Miljoenen persoonsgegevens uit coronasysteem GGD online aangeboden

Abonneer je gratis op Techzine!

Op verschillende online platforms werden persoonsgegevens van Nederlanders aangeboden die waren geregistreerd in de coronasystemen van de GGD. In de systemen staan alle Nederlanders geregistreerd bij wie een coronatest is afgenomen.

Het gaat om de gegevens in de systemen CoronIT en HPzone Light. In het eerste systeem staan de gegevens van alle Nederlanders die een coronatest hebben uitgevoerd. De GGD gebruikt het tweede systeem voor het bron- en contactonderzoek. Onder de opgeslagen gegevens stonden persoonlijke gegevens als adresgegevens, telefoonnummers, e-mailadressen en zelfs burgerservicenummers.

Duizenden mensen hadden toegang

Verschillende partijen hadden vrij toegang tot beide systemen, waaronder medewerkers van het Rode Kruis, de ANWB en callcentermedewerkers van Teleperformance. Deze partijen hielpen met het uitvoeren van het bron- en contactonderzoek. In totaal hadden vele duizenden mensen vrijuit toegang tot de persoonsgegevens in de twee systemen.

30 tot 50 euro per uittreksel

De gegevens werden aangeboden via chatdiensten als Telegram, Snapchat en Wickr, schrijft RTL Nieuws. De gegevens kostten tussen de 30 en 50 euro per uittreksel en konden in bulk of van specifieke personen worden aangevraagd. De bulkopties boden tienduizenden uittreksels tegelijk aan voor duizenden euro’s. Betaling verliep via Bitcoin of Paysafecard.

GGD niet op de hoogte

De GGD vertelt tegen RTL Nieuws dat de organisatie niet op de hoogte was van de bezigheden. Alle medewerkers moeten een Verklaring Omtrent Gedrag aanleveren en er werden steekproeven uitgevoerd op werknemers. Dit heeft tot meerdere ontslagen geleid. De GGD belooft de controle op de systemen de komende tijd verder op te schalen.

Massaclaims

De politie heeft inmiddels twee mannen aangehouden op verdenking van illegale datahandel. Ook de Autoriteit Persoonsgegevens is op de zaak gesprongen. De instantie claimt dat de GGD nalatig heeft gehandeld door de persoonsgegevens onvoldoende te beveiligen. Volgens de instantie riskeert de GGD niet alleen een boete van de AP, maar ook massaclaims van slachtoffers.

Phishingaanvallen

Vermoedelijk worden de gestolen gegevens voornamelijk gebruikt om slachtoffers te bestoken met phishingaanvallen. Op basis van het burgerservicenummer kan er ook identiteitsfraude worden uitgevoerd.

Tip: Consumentenbond klaagt AP aan vanwege privacyproblemen Google