De miljoenen slachtoffers van het datalek bij de GGD moeten honderden euro's schadevergoeding krijgen, zo eist de stichting ICAM die een collectieve rechtszaak tegen het ministerie van Volksgezondheid is gestart. Eerder dit jaar bleek dat callcentermedewerkers van de GGD toegang hadden tot de privégegevens van ruim 6,5 miljoen Nederlanders. Deze data werd via Telegram te koop aangeboden. Uiteindelijk werden zeven GGD-medewerkers aangehouden, waarvan er inmiddels twee zijn veroordeeld.
In eerste instantie werd gesteld dat de data uit twee GGD-systemen afkomstig was, namelijk CoronIT en HPZone, maar GGD GHOR liet in juni tegenover Security.NL weten dat uit politieonderzoek naar voren is gekomen dat er alleen data uit CoronIT is ontvreemd. Volgens de stichting ICAM waren beide GGD-systemen oorspronkelijk bedoeld voor een klein team artsen, maar werden ze vorig jaar toegankelijk gemaakt voor meer dan tienduizend nieuwe callcentermedewerkers.
"Zij hadden vrij toegang tot onder meer BSN-nummers, adressen en telefoonnummers, maar ook medische informatie, testresultaten en personen met wie de betreffende persoon in de dagen daarvoor in contact was geweest. Via een exportfunctie kon deze informatie eenvoudig worden gedownload. Hier is grootschalig misbruik van gemaakt", aldus de stichting.
"Snelheid is geen excuus om de meest basale privacy- en beveiligingsmaatregelen opzij te schuiven", zegt Astrid Oosenbrug, oud-Tweede Kamerlid en woordvoerder van stichting ICAM. "Er is door het ministerie van Volksgezondheid een onaanvaardbaar risico genomen met de persoonsgegevens van miljoenen mensen. De overheid bezit gevoelige informatie over ons, meer dan wie dan ook. Daardoor moeten burgers erop kunnen vertrouwen dat ze zorgvuldig met hun privacy en dataveiligheid omgaat."
Negen maanden na de eerste waarschuwingen over vermeend misbruik schakelde het ministerie van Volksgezondheid de exportfunctie uit. "Dit kan moeilijk naïviteit genoemd worden, eerder een ingecalculeerd risico waarbij men tot het laatste moment heeft gewacht om in te grijpen. De GGD en het ministerie reageerden achteraf geschokt, maar er is maandenlang door zowel werknemers als deskundigen voor misbruik gewaarschuwd", stelt advocaat Douwe Linders die stichting ICAM in de rechtszaak vertegenwoordigt.
Volgens de stichting heeft het ministerie van Volksgezondheid de AVG geschonden. Zo had het ministerie bijvoorbeeld veel duidelijkere afspraken over de omgang met deze gegevens moeten maken met alle partijen die door de GGD ingehuurd werden. Ook had fraudegevoelige informatie zoals het BSN-nummer direct na registratie moeten worden versleuteld, om zo een extra beveiligingslaag in te bouwen, vindt de stichting.
Stichting ICAM wil een schadevergoeding van 500 euro voor iedereen van wie gegevens in de GGD-systemen zaten en gestolen konden worden. Tevens eist ze 1500 voor iedereen waarvan bewijs is dat gegevens zijn gestolen. De komende maanden kunnen mensen zich via datalek-ggd.nl aanmelden voor de claim en zich zonder kosten inschrijven.
ICAM is naar eigen zeggen een onafhankelijke organisatie zonder winstoogmerk die via de rechtszaak de Nederlandse overheid wil dwingen zorgvuldiger om te gaan met de persoonsgegevens en privacy van burgers.
Deze posting is gelocked. Reageren is niet meer mogelijk.