Stichting ICAM heeft bekend gemaakt van start te zijn gegaan met de rechtszaak tegen het ministerie van VWS. Volgens de stichting is VWS verantwoordelijk voor het datalek dat in 2021 bij de GGD ontdekt werd, waardoor de vertrouwelijke gegevens van 6,5 miljoen mensen op straat zijn beland.

 

Gesprekken met het ministerie en meerdere Woo-verzoeken om informatie boven tafel te krijgen, liepen afgelopen jaar op niets uit. Stichting ICAM heeft daarop het ministerie gedagvaard voor de rechtbank Amsterdam, mede namens de ruim 133.000 burgers die zich bij haar als actieve deelnemer hebben aangemeld. Niet eerder heeft een overheidsorganisatie zich in een privacy-zaak van deze omvang voor de rechter moeten verantwoorden.

Grootschalig misbruik van toegang tot data

In januari 2021 maakte een RTL journalist als eerste melding van het datalek bij de GGD, nadat hij een dataset wist te bemachtigen van criminelen in een besloten chatgroep. In de datasystemen van de GGD-en worden zeer vertrouwelijke gegevens opgeslagen die de GGD-en hebben verzameld van 6,5 miljoen Nederlanders, waaronder BSN-nummers, adressen en telefoonnummers, medische informatie, testresultaten en uitkomsten van het bron- en contactonderzoek. Meer dan vijfentwintigduizend tijdelijke, veelal thuiswerkende werknemers van de GGD hebben op dat moment vrij toegang tot alle gegevens. Met een exportknop kan deze informatie gedownload en uitgewisseld worden, maar toezicht is nauwelijks aanwezig. Hier wordt grootschalig misbruik van gemaakt: informatie van vrienden, familie en BN’ers worden door medewerkers ingezien en vrijuit gedeeld via onder meer Whatsapp. Sommige malafide medewerkers gaan een stap verder en bieden de gegevens in besloten chatgroepen te koop aan criminelen. Zeker acht medewerkers worden uiteindelijk opgepakt en veroordeeld.

Stichting ICAM wil met de rechtszaak ook meer openheid krijgen over de omvang van het datalek en de gevolgen die burgers daarvan hebben moeten ondervinden. Uit de meegeleverde bewijsstukken blijkt dat betrokken overheidsinstanties onderling hebben afgestemd bepaalde documenten niet openbaar te willen maken en in andere documenten belangrijke passages zwart te lakken. Stichting ICAM eist daarnaast een schadevergoeding van € 500 voor iedere persoon van wie gegevens in de GGD-systemen zaten en mogelijk gestolen zijn, tot € 1.500 voor eenieder waarvan vast komt te staan dat hun gegevens inderdaad zijn gestolen.

Omvang blijft onduidelijk

Het ministerie en de GGD zeggen van 1.250 personen vastgesteld te hebben dat hun gegevens gestolen zijn. Zij hebben een excuusbrief ontvangen en hen is een handreiking gedaan. Uit een steekproef van RTL Nieuws bleek echter dat alle personen wiens gegevens in de door het nieuwsmedium verkregen dataset voorkwamen, geen excuusbrief van het ministerie hadden ontvangen. Er zijn dus van meer mensen gegevens gestolen.

“Logbestanden over welke medewerkers toegang zochten tot informatie lijken namelijk gebrekkig of zelfs totaal afwezig te zijn.

“Het lijkt er sterk op dat het ministerie en de GGD zich uitsluitend hebben gebaseerd op screenshots die de veroordeelde medewerkers zelf hebben gemaakt.” zegt Douwe Linders, advocaat namens de stichting. “Logbestanden over welke medewerkers toegang zochten tot informatie lijken namelijk gebrekkig of zelfs totaal afwezig te zijn. Dat roept de vraag op hoe men dan heeft kunnen vaststellen dat het bij die 1.250 slachtoffers gebleven is. Zeker als het onderzoek van RTL Nieuws criminelen citeert die zeggen de gegevens van ‘tienduizenden Nederlanders’ te kunnen leveren. Opmerkelijk genoeg willen noch het ministerie, noch de GGD, noch de Autoriteit Persoonsgegevens antwoord geven op die vraag.”

De civiele rechtszaak van stichting ICAM zal naar verwachting enkele jaren in beslag nemen. De dagvaarding is hier terug te vinden. (Stichting ICAM)

Human Resources