Zeven arrestaties

Datadiefstal GGD veel groter dan gemeld, gedupeerden niet geïnformeerd

Door Daniël Verlaan··Aangepast:
© ANPDatadiefstal GGD veel groter dan gemeld, gedupeerden niet geïnformeerd
RTL

De datadiefstal bij de GGD treft veel meer mensen dan het aantal gedupeerden dat de organisatie publiekelijk meldt. Ook zijn burgers van wie gegevens zijn gestolen en mogelijk doorverkocht niet door de GGD geïnformeerd.

Volgens de GGD zijn de privégegevens van zo'n 1250 Nederlanders uit de coronasystemen onbevoegd ingezien, gestolen en mogelijk doorverkocht. Deze personen hebben van de GGD een excuusbrief ontvangen.

Het daadwerkelijke aantal gedupeerden is echter veel groter, en de GGD heeft na maanden nog geen goed beeld van hoe groot de datadiefstal nu echt is, blijkt uit onderzoek van RTL Nieuws. 

Niet geïnformeerd

RTL Nieuws heeft willekeurig verschillende mensen opgebeld van wie hun gegevens door criminelen te koop zijn aangeboden. Deze gegevens zijn afkomstig uit twee coronasystemen van de GGD: CoronIT, dat wordt gebruikt voor testen en vaccinaties, en HPZone Lite, het systeem dat wordt gebruikt voor het bron- en contactonderzoek. 

De personen zijn allemaal niet door de GGD geïnformeerd over dat hun gegevens uit de systemen van de GGD zijn gestolen en mogelijk verhandeld. Het gaat dan om persoonsgegevens als de volledige naam, woonadres, geboortedatum, telefoonnummer en het burgerservicenummer (bsn).

Deze gegevens worden door criminelen misbruikt voor identiteitsfraude, phishing en oplichting. Ook de privégegevens van BN'ers, politici en beveiligde personen als misdaadjournalist John van den Heuvel waren in te zien en te misbruiken.

De privégegevens werden in grote aantallen aangeboden door criminelen.© RTL Nieuws
De privégegevens werden in grote aantallen aangeboden door criminelen.

Datasets

RTL Nieuws heeft als steekproef willekeurig tien gedupeerden gecontacteerd. Deze tien zijn afkomstig uit databestanden die RTL Nieuws eind januari van criminelen ontving. De criminelen boden de gestolen gegevens te koop aan. De databestanden, met in totaal de privégegevens van zo'n 600 personen, waren volgens de aanbieders een voorproefje van de vele duizenden tot tienduizenden personen die konden worden geleverd.

De GGD zegt 'onbekend' te zijn met deze datasets. "Wij kunnen geen mensen informeren van wie wij de identiteit niet kennen." Ook zegt de organisatie 'geen indicatie' te hebben dat zij mensen niet geïnformeerd hebben die wel gedupeerd zijn.

Onduidelijk

Toen RTL Nieuws in januari over de illegale datahandel publiceerde waren er tientallen accounts op chatdiensten als Telegram en Wickr die deze gegevens aanboden. Het blijft tot op de dag van vandaag onduidelijk hoeveel gegevens er daadwerkelijk door de criminelen zijn verkocht.

De GGD meldt dat het politieonderzoek naar de datadiefstal nog steeds loopt. "Het is niet duidelijk wanneer de politie het onderzoek afrondt en of er nog meer gedupeerden zijn. Eind juni zijn er opnieuw gedupeerden geïnformeerd over de datadiefstal van begin dit jaar", laat een woordvoerder weten.

Heel erg

"Dit is echt heel erg", reageert een gedupeerde als RTL Nieuws checkt of zijn woonadres, telefoonnummer en de laatste vier cijfers van zijn bsn kloppen. Hij heeft een tijd geleden een coronatest bij de GGD gedaan. "Hoezo ben ik niet door de GGD geïnformeerd, en waarom kunnen ze niet zien dat mijn gegevens zijn gestolen?" 

Een ander kwam in januari in het bron- en contactonderzoek van de GGD voor omdat beide ouders waren besmet met corona. "Ik ging er eigenlijk al vanuit dat ik in het datalek zat", vertelt hij aan de telefoon. "Maar dat ik niets heb gehoord is echt niet oké, ik had op zijn minst een brief met excuses verwacht."

Zo werkt de illegale handel in privégegevens uit de GGD-systemen

Downloadknop

Een paar dagen nadat RTL Nieuws eind januari de illegale datahandel had onthuld, bleek dat de GGD al maanden op de hoogte was van alle privacy- en beveiligingsproblemen met de coronasystemen. De interne kritiek, die zelfs het bestuur bereikte, is telkens weggewuifd. "We konden overal bij", zei een medewerker toen.

Een knop waarmee elke medewerker op grote schaal gegevens uit de systemen kon downloaden bleek toen al ruim driekwart jaar aanwezig. Die functie was bedoeld voor het maken van rapportages en het overdragen van gegevens naar andere systemen, maar bleek door medewerkers te zijn misbruikt.

De GGD voerde na de datadiefstal een reeks maatregelen door waardoor gegevens minder makkelijk uit de systemen kunnen worden gehaald. "Ook hebben we de politie de noodzakelijke toegang gegeven tot onze systemen om de daders op te sporen, en hebben we onderzoek gedaan op internet naar mogelijk te koop aangeboden persoonsgegevens", laat een woordvoerder weten. 

"Een specialistisch team houdt zich continu bezig met een check of onze medewerkers op een zorgvuldige manier omgaan met persoonsgegevens."

Zeven arrestaties

De politie heeft inmiddels zeven verdachten opgepakt voor de datadiefstal uit de systemen van de GGD. Twee verdachten zijn inmiddels voorgeleid bij de rechter, hun rechtszaak start eind augustus. De mannen zijn 21 en 23 jaar oud en komen uit Heiloo en Alblasserdam. 

De andere verdachten komen uit Amstelveen, Rotterdam, Den Haag en Nootdorp en zijn tussen de 18 en 25 jaar oud.

RTL Nieuws weigert delen datasets

De GGD heeft aan RTL Nieuws gevraagd of we de datasets met de GGD en de politie willen delen. Dat heeft RTL Nieuws geweigerd omdat we onafhankelijk onze onderzoeken uitvoeren en nooit een verlengstuk zijn van welke opsporing dan ook. 

De GGD is volgens de hoofdredactie van RTL Nieuws zelf verantwoordelijk voor het onderzoek naar de datadiefstal en het informeren van gedupeerden.

Ook is het verzoek praktisch onmogelijk omdat de datasets door RTL Nieuws zijn verwijderd.

Lees meer over
GGDCoronacrisis in NederlandCybersecurityDatalekOnline privacyLink in bio