Te koop: namen, adressen, burgerservicenummers en andere persoonsgegevens van mensen die zich de afgelopen periode hebben laten testen op corona. Het nieuws dat deze data zijn gestolen en verhandeld, ontdekt door RTL Nieuws-journalist Daniël Verlaan, doet flink wat stof opwaaien.
De gestolen gegevens komen uit twee databases van de GGD: het systeem waarin medewerkers test- en vaccinatieafspraken registreren (CoronIT) en het dossier waarin ze informatie uit bron- en contactonderzoeken vastleggen (HPZone).
Als je je laat testen, worden in CoronIT je naam, adres, contactgegevens (zoals telefoonnummer of e-mailadres), bsn, geslacht en geboortedatum vastgelegd. Na een positieve test volgt een bron- en contactonderzoek, waarvan de resultaten in het HPZone-systeem terechtkomen. Denk aan informatie over waar je bent geweest, over je nauwe contacten en je klachten ("noodzakelijke medische gegevens").
In het algemeen geldt: hoe meer je van iemand weet, hoe gemakkelijker het is om je voor die persoon uit te geven, zegt Frederik Borgesius, hoogleraar ICT en Recht aan de Radboud Universiteit. Bij zogeheten identiteitsfraude gebruiken criminelen jouw gegevens onder meer om producten op jouw naam te zetten.
Ook het risico op phishing en oplichting neemt toe. "Oplichters kunnen bijvoorbeeld iemand bellen en zodanig veel persoonlijke informatie noemen dat die persoon denkt: het zal inderdaad mijn bank wel zijn", legt Borgesius uit.
Volgens NOS-techredacteur Joost Schellevis is alleen al de combinatie van iemands naam en postcode interessant voor criminelen. "Daar kom je bij sommige bedrijven al heel ver mee. En die gegevens zijn ook handig als je iemand wil lastigvallen."
De gegevens uit het bron- en contactonderzoek van de GGD maken bovendien gerichtere fraude mogelijk, zegt Schellevis. "Stel dat je kunt achterhalen met wie iemand allemaal contact heeft gehad. Dat maakt WhatsApp-fraude makkelijker. Denk aan oplichting als: 'Ik heb een nieuw nummer, kun je duizend euro overmaken?'"
Dat is nog niet zo makkelijk, zegt ICT-hoogleraar Borgesius. Hij legt uit wat de gang van zaken is bij een datalek. Eerst moet de organisatie in kwestie, de GGD dus, de Autoriteit Persoonsgegevens inlichten. Als er een serieus risico is voor een individu, moet de organisatie ook die persoon op de hoogte stellen.
"Even afwachten dus, je hoort het vanzelf", zegt Borgesius. Zelf zegt de GGD in een verklaring dat de dienst nu nog niets kan zeggen over welke gegevens op straat liggen. "Op het moment dat vast komt te staan dat uw gegevens gestolen zijn, dan is het onze plicht u daarover te informeren en dat zullen wij dan ook doen."
Tot die tijd luidt het advies van de Autoriteit Persoonsgegevens (AP): wees extra alert. "Let op bijvoorbeeld appjes, je bankrekening of abonnementen die op jouw naam worden afgesloten", zegt voorzitter Aleid Wolfsen.
De AP is deze week volgens hem overspoeld door telefoontjes van bezorgde burgers. "En dat is terecht, want dit is zeer ernstig", zegt Wolfsen. "Ik hoop ook echt niet dat mensen zich nu minder laten testen. Dat risico maakt dit probleem extra urgent."
Minister De Jonge van Volksgezondheid zei gisteren in de Tweede Kamer dat het gebruik van de GGD-databases "geautomatiseerd" en "volcontinu" wordt gecontroleerd. Maar in de verklaring die de GGD vandaag heeft gepubliceerd, staat dat systemen die "automatisch en continu" controleren pas eind maart in gebruik worden genomen. Nu wordt alleen nog steekproefsgewijs gecontroleerd of mensen zonder toestemming in de persoonlijke dossiers van geteste mensen kijken.
In de GGD-verklaring staat ook dat de dienst nieuwe maatregelen neemt om persoonsgegevens beter te beschermen. Maar wat die maatregelen inhouden, kan de GGD nog niet zeggen "in het belang van het politieonderzoek". Of er een GGD-informatielijn komt voor bezorgde mensen, wat de Autoriteit Persoonsgegevens wil, is niet bekend.
Techredacteur Joost Schellevis snapt dat mensen zich zorgen maken over de huidige beveiliging van persoonlijke data bij de GGD. "Dat geldt zeker zolang die automatische monitoring er nog niet is, die nu dus voor eind maart gepland staat. Het lastige is dat je slachtoffer kunt zijn van datalekken zonder dat je het weet. Je merkt het pas als er iemand misbruik van maakt. Houd dus gekke mailtjes en appjes in de gaten."