Er wordt grootschalig gehandeld in de miljoenen adresgegevens, telefoon- en burgerservicenummers uit de twee coronasystemen van de GGD. De politie heeft dit weekend twee personen gearresteerd die worden verdacht van deze illegale datahandel.
Dat blijkt uit onderzoek van RTL Nieuws, dat de GGD afgelopen vrijdag confronteerde met de illegale handel in persoonsgegevens uit hun systemen. Het cybercrimeteam van politie Midden-Nederland is daarop direct een onderzoek gestart.
Het gaat om handel in data uit twee coronasystemen van de GGD: CoronIT, waar de privégegevens van Nederlanders die een coronatest hebben gedaan in staan, en HPZone Lite, het systeem voor het bron- en contactonderzoek van de GGD.
"De handel in deze gegevens is diep schokkend", reageert hoogleraar ICT & Recht Frederik Zuiderveen Borgesius van de Radboud Universiteit. "De informatie kan worden misbruikt voor onder andere identiteitsfraude, phishing en stalking. Omdat er ook medische gegevens in de systemen staan is het juist extra belangrijk om dit goed te beschermen."
Persoonsgegevens coronasysteem GGD niet veilig, techjournalist Daniël Verlaan legt uit hoe het zit
Tussen de 30 en 50 euro
Op chatdiensten als Telegram, Snapchat en Wickr worden al maanden privégegevens uit de GGD-systemen door tientallen accounts en in verschillende grote chatgroepen te koop aangeboden. Sommige accounts bieden aan om de gegevens van een specifiek persoon op te zoeken. Dat kost tussen de 30 en 50 euro en dan ontvang je van iemand het woon- en mailadres en telefoon- en burgerservicenummer.
Andere accounts bieden grote datasets aan met daarin de privégegevens van vele tienduizenden Nederlanders. Criminelen vragen hier duizenden euro's voor omdat het relatief uniek is dat er op zo'n grote schaal burgerservicenummers worden verkocht. Een burgerservicenummer is zeer gevoelig en kan worden misbruikt voor identiteitsfraude.
Verkoop van datasets
RTL Nieuws vroeg de afgelopen tijd de gegevens van een aantal personen bij illegale handelaars op. Daarvoor hebben de betrokkenen vooraf toestemming gegeven. In alle gevallen ontvingen we het juiste woonadres, telefoonnummer, e-mailadres en burgerservicenummer. De betaling ging via Bitcoin of betaalkaart Paysafecard.
Ook heeft RTL Nieuws een dataset ingezien van honderden Nederlanders, illegaal verkregen uit het systeem voor bron- en contactonderzoek van de GGD. Deze dataset was volgens de aanbieder een voorproefje van de vele duizenden tot tienduizenden personen die hij kon leveren.
Er worden zelfs specifieke datasets op aanvraag geleverd, bijvoorbeeld alleen mensen uit Amsterdam of enkel vijftigplussers. Eén van de verkopers zegt dat er veel vraag is naar de gegevens. "Ik eet goed broer", vertelt hij in een chatgesprek, verwijzend naar dat hij veel geld verdient met de verkoop van deze data.
CoronIT en HPZone Lite
De gegevens zijn afkomstig uit twee GGD-systemen: CoronIT en HPZone Lite. CoronIT is het online registratiesysteem voor coronatesten waar zo'n 26.000 GGD'ers en callcentermedewerkers van de testlijn toegang tot hebben. Het is ook mogelijk om testafspraken en -uitslagen op te vragen, maar hier wordt door de accounts niet actief mee geadverteerd.
HPZone Lite is het informatiesysteem voor het bron- en contactonderzoek van de GGD. Daarin staan de privégegevens van alle met corona besmette Nederlanders. De GGD weet niet hoeveel mensen daar toegang tot hebben, maar het gaat om onder andere medewerkers van het Rode Kruis, de ANWB en callcentermedewerkers van Teleperformance.
Door corona werken veel medewerkers thuis en is het volgens bronnen makkelijker om gegevens door te sluizen naar criminelen.
De gegevens worden verkregen door omgekochte medewerkers van de GGD en andere organisaties die toegang hebben tot de systemen. Criminelen zijn ook actief op zoek naar mensen die toegang hebben tot CoronIT of HPZone Lite, en betalen hen voor inloggegevens tot deze systemen.
De malafide medewerkers krijgen veelal per persoon van wie ze de gegevens doorspelen een bedrag. Dit loopt soms op tot honderden euro's per dag, zo stelt één van de tussenpersonen - een flink bedrag voor een callcentermedewerker die gemiddeld zo'n 11 euro per uur verdient.
John van den Heuvel en Peter R. de Vries
De accounts adverteren met foto's van privégegevens van BN'ers, onder wie een aantal populaire influencers en de twee bekendste misdaadjournalisten van Nederland: John van den Heuvel en Peter R. de Vries, waarvan eerstgenoemde al jaren wordt beveiligd door de politie.
