Tachtigduizend Nederlanders sluiten zich aan bij massaclaim over datalek GGD
Meer dan tachtigduizend Nederlanders hebben zich inmiddels aangesloten bij de massaclaim tegen het ministerie van Volksgezondheid over het datalek bij de GGD. Dat laat stichting ICAM weten, de partij die de rechtszaak is gestart. De stichting wil honderden euro's schadevergoeding voor elk slachtoffer van het datalek.
Vorig jaar bleek dat callcentermedewerkers van de GGD toegang hadden tot de privégegevens van ruim 6,5 miljoen Nederlanders. Deze data werd via Telegram te koop aangeboden. Uiteindelijk werden meerdere GGD-medewerkers aangehouden waarvan er verschillende al zijn veroordeeld. Volgens de stichting heeft het ministerie van Volksgezondheid een onaanvaardbaar risico genomen met de persoonsgegevens van miljoenen mensen.
ICAM wil een schadevergoeding van 500 euro voor iedereen van wie gegevens in de GGD-systemen zaten en gestolen konden worden. Tevens eist de stichting 1500 voor iedereen waarvan bewijs is dat gegevens zijn gestolen. De komende maanden kunnen mensen zich via datalek-ggd.nl aanmelden voor de claim en zich zonder kosten inschrijven. De rechtszaak wordt gefinancierd door Liesker Procesfinanciering dat twintig procent van de schadevergoeding krijgt die stichting ICAM voor gedupeerden weet te innen.
De stichting meldt op Twitter dat het inmiddels diverse meldingen heeft ontvangen die erop duiden dat er van gestolen persoonsgegevens misbruik wordt gemaakt. Het zou daarbij ook om gegevens van kinderen gaan. Binnenkort komt ICAM met een update over de massaclaim en stand van zaken.
Reacties (23)
Wel opmerkelijk om VWS aan te klagen voor wat er bij de GGD's mis ging, terwijl die onder de verantwoordelijkheid van de burgemeesters vallen.
Weten al die mensen dat ze slachtoffer waren van dit data lek of proberen ze er 500 euro uit te slepen op de gok.
Bij vrijwel iedere claim zitten er geluk zoekers tussen die hun kans zien.
Dat je gegevens gestolen konden worden schijnt voldoende te zijn.
Als ik daar elke keer werk van moet maken heb ik er een dagtaak aan.
Ik ken wel meerdere voorbeelden bedenken waarvan het mogelijk was dat mijn gegevens gestolen zouden kunnen zijn.
Ik praat al die lekken hiermee niet goed.
Maar nu lijkt het eerder een uitnodiging. Niet gegokt is altijd mis, en wie weet val je in de prijzen.
Bij vrijwel iedere claim zitten er geluk zoekers tussen die hun kans zien.
Dat je gegevens gestolen konden worden schijnt voldoende te zijn.
Als ik daar elke keer werk van moet maken heb ik er een dagtaak aan.
Ik ken wel meerdere voorbeelden bedenken waarvan het mogelijk was dat mijn gegevens gestolen zouden kunnen zijn.
Ik praat al die lekken hiermee niet goed.
Maar nu lijkt het eerder een uitnodiging. Niet gegokt is altijd mis, en wie weet val je in de prijzen.
Laten we hopen dat stichting ICAM ook niet te maken krijgen met datalek van tachtigduizend Nederlanders.
Door Anoniem: Laten we hopen dat stichting ICAM ook niet te maken krijgen met datalek van tachtigduizend Nederlanders.
Is zo gebeurd: stuur aan alle 80.000 Nederlanders een e-mail en plaats hun adres in het to-veld. Succes verzekerd.Door Anoniem: Wel opmerkelijk om VWS aan te klagen voor wat er bij de GGD's mis ging, terwijl die onder de verantwoordelijkheid van de burgemeesters vallen.
Het systeem waar het om gaat, valt onder beheer van GGD GHOR Nederland (de landelijke koepel van de GGD regio's), en dat ressorteert onder VWS.
Overigens denk ook ik dat er heel veel gelukszoekers bij zitten. Als men een tientje had moeten betalen om aan deze massaclaim mee te kunnen doen, was het animo vele malen minder geweest denk ik zo.
