Het GGD datalek

Arjen Lubach meent dat we leven in een Digibetocratie. “We worden bestuurd door mensen die geen reet snappen van computers en digitale veiligheid”. Dit zei hij naar aanleiding van een digitale veiligheid blunder bij een overheidsinstantie. De GGD kwam vorige maand groots in het nieuws nadat er sprake bleek te zijn van een datalek. Er werden meerdere mensen aangehouden, op verdenking van de handel in persoonsgegevens, waaronder Burgerservicenummers, telefoonnummers en adressen van miljoenen personen die bij GGD-locaties coronatesten hadden laten afnemen en data van mensen die voorkomen in bron- en contactonderzoek (hierna: BCO). Hugo de Jonge heeft beterschap beloofd, maar het is nog maar de vraag in hoeverre dit mogelijk is, als men een volledig BCO wil blijven uitvoeren.

In dit artikel wordt onder andere gekeken naar wat een datalek is, de daarvoor geldende wetgeving en wat de gevolgen kunnen zijn voor een bedrijf.

Wat is er precies bij de GGD gebeurd?

Om het BCO uit te voeren, maakt de GGD gebruik van twee systemen, te weten CoronIT en HPZone Lite. CoronIT is het administratieve systeem voor het test- en vaccinatieproces en de communicatie hierover. HPzone wordt normaliter gebruikt voor de registratie en het BCO van andere infectieziekten, zoals HIV. Ditsysteem dateert uit 2003. Voor de bestrijding van de coronapandemie wordt gebruikt gemaakt voor een uitgeklede versie; HPZone Lite. Medewerkers hebben privé gegevens uit deze systemen gedownload en boden ze vervolgens via verschillende chatdiensten aan. Er werd ook aangeboden om persoonsgegevens van specifieke personen op aanvraag op te zoeken. Prijzen daarvoor lagen tussen de dertig en vijftig euro. Door andere accounts werden juist grote datasets aangeboden met gegevens van duizenden mensen. Deze datasets werden voor duizenden euro’s aangeboden, ook omdat het niet vaak voorkomt dat er zoveel burgerservicenummers worden verkocht.

Het is natuurlijk erg pijnlijk dat de GGD dit niet heeft kunnen voorkomen, vooral niet omdat het lijkt alsof de GGD al langer op de hoogte was van de mankementen. Naast het feit dat het buitengewoon onwenselijk is dat de gegevens van zo veel mensen met gemak aan kwaadwillenden verkochten konden worden, is het nog pijnlijker dat het BCO eventueel minder goed en spoedig kan worden uitgevoerd, doordat de welwillendheid van mensen afneemt.

Verbeteringen GGD

Naar aanleiding van de problemen heeft de GGD allereerst een informatielijn geopend, bepaalde programma’s, zoals het Kennisnet zijn offline gehaald. Het opzoeken van personen in CoronIT is vele malen lastiger geworden, aangezien nu basale informatie zoals een naam en geslacht voldoende zijn om tot resultaten te komen. Nu is er bijvoorbeeld een BSN of postcode plus huisnummer en geboortedatum nodig, voordat er resultaten uit een systeem komen. Dit zorgt ervoor dat er niet meer met gemak complete datasets uit het systeem kunnen worden gehaald. Ook is de GGD bezig met een nieuw systeem. Natuurlijk is het gek dat er een dusdanig oud systeem wordt gebruikt, maar een nieuw en veilig systeem opzetten voor een plotselinge pandemie is natuurlijk ook niet zo gebeurd. Er is op dit moment geen beter systeem beschikbaar, het is roeien met de riemen die je hebt, aldus de GGD. In het najaar van 2020 had de Autoriteit Persoonsgegevens naar aanleiding van berichten in de media al vragen gesteld over CoronIT. Na het beantwoorden door de GGD, had de AP geen aanvullende vragen.