John van den Heuvel noemt het "ontluisterend" dat zijn privégegevens op deze manier worden verspreid: "Het is pijnlijk dat de GGD dit niet goed kan regelen. Ik heb niet de illusie dat criminelen niet achter mijn woonadres kunnen komen, maar het wordt ze zo wel heel makkelijk gemaakt."
"Het gaat hier om zeer gevoelige gegevens waar mensen met kwade bedoelingen flink misbruik van kunnen maken", laat Peter R. de Vries weten. "De overheid schiet hierin zwaar tekort, want zij hebben de plicht om die gegevens goed dicht te timmeren."
Zowel Van den Heuvel als De Vries waren niet op de hoogte dat hun privégegevens op deze manier door criminelen worden gedeeld. De Vries noemt het 'veelzeggend' dat hij niets van de GGD heeft gehoord en door RTL Nieuws op de hoogte is gesteld.
Maatregelen door GGD
De GGD was niet op de hoogte van de illegale datahandel uit hun systemen. "Wij zijn verantwoordelijk voor de veiligheid van onze systemen", zegt André Rouvoet, voorzitter van de GGD GHOR Nederland. "Iedereen die zich bij ons laat testen moet daar op kunnen vertrouwen. Na melding door RTL Nieuws heeft de GGD 'onmiddellijk verdere maatregelen getroffen'.
De GGD laat weten dat medewerkers een Verklaring Omtrent het Gedrag (VOG) moeten aanleveren en een geheimhoudingsverklaring moeten ondertekenen. Ook worden er steekproefgewijs controles uitgevoerd onder werknemers. De afgelopen tijd zijn er tientallen mensen gecontroleerd en ontslagen, stelt de GGD.
Daarnaast laat de GGD weten de monitoring van de systemen "verder op te schalen". Eind maart moeten de systemen "automatisch en continue" worden gecontroleerd.
Twee mannen van 21 en 23 gearresteerd
De politie heeft zaterdagavond in Amsterdam twee mannen gearresteerd die worden verdacht van de illegale datahandel. Het gaat om een 21-jarige man uit Heiloo en een 23-jarige man uit Alblasserdam, en beiden werken in het callcenter van de GGD. De woningen van de mannen zijn doorzocht en computers in beslag genomen.
"Het stelen en verkopen of doorverkopen van persoonsgegevens is een ernstig misdrijf", zo laat Jeroen Niessen van het cybercrimeteam van de politie Midden-Nederland weten. "Politie en Openbaar Ministerie zitten hier bovenop. De GGD heeft afgelopen vrijdag bij ons een melding gedaan van de datadiefstal. Wij zijn daarop direct een groot onderzoek gestart en hebben in deze zaak binnen 24 uur twee mensen aangehouden. Meer aanhoudingen worden zeker niet uitgesloten. Het onderzoek gaat verder, onder meer naar de omvang van de datadiefstal."
Beide mannen zullen naar verwachting morgen worden voorgeleid aan de rechter-commissaris.
Autoriteit Persoonsgegevens eist opheldering
"Dit is zeer kwalijk en is mogelijk een ernstig datalek", zo laat een woordvoerder van de Autoriteit Persoonsgegevens weten. "De AP heeft de GGD direct om opheldering geëist. Deze data bevatten naam, adres, woonplaats en telefoonnummers en ook nog eens BSN’s: allemaal actueel en in grote hoeveelheden. Dat is heel veel waard.
De Autoriteit Persoonsgegevens meldt dat een organisatie nalatig kan zijn als het de gegevens in zijn systemen niet voldoende beveiligt: "Dan riskeer je niet alleen een boete van de AP, maar ook bijvoorbeeld massaclaims van slachtoffers."
Privacyschandalen
Het is niet het eerste schandaal rondom privégegevens uit coronasystemen. Vorige week onthulde Nieuwsuur een datalek bij het commerciële testbedrijf U-Diagnostics waardoor de persoonsgegevens van tienduizenden Nederlanders in te zien waren. In november vorig jaar meldde het AD dat GGD-medewerkers stiekem in de dossiers van BN'ers gluren, waaronder die van de Rotterdamse burgemeester Ahmed Aboutaleb.
Die privacyschandalen kunnen ervoor zorgen dat minder mensen zich durven te laten testen. "Dit heeft absoluut gevolgen voor de bereidheid van mensen om zich te laten testen", stelt hoogleraar gezondheidsrecht Martin Buijsen van de Erasmus Universiteit Rotterdam. "Als je weet dat die gegevens kunnen worden doorverkocht aan criminelen denk je toch wel twee keer na voordat je zo'n test doet."
Wat kun je doen?
De GGD is verantwoordelijk voor de beveiliging van jouw privégegevens. Als deze uitlekken of worden doorverkocht, kunnen ze door criminelen worden misbruikt voor identiteitsfraude of oplichting. Het is daarom belangrijk alert te zijn op oplichting via onder andere e-mail, sms en WhatsApp. Ook is het verstandig om de post goed in de gaten te houden en te letten op vreemde of onverwachte post, en je bankafschriften goed te controleren.