24-01-2022, 15:17 door
MathFox
Mijn voorspelling: De GGD zal een vergoeding moeten betalen aan de mensen van wie de gegevens aantoonbaar gekopieerd zijn, de geleden schade (volgens bonnetjes) plus een aantal tientjes (<=€150) algemene vergoeding. Degenen waarvan niets gelekt is krijgen niets. Liesker leidt verlies, ICAM gaat failliet en de gedupeerden zien niets va hun vergoeding.
Door Anoniem: Weten al die mensen dat ze slachtoffer waren van dit data lek of proberen ze er 500 euro uit te slepen op de gok.
Ja, want ze hebben zich aangesloten bij die massaclaim. En aangezien die gegevens onvoldoende beveiligd waren tot het punt waar er niet eens gezegd kan worden óf die gegevens gestolen zijn (maar die mogelijkheid riant aanwezig was), lijkt het mij logisch om aan te nemen dat die gegevens gestolen zijn, omdat het tegendeel letterlijk niet bewezen kan worden.Dat betekent dus dat aangenomen mag worden dat je gegevens gecompromitteerd zijn, en jou schade aan is gedaan. En dan is het m.i. logisch dat je gecompenseerd wordt voor die schade.
Je kunt ook gewoon zeggen dat gegevens in principe gewoon goed beveiligd moeten zijn, en dat er gevolgen moeten zijn voor organisaties die hun gegevensbeveiliging niet op orde hebben, he.
Het aantal is begrijpelijk.
Velen zullen gedacht hebben dat de gegevens toch al op straat liggen en het niet meer uitmaakt dat stichting ICAM gebruik maakt van dienstverleners gevestigd buiten de Europese Economische Ruimte.
En toch kan je een verhoogde bewustwording waarnemen. Waar vroeger wachtwoorden van en candybar gedeeld werden ligt die grens nu op €500,-
Velen zullen gedacht hebben dat de gegevens toch al op straat liggen en het niet meer uitmaakt dat stichting ICAM gebruik maakt van dienstverleners gevestigd buiten de Europese Economische Ruimte.
En toch kan je een verhoogde bewustwording waarnemen. Waar vroeger wachtwoorden van en candybar gedeeld werden ligt die grens nu op €500,-
Door Anoniem:
Dat betekent dus dat aangenomen mag worden dat je gegevens gecompromitteerd zijn, en jou schade aan is gedaan. En dan is het m.i. logisch dat je gecompenseerd wordt voor die schade.
Door Anoniem: Weten al die mensen dat ze slachtoffer waren van dit data lek of proberen ze er 500 euro uit te slepen op de gok.
..., lijkt het mij logisch om aan te nemen dat die gegevens gestolen zijn, omdat het tegendeel letterlijk niet bewezen kan worden.Dat betekent dus dat aangenomen mag worden dat je gegevens gecompromitteerd zijn, en jou schade aan is gedaan. En dan is het m.i. logisch dat je gecompenseerd wordt voor die schade.
Ik vraag me toch echt af of de wetgeving zo in elkaar zit (ik ben geen jurist dus ik weet het niet). "Je kunt niet bewijzen dat je die inbraak niet gepleegd hebt, dus je hebt die inbraak gepleegd". Is de situatie dat iets niet bewezen kan worden voldoende reden om dan maar aan te nemen dat jou schade is berokkend, om vervolgens over te gaan tot schadevergoeding, ook al kun jij niets aandragen dat je daadwerkelijk schade hebt geleden? Dat schept een gevaarlijk precedent. Wellicht is hier een nuance op zijn plek dat je in de toekomst alsnog schade ondervindt van deze datadiefstal, maar dan zou ik als rechter zeggen "dan kunt u alsnog aanspraak maken op een schadevergoeding". Blind gaan dokken aan tienduizenden gelukszoekers die op dit moment 0 bewijsbare schade hebben geleden maar een extra zakcentje wel zien zitten zou ik wel heel bijzonder vinden.
https://www.telegraaf.nl/financieel/1979716834/oprichter-loterijverlies-moet-de-cel-in-voor-verduistering-claimgeld
Verder geen commentaar eigenlijk.
Verder geen commentaar eigenlijk.
Er mist ook nog maar maar 1 letter in de van die stichting...
I SCAM..
I SCAM..
