Gelekte persoonsgegevens GGD afgelopen jaar al actief misbruikt

Dat bevestigt de Fraudehelpdesk tegenover het Financieele Dagblad. Het gaat om zo’n veertig meldingen die rechtstreeks terug te voeren zijn naar het datalek bij de GGD dat deze week aan het licht kwam.

Minister De Jonge: ‘IT-systemen GGD zijn veilig’

Het privacyschandaal bij de GGD houdt de gemoederen al de hele week bezig. Door GGD-medewerkers om te kopen of tegen betaling hun inloggegevens te bemachtigen, verzamelden oplichters de privégegevens van Nederlanders. De precieze omvang wordt nog altijd onderzocht, maar mogelijk zijn honderdduizenden of enkele miljoenen Nederlanders getroffen door het lek. Iedereen die sinds de uitbraak van het coronavirus een PCR-test heeft laten afnemen of naar voren kwam in het bron- en contactonderzoek van de GGD, riskeert dat zijn of haar gegevens op straat liggen. Minister van Volksgezondheid, Welzijn en Sport Hugo de Jonge verdedigde deze week met verve de werkwijze van de GGD. Hij zei dat de systemen voor informatiebeheer voldoen aan de hoogste standaarden. Zo beschikken de systemen over de laatste NEN-norm voor informatiebeveiliging in de zorg, de NEN-7510. Verder vraagt de GGD al haar medewerkers die toegang hebben tot de systemen om een Verklaring Omtrent Gedrag (VOG) te overleggen en biedt de instantie trainingen aan waar vertrouwelijkheid en omgang met privégegevens centraal staan. Verder moeten werknemers een geheimhoudingsverklaring ondertekenen en voert de GGD ‘periodieke controles’ uit. De IT-systemen zijn volgens de minister dan ook veilig en kunnen burgers met een gerust hart een testafspraak maken.

Veertig meldingen te herleiden naar datalek GGD

Het datalek kwam deze week volop in de aandacht door Daniël Verlaan. Maar de kwestie speelt al veel langer. De techjournalist van RTL Nieuws sprak de afgelopen dagen met tientallen medewerkers van de GGD. Zij schetsen een onthutsend beeld van een organisatie die de waarschuwingen en zorgen van werknemers niet serieus neemt. De eerste meldingen over grootschalige privacyschending werden afgelopen zomer al gemeld bij leidinggevenden. Sommige medewerkers vertelden dat ze helemaal geen VOG hoefden te laten zien om aan de slag te gaan bij de GGD en dat de controles van de instantie niets meer dan ‘een wassen neus’ zijn. Het verhaal van Verlaan wordt nu ook bevestigd door de Fraudehelpdesk. De stichting zet haar beste beentje voor om Nederlanders te waarschuwen voor internetoplichting en andere vormen van fraude. De website toont de meest actuele oplichtingstrucs en heeft een bibliotheek aan informatie hoe men oplichting kan herkennen en zich hiertegen kan wapenen. De Fraudehelpdesk vertelt tegenover het Financieele Dagblad dat ze het afgelopen jaar zo’n veertig meldingen heeft ontvangen die zijn te herleiden tot het lek bij de GGD. Naar eigen zeggen ging het om mensen die eerst door de dienst waren gebeld voor bron- en contactonderzoek. Een dag later kregen ze een verdacht telefoontje van een ander nummer waarin om aanvullende informatie werd gevraagd.

Oplichters zijn uit op persoonlijke informatie

De persoon aan de andere kant van de lijn kwam betrouwbaar over, omdat hij over specifieke informatie beschikte die bij het bron- en contactonderzoek was opgedoken. Vervolgens probeerde de oplichter om zoveel mogelijk nieuwe informatie te vergaren, waaronder het burgerservicenummer. Voor zover bekend is er geen geld gestolen met deze oplichtingstruc. Volgens de Fraudehelpdesk zijn de binnengekomen meldingen slechts het topje van de ijsberg. Mensen die kwaad in de zin hebben kunnen met de gestolen gegevens identiteitsfraude plegen en bijvoorbeeld een lening of telefoonabonnement op andermans naam afsluiten. Of ze gebruiken de data om spearphishingcampagnes op touw te zetten. In dat geval is de link met het datalek bij de GGD niet meer te achterhalen. Een gewaarschuwd mens telt voor twee. Mocht je een telefoontje krijgen en de persoon aan de andere kant van de lijn uiteenlopende persoonlijke informatie probeert te achterhalen, geef deze dan niet te snel weg. Mocht je de zaak niet vertrouwen, hang dan op en neem contact op met de betreffende organisatie om navraag te doen. Zij kan je snel en eenvoudig vertellen of het verhaal klopt of niet.