Wetgeving omtrent datalekken

De belangrijkste privacywetgeving is de Algemene verordening gegevensbescherming (AVG). Deze privacywetgeving geldt sinds 2018 in de hele EU. Voor Nederland betekende dit dat de Wet bescherming persoonsgegevens niet langer meer gold. De AVG heeft privacyrechten versterkt en uitgebreid, meer verantwoordelijkheden gelegd bij organisaties en alle EU privacytoezichthouders hebben nu dezelfde stevige bevoegdheden. In Nederland is dit de Autoriteit Persoonsgegevens (AP)

Voordat er gevolgen aan een datalek worden verbonden, is het van belang eerst te kijken of er wel sprake is van een datalek.

In de AVG is geen definitie van een datalek opgenomen. De praktijk leert dat er al snel sprake is van een datalek. De AVG spreekt over een inbreuk in verband met persoonsgegevens. Er is al sprake van een datalek als je persoonsgegevens wilt mailen naar janjansen@mail.nl en je het per ongeluk naar janjanssen@mail.nl stuurt. Er zijn natuurlijk wel gradaties van datalekken en een aantal daarvan is meldingsplichtig.

Er zijn drie categorieën datalekken te onderscheiden;

1. Inbreuk op vertrouwelijkheid; er sprake is van een onbevoegde of onopzettelijke verwerking van persoonsgegevens.

2. Inbreuk op de integriteit; er is sprake van een onbevoegde of onopzettelijke wijziging van persoonsgegevens.

3. Inbreuk op de beschikbaarheid; er is sprake van een onbevoegd of onopzettelijke verlies van toegang of vernietiging van persoonsgegevens.

Er hoeft dus geen sprake te zijn van een kwade wil om te spreken van een datalek.

Gevolgen van het datalek

Zelf werk ik bij de GGD als bron- en contactonderzoeker en heb ik direct aanpassingen gemerkt. Het is lastiger personen in het systeem te vinden, waardoor het bron- en contactonderzoek soms trager verloopt of zelfs vastloopt. Toch is er tot nu toe geen andere mogelijkheid dan het lastiger te maken, aangezien, volgens de GGD, ‘de gelegendheid de dief maakt’. Het is ook van belang dat de GGD het vertrouwen terugwint, aangezien de bereidheid om tests af te nemen afnam na het nieuws van het datalek. Daarnaast bestaat er een kans dat de AP ervoor kiest een boete op te leggen aan de GGD. De AP kan een boete opleggen. Deze boetes kunnen oplopen tot €20 miljoen of een bedrag van 4% van de wereldwijde omzet als dat bedrag hoger zou uitkomen. De hoogte van een boete is afhankelijk van verschillende factoren, zoals de ernst en duur van het datalek.

Voorkomen is beter dan genezen

Het is zeker niet het laatste datalek dat heeft plaatsgevonden en in de toekomst gaat plaatsvinden. Voor bedrijven geldt hier dat het beter is om te voorkomen dan te genezen. Vooral omdat het bijna onmogelijk is een datalek “te genezen”. De regels gelden voor alle bedrijven, niet alleen voor multinationals, maar ook voor het MKB en bijvoorbeeld een ZZP’er.

Denkbij het verwerken van persoonsgegevens eraan waarom je bepaalde gegevens verzameld, wie toegang heeft tot welke gegevens, waarom iemand toegang daartoe nodig heeft en hoe gemakkelijker tot de gegevens kan worden gekomen. Als er (per ongeluk of opzettelijk) een noemenswaardige hoeveelheid of belangrijke persoonsgegevens kwijtraken, wijzigen of op andere manier worden verwerkt dan de bedoeling was, is het verplicht om dit te melden bij de toezichthouder. Daarnaast is het aan te raden, bij kleine dataleks of gewoon af en toe, te kijken of de processen nog wel up to date zijn en er geen onbedoelde personen toegang hebben tot de gegevens. Hiermee kan een boete worden voorkomen en voorkom je dat klanten vertrouwen in je verliezen.

Heb je vragen over het datalek of denk je slachtoffer te zijn geworden van het datalek, dan kan je bellen naar het GGD datalek nummer 085-1308226.