Wel opmerkelijk om VWS aan te klagen voor wat er bij de GGD's mis ging, terwijl die onder de verantwoordelijkheid van de burgemeesters vallen.
En de activiteiten van de GGDs waren in opdracht van het VWS. Ketenaansprakelijkheid ?
24-01-2022, 18:59 door
MathFox
Door Anoniem:
Ik vraag me toch echt af of de wetgeving zo in elkaar zit (ik ben geen jurist dus ik weet het niet). "Je kunt niet bewijzen dat je die inbraak niet gepleegd hebt, dus je hebt die inbraak gepleegd". Is de situatie dat iets niet bewezen kan worden voldoende reden om dan maar aan te nemen dat jou schade is berokkend, om vervolgens over te gaan tot schadevergoeding, ook al kun jij niets aandragen dat je daadwerkelijk schade hebt geleden? Dat schept een gevaarlijk precedent. Wellicht is hier een nuance op zijn plek dat je in de toekomst alsnog schade ondervindt van deze datadiefstal, maar dan zou ik als rechter zeggen "dan kunt u alsnog aanspraak maken op een schadevergoeding". Blind gaan dokken aan tienduizenden gelukszoekers die op dit moment 0 bewijsbare schade hebben geleden maar een extra zakcentje wel zien zitten zou ik wel heel bijzonder vinden.
Ik vraag me toch echt af of de wetgeving zo in elkaar zit (ik ben geen jurist dus ik weet het niet). "Je kunt niet bewijzen dat je die inbraak niet gepleegd hebt, dus je hebt die inbraak gepleegd". Is de situatie dat iets niet bewezen kan worden voldoende reden om dan maar aan te nemen dat jou schade is berokkend, om vervolgens over te gaan tot schadevergoeding, ook al kun jij niets aandragen dat je daadwerkelijk schade hebt geleden? Dat schept een gevaarlijk precedent. Wellicht is hier een nuance op zijn plek dat je in de toekomst alsnog schade ondervindt van deze datadiefstal, maar dan zou ik als rechter zeggen "dan kunt u alsnog aanspraak maken op een schadevergoeding". Blind gaan dokken aan tienduizenden gelukszoekers die op dit moment 0 bewijsbare schade hebben geleden maar een extra zakcentje wel zien zitten zou ik wel heel bijzonder vinden.
In het Nederlandse recht geldt in principe: wie stelt bewijst. In het civiel recht zijn de regels anders dan in het strafrecht, de rechter vraagt daar aan beide kanten om hun stellingen te ondersteunen met bewijsmateriaal en neemt in zijn oordeel de sterkte van het ondersteunende bewijs mee.
"Mijn gegevens zouden gelekt kunnen zijn", ja. Kunt U concreet aangeven welke schade U ondervonden heeft? Geen bonnetjes, geen schadevergoeding. (Dat is het principe, de rechter kan ook een bedrag als immateriële schadevergoeding toekennen, maar welke immateriële schade kun je collectief claimen hier?)
Het gaat hier om een systeem (CoronIT) wat is geleverd door Topicus en zo lek is als een mandje. Beveiliging is nooit een onderwerp geweest bij het ontwikkelen van CoronIT, maar ook geen item waar de GGD naar heeft geïnformeerd. Topicus is een grotere leverancier bij de (semi-) overheid en dat is voldoende om een contract in de wacht te slepen.
Sleep zo'n leverancier voor de rechter, want daar zit het echte probleem. De GGD koopt een product in omdat ze het zelf niet kunnen bouwen, maar de leverancier kan blijkbaar geen systeem bouwen die veilig is. Beetje als een auto zonder remmen, want daar heeft de klant nooit om gevraagd.
Sleep zo'n leverancier voor de rechter, want daar zit het echte probleem. De GGD koopt een product in omdat ze het zelf niet kunnen bouwen, maar de leverancier kan blijkbaar geen systeem bouwen die veilig is. Beetje als een auto zonder remmen, want daar heeft de klant nooit om gevraagd.
Door Anoniem: Het gaat hier om een systeem (CoronIT) wat is geleverd door Topicus en zo lek is als een mandje. Beveiliging is nooit een onderwerp geweest bij het ontwikkelen van CoronIT, maar ook geen item waar de GGD naar heeft geïnformeerd.
