Te koop: namen, adressen, telefoon- en burgerservicenummers van personen die de afgelopen periode een coronatest hebben gedaan. Wie zich bij de GGD laat testen op corona of meewerkt aan een bron- en contactonderzoek, laat persoonsgegevens achter in het GGD-systeem. Het achterlaten van informatie zoals je naam en adres lijkt op het eerste gezicht onschuldig. Wanneer deze gegevens echter in handen van criminelen komen, kan dat veel schade veroorzaken. Het verwerken van persoonsgegevens moet daarom aan strenge wettelijke eisen voldoen. Begin januari werd een datalek bij de GGD blootgelegd: gevoelige persoonsgegevens van duizenden Nederlanders werden illegaal te koop aangeboden.
Een goudmijn voor criminelen
Persoonsgegevens zijn lucratief voor criminelen. Hoe persoonlijker de informatie, hoe groter het gevaar. Wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben, spreken we van een ‘datalek’. Dit gebeurde bij de GGD. Werknemers met slechte bedoelingen boden persoonsgegevens van duizenden Nederlanders te koop aan via chat apps. Hierdoor konden criminelen zowel grote datasets, als informatie over specifieke personen in handen krijgen. Voor kwaadwillende kopers is deze kostbare informatie een goudmijn. De gegevens gaan dan ook als warme broodjes over de toonbank.
Een voorbeeld van wat criminelen met persoonsgegevens kunnen doen, is het plegen van identiteitsfraude. De gestolen identiteitsgegevens worden dan gebruikt om producten te kopen, zonder deze te betalen. Daarnaast kan op een slinkse manier toegang worden verkregen tot betaal- en creditcardrekeningen: de crimineel doet zich voor als iemand van de bank en probeert het vertrouwen van het slachtoffer te winnen, door iemands adres en geboortedatum te kennen. Op die manier proberen ze inloggegevens voor internetbankieren te ontfutselen, om vervolgens je rekening te plunderen.
Privacy en de AVG
Het datalek bij de GGD is een inbreuk op de privacy van degene wiens gegevens verkocht worden. Het recht op privacy is een grondrecht: iedereen moet erop kunnen vertrouwen dat zijn persoonsgegevens niet in verkeerde handen vallen. Om ieders recht op privacy juridisch te beschermen, geldt in Nederland de Algemene Verordening Gegevensbescherming (AVG). De AVG bevat regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties en geldt sinds 2018 voor de gehele Europese Unie.
Persoonsgegevens in de zin van de AVG zijn gegevens waardoor iemand kan worden geïdentificeerd. Dit zijn niet alleen iemands standaardgegevens zoals een naam, telefoonnummer of adres, maar ook een bankrekeningnummer, vingerafdruk of medische informatie. Organisaties die dit soort data van personen verwerken, moeten hun systemen en processen inrichten volgens de privacyregels die zijn neergelegd in de AVG.
Gebeten door de privacywaakhond
Op basis van de AVG moeten passende maatregelen worden genomen om persoonsgegevens te beschermen. Doe je dat niet of onvoldoende, dan handel je nalatig en kun je aansprakelijk worden gesteld. In het geval van het GGD-datalek ging het om diefstal van persoonsgegevens door werknemers. De GGD had niet goed zicht op wie welke gegevens opvroeg. Door de aard van de gegevens, was er sprake van een ernstig en problematisch datalek. Zo’n ernstig lek moet binnen 72 uur worden gemeld bij het Meldloket van de Autoriteit Persoonsgegevens (AP). Wanneer een datalek grote impact heeft kan de AP maatregelen opleggen. Denk hierbij aan bijvoorbeeld het verplicht versterken van de beveiligingsmaatregelen. Ook zoekt de AP uit hoe het datalek precies is ontstaan en of het voorkomen had kunnen worden door naleving van de AVG. Als blijkt dat een organisatie niet voldoende maatregelen nam om de gelekte gegevens te beschermen, kan de AP een boete opleggen.
Gezichtsverlies voor de GGD
Inmiddels zijn er zes werknemers van de GGD gearresteerd op verdenking van diefstal van persoonsgegevens. De AP heeft direct opheldering bij de GGD geëist. De organisatie staat als gevolg van deze affaire onder verscherpt toezicht en wordt nauw in de gaten gehouden. Dat de GGD tijdens de coronacrisis gezichtsverlies lijdt, levert ongerustheid op over de omgang met data van burgers door de overheid. De toestand raakt in het bijzonder het vertrouwen van burgers in het testbeleid. De GGD zal dus drastische veranderingen moeten doorvoeren met betrekking tot het veiligstellen van de door hun verwerkte persoonsgegevens. Want data is goud waard en waar goud is, zijn boeven.