zijn met het coronavirus. Behoudens de medewerkers van het Rode Kruis en de ANWB is het nog onduidelijk hoeveel mensen precies toegang hebben tot HPZone Light.

De controle op de medewerkers zou vanwege het thuiswerken slechter zijn dan normaal. Zo konden kwaadwillende medewerkers dus eenvoudig gegevens uit de systemen halen om door te spelen aan criminelen.

Identiteitsfraude

De gestolen data bevatten onder andere burgerservicenummers, geboortedatums en adresgegevens van veel Nederlanders. Deze gegevens kunnen worden gebruikt om identiteitsfraude mee te plegen. Criminelen kunnen online aankopen doen met deze gegevens en er kunnen contracten worden afgesloten op naam van nietsvermoedende mensen. Ook kan bepaalde persoonlijke informatie worden gebruikt om phishing mails en sms’jes te versturen. Op die manier kunnen de criminelen bijvoorbeeld bankwachtwoorden aftroggelen. Hoe persoonlijker de informatie, hoe meer de criminelen ermee kunnen doen.

De gegevens werden aangeboden via chatdiensten zoals Snapchat, Telegram en Wickr. Uit het onderzoek blijkt dat callcenter-medewerkers dagelijks werden benaderd door criminelen, met het verzoek om gegevens te leveren. Gegevens van specifieke personen konden worden opgevraagd voor dertig tot vijftig euro en grote datasets met gegevens van duizenden Nederlanders konden voor honderden euro’s  worden gekocht. Ook zochten criminelen actief naar mensen die toegang hadden tot de databases van de GGD om hen te betalen voor hun inloggegevens. De betaling geschiedde via Bitcoins of betaalkaarten.

Maatregelen en opheldering

Om als medewerker toegang te krijgen tot de systemen moet men beschikken over een Verklaring Omtrent Gedrag (VOG). Ook dient men een geheimhoudingsverklaring te ondertekenen. Volgens de GGD worden medewerkers middels een steekproef gecontroleerd, wat tot op heden al tot tientallen ontslagen heeft geleid. Van het huidige datalek was de GGD echter niet op de hoogte. De voorzitter van de overkoepelende organisatie GGD GHOR Nederland, André Rouvoet, heeft aangegeven dat eind maart de systemen automatisch en constant zullen worden gemonitord. Op die manier wordt getracht om dergelijke datalekken in de toekomst te voorkomen.

De Autoriteit Persoonsgegevens (AP) heeft om opheldering van de GGD gevraagd. Volgens de AP kan een organisatie zoals de GGD nalatig zijn als blijkt dat de gegevens in haar systemen onvoldoende zijn beveiligd. De organisatie kan in zo’n geval een boete riskeren van de AP, maar er bestaat ook een mogelijkheid op massaclaims van slachtoffers. Daarnaast is men bang dat de testbereidheid van Nederlanders zal afnemen. Mensen zijn mogelijk minder geneigd zijn om een coronatest te laten doen nu ze weten dat hun gegevens kunnen worden doorverkocht.

Arrestaties

Afgelopen weekend zijn door de politie twee mannen gearresteerd die worden verdacht van deze illegale handel in persoonsgegevens. Beide mannen zijn werkzaam in het callcenter van de GGD. De politie sluit niet uit dat er meer aanhoudingen kunnen volgen.