Dat is op zich niet verwonderlijk, want HAAST, HET MOET OVER 3 WEKEN AF ZIJN dat was het grote onderwerpbij het ontwikkelen van dit systeem.
Bovendien zat het probleem eigenlijk niet in het systeem maar in de mentaliteit van de medewerkers. Als die zo
verrot is (werkkring wordt gezien als een mooi kansje om te verdienen aan misbruik) dan wordt het heel lastig om het
systeem goed te beveiligen.
Heeft niemand dan door dat uiteindelijk de belastingbetaler, ofwel iedereen, aan deze schadevergoeding gaat meebetalen? De lakens 3e is dan dat advocatenkantoor die hier miljoenen aan verdient (mochten ze winnen), en dat geld komt ook van diegene die ze vertegenwoordigen(!). Heeft iemand ooit een vergoeding gehad nadat diens creditcard of wat voor gegevens dan ook zijn gestolen? Nee, dus ik acht de kans dat ze winnen bijzonder laag in.
Door Anoniem: Weten al die mensen dat ze slachtoffer waren van dit data lek of proberen ze er 500 euro uit te slepen op de gok.
Bij vrijwel iedere claim zitten er geluk zoekers tussen die hun kans zien.
Dat je gegevens gestolen konden worden schijnt voldoende te zijn.
Als ik daar elke keer werk van moet maken heb ik er een dagtaak aan.
Ik ken wel meerdere voorbeelden bedenken waarvan het mogelijk was dat mijn gegevens gestolen zouden kunnen zijn.
Ik praat al die lekken hiermee niet goed.
Maar nu lijkt het eerder een uitnodiging. Niet gegokt is altijd mis, en wie weet val je in de prijzen.
Bij vrijwel iedere claim zitten er geluk zoekers tussen die hun kans zien.
Dat je gegevens gestolen konden worden schijnt voldoende te zijn.
Als ik daar elke keer werk van moet maken heb ik er een dagtaak aan.
Ik ken wel meerdere voorbeelden bedenken waarvan het mogelijk was dat mijn gegevens gestolen zouden kunnen zijn.
Ik praat al die lekken hiermee niet goed.
Maar nu lijkt het eerder een uitnodiging. Niet gegokt is altijd mis, en wie weet val je in de prijzen.
Dat is nog niet eens het ergste. Je zou eens naar de constructie van die stichting moeten kijken. Volgens mij gewoon "No cure no pay" toepassen door er een stichting tussen te plaatsen. Als het meezit 20% v/d claim opstrijken. 80.000x500x0.2= een hoop geld.
Door Anoniem: Het gaat hier om een systeem (CoronIT) wat is geleverd door Topicus en zo lek is als een mandje. Beveiliging is nooit een onderwerp geweest bij het ontwikkelen van CoronIT, maar ook geen item waar de GGD naar heeft geïnformeerd. Topicus is een grotere leverancier bij de (semi-) overheid en dat is voldoende om een contract in de wacht te slepen.
Sleep zo'n leverancier voor de rechter, want daar zit het echte probleem. De GGD koopt een product in omdat ze het zelf niet kunnen bouwen, maar de leverancier kan blijkbaar geen systeem bouwen die veilig is. Beetje als een auto zonder remmen, want daar heeft de klant nooit om gevraagd.
Sleep zo'n leverancier voor de rechter, want daar zit het echte probleem. De GGD koopt een product in omdat ze het zelf niet kunnen bouwen, maar de leverancier kan blijkbaar geen systeem bouwen die veilig is. Beetje als een auto zonder remmen, want daar heeft de klant nooit om gevraagd.
Goed punt, VWS kan Topicus vervolgens aanklagen. VWS is echter verwerkingsverantwoordelijke (in ieder geval de GGD GHOR). Echter, het grootste probleem is de [em]configuratie[/em] van het pakket, waardoor identity & access management niet goed is ingericht. Bovendien is het de verantwoordelijkheid van de GGD GHOR, niet van Topicus, om op misbruik te monitoren. Ik geloof graag dat CoronIT niet veilig is gebouwd, maar de kern van de punten van ICAM zit echt op configuratie en gebruik in de organisatie.
^DR
Door Anoniem:
Nee hoor, het was al een taak van de GGD's. Bij griep bijvoorbeeld doen ze hetzelfde. Met Corona was het alleen op een groter schaal en met een hogere urgentie.Wel opmerkelijk om VWS aan te klagen voor wat er bij de GGD's mis ging, terwijl die onder de verantwoordelijkheid van de burgemeesters vallen.
En de activiteiten van de GGDs waren in opdracht van het VWS. Ketenaansprakelijkheid ?Door Anoniem: https://www.telegraaf.nl/financieel/1979716834/oprichter-loterijverlies-moet-de-cel-in-voor-verduistering-claimgeld
Verder geen commentaar eigenlijk.
En hoe moeten we dit precies zien, tov deze claim?Verder geen commentaar eigenlijk.
Ik zie namelijk niet de relatie tov deze claim.
"De stichting meldt op Twitter dat het inmiddels diverse meldingen heeft ontvangen die erop duiden dat er van gestolen persoonsgegevens misbruik wordt gemaakt. Het zou daarbij ook om gegevens van kinderen gaan."
Erg benieuwd hoe dat ze deze beweringen hard willen maken. Mijn vermoeden is dat het valt in de categorie "op het bij de GGD bekende mailadres krijg ik spam" - terwijl dat adres natuurlijk voor allerlei zaken gebruikt wordt.
Erg benieuwd hoe dat ze deze beweringen hard willen maken. Mijn vermoeden is dat het valt in de categorie "op het bij de GGD bekende mailadres krijg ik spam" - terwijl dat adres natuurlijk voor allerlei zaken gebruikt wordt.
Door Anoniem: "De stichting meldt op Twitter dat het inmiddels diverse meldingen heeft ontvangen die erop duiden dat er van gestolen persoonsgegevens misbruik wordt gemaakt. Het zou daarbij ook om gegevens van kinderen gaan."
Erg benieuwd hoe dat ze deze beweringen hard willen maken. Mijn vermoeden is dat het valt in de categorie "op het bij de GGD bekende mailadres krijg ik spam" - terwijl dat adres natuurlijk voor allerlei zaken gebruikt wordt.
Erg benieuwd hoe dat ze deze beweringen hard willen maken. Mijn vermoeden is dat het valt in de categorie "op het bij de GGD bekende mailadres krijg ik spam" - terwijl dat adres natuurlijk voor allerlei zaken gebruikt wordt.
Inderdaad, herleid dat maar eens tot deze situatie, en hang er dan ook nog maar eens een realistisch bedrag aan. Dat zal wellicht per geval bekeken moeten worden, waarbij het ontvangen van een spam mailtje op een speciaal aangemaakt mailadres natuurlijk geen schadevergoeding zal opleveren. Wat is "misbruik maken van"? De stichting zal dit soort teksten wellicht inzetten/ aandikken om een casus te hebben, maar iets op Twitter zetten zonder onderbouwing of context is flinterdun (beter: geen) bewijs.
Nieuwsuur uitzending met een item over de belangen achter stichting ICAM. Massaclaims als verdienmodel: geld bijeen schrapen door het namens gedupeerden aanklagen van bedrijven en organisaties. Derde item, vanaf 31m:39s
https://www.npostart.nl/nieuwsuur/08-02-2022/VPWON_1334435
Interviews met onder meer hoogleraar masssaschade Ianika Tzankova, hoogleraar aansprakelijkheidsrecht Jeroen Kortmann, Willem van Nijnanten, directieur Liesker procesfinanciering, en een gedupeerde van het GGD datalek.
https://nos.nl/nieuwsuur/artikel/2416385-eis-van-3-miljard-om-lek-testgegevens-niet-heel-sympathiek
https://www.npostart.nl/nieuwsuur/08-02-2022/VPWON_1334435
Interviews met onder meer hoogleraar masssaschade Ianika Tzankova, hoogleraar aansprakelijkheidsrecht Jeroen Kortmann, Willem van Nijnanten, directieur Liesker procesfinanciering, en een gedupeerde van het GGD datalek.
Hoogleraar Kortmann pleit voor duidelijke regels en toezicht op deze financiers. "Er zijn goede financiers, er zijn matige financiers. En enorme opportunisten die niet te vertrouwen zijn."
https://nos.nl/nieuwsuur/artikel/2416385-eis-van-3-miljard-om-lek-testgegevens-niet-heel-sympathiek
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
