Cybercriminelen en hackers handelen op grote schaal in privégegevens van Nederlanders. Via chatdiensten als Telegram en Snapchat worden al maanden persoonsgegevens uit meerdere IT-systemen van de GGD verkocht. Afgelopen weekend heeft de politie twee personen gearresteerd die verdacht worden van illegale datahandel.
Dat schrijft Daniël Verlaan, techjournalist bij RTL Nieuws. Hij heeft een dataset ingezien van honderden Nederlanders. Volgens de persoon die de dataset aanleverde aan de techjournalist, was dit slechts het topje van de ijsberg.
De gegevens zijn afkomstig uit twee IT-systