Datadiefstal gegevens coronatesten

dinsdag, 26 januari 2021

Dit weekend zijn twee medewerkers van het landelijke coronatest afsprakennummer aangehouden op verdenking van datadiefstal. Zij zouden tegen betaling persoonsgegevens uit de GGD-systemen hebben aangeboden. Terwijl veel Nederlanders grote negatieve gevolgen van het coronavirus ondervinden, willen criminelen persoonlijk gewin halen uit de gegevens van mensen die zich laten testen. GGD GHOR Nederland heeft aangifte gedaan en de zaak is door de politie en het OM in behandeling genomen.

André Rouvoet, voorzitter GGD GHOR: “Wij zijn verantwoordelijk voor de veiligheid van onze systemen. Iedereen die zich bij ons laat testen moet daar op kunnen vertrouwen. Daarom zijn we onmiddellijk bezig om verdere maatregelen te treffen. Deze criminele activiteit is een klap in het gezicht van 17 miljoen Nederlanders, die allemaal lijden onder de coronacrisis. Waarvan velen zich proberen te houden aan alle maatregelen in deze tijden. Dat er dan mensen zijn die over de rug van al deze mensen geld willen verdienen is ongehoord.”

Vanwege het lopende onderzoek kan GGD GHOR Nederland momenteel geen uitspraken doen over de zaak. Wij verwachten dat deze criminele actie vragen oproept over de veiligheid van het laten testen en de manier waarop de GGD’en met de persoonsgegevens omgaan. Testen is een enorm belangrijke schakel in het bestrijden van het virus. Het belang van (blijven) komen bij klachten is groot. De GGD wil daarom binnen de beperkingen van het onderzoek zo transparant mogelijk zijn over het incident en de gevolgen.

Hieronder vindt u de antwoorden op de meest gestelde vragen:

Kunnen jullie controleren of mijn gegevens gestolen zijn bij de datadiefstal?

Nee, dat kunnen wij op dit moment niet. Wij weten dus ook niet of er gegevens uit Hollands Midden gestolen zijn. De politie doet op dit moment nog onderzoek naar welke gegevens gestolen zijn. Als uit dit onderzoek zou blijken dat uw gegevens gestolen zijn, dan wordt u hierover geïnformeerd.

Waar moet ik op letten?

Het is belangrijk alert te zijn op oplichting via onder andere e-mail, sms en WhatsApp. Ook is het verstandig om de post goed in de gaten te houden en te letten op vreemde of onverwachte post en je bankafschriften goed te controleren. Meer hierover vindt u op de website van de politie.

Kan ik mijn gegevens laten verwijderen of anonimiseren?

U heeft het recht om een verzoek te doen tot verwijdering of anonimisering van uw gegevens die n.a.v. corona bekend zijn. Let wel, met het anonimiseren of verwijderen van uw gegevens is het voor de GGD minder goed mogelijk om de verspreiding van het virus te monitoren of tegen te gaan.

Het is belangrijk om te weten dat de GGD ook een wettelijke bewaarplicht heeft van bepaalde gegevens. Dus per aanvraag zal gekeken moeten worden wat er mogelijk is. 

 

Wilt u een verzoek indienen om uw gegevens over corona te anonimiseren/verwijderen, vul dan dit formulier in:

Meldingsformulier verwijderen/ anonimiseren persoonlijke gegevens over corona.

 

Welke controlemechanismen hebben jullie om misbruik te voorkomen?

Dat zijn er verschillende: 

  1. We hebben controle aan de poort. Mensen moeten een VOG aanleveren en een geheimhoudingsverklaring ondertekenen. Daarmee is duidelijk dat ze aansprakelijk zijn op het moment dat zij zich niet aan de voorwaarden van de overeenkomst houden. 
  2. Daarnaast zijn privacy en geheimhouding doorlopend onderwerp van onze trainingen en gesprekken. 
  3. Wij controleren sinds de start het gebruik van onze systemen door de medewerkers, en hebben onze controles steeds verder verbeterd en doen dat nog steeds. Vanwege het belang van de virusbestrijding en de gevraagde snelheid zijn wij – op diverse manieren – met steekproefsgewijze controles van start gegaan. Over dit uitgangspunt zijn wij altijd transparant geweest. De Autoriteit Persoonsgegevens heeft tot nu toe geen aanvullende vragen gesteld over de werkwijze. 
  4. Alleen mensen die voor hun werk noodzakelijk toegang moeten hebben tot een persoonsdossier, mogen dit dossier inzien. Hierop controleren we zoals gezegd steekproefsgewijs. Bij verboden toegang volgt ontslag en indien nodig aangifte. 
  5. Daarnaast schalen we de monitoring van het gebruik van onze systemen verder op. We verwachten we eind maart systemen te implementeren die automatisch en continu zullen controleren. Hier werken wij al geruime tijd aan.

Welke informatie leggen jullie van mensen vast? 

Wij leggen persoonsgegevens vast zoals naam, adres, woonplaats, telefoonnummer/e-mailadres, BSN, geslacht, geboortedatum. Daarnaast afhankelijk van het contact ook test- en/of vaccineerafspraken en testresultaten. Is er sprake van een bron en contactonderzoek (in HPZone) dan wordt daarin ook de informatie uit de bron- en contactonderzoek gesprekken vastgelegd. Dit is onder andere: noodzakelijke medische gegevens (bijvoorbeeld klachten/symptomen en huisarts), waar iemand is geweest en met wie hij/zij in contact is geweest. Ook wordt informatie vastgelegd van bron(nen) en nauwe contacten. Deze informatie is beperkt. 

Wat doen medewerkers in de systemen? 

Medewerkers van het callcenter (inbound – die gebeld worden) kunnen via CoronIT testafspraken en vaccinatieafspraken maken. Verder kunnen de (outbound – die mensen bellen) callagents de testuitslagen zien, aangezien zij mensen, zonder DigiD, bellen met hun testuitslag. Bron- en contactonderzoekers leggen alle gegevens rondom een besmetting vast in HP-zone. Welke gegevens van een persoon kunnen de medewerkers inzien? Dat hangt van de rol van de gebruiker af: De gebruiker ziet alleen die gegevens die hij of zij op dat moment voor zijn werk nodig heeft. Voor mensen die werken bij het call-centrum voor testafspraken zijn bijvoorbeeld de gezondheidsverklaringen die voor vaccinaties worden ingevuld niet zichtbaar. Registratie van bijwerkingen is alleen toegankelijk voor mensen met medische autorisatie. 

Staan de gegevens van alle Nederlanders in jullie systemen? 

Nee, in onze systemen staan alleen de gegevens van de mensen die de afgelopen tijd met de GGD te maken hebben gehad voor een testafspraak, bron- en contactonderzoek of een vaccinatie. 

Hebben evenveel mensen toegang tot mijn gegevens bij vaccineren? 

De medische gegevens die bij vaccinaties worden vastgelegd zijn afgeschermd en niet zichtbaar voor medewerkers die zich met testen bezighouden. Omdat iedereen maar één dossier heeft en iedereen zich ook kan laten testen zijn persoonsgegevens wel in te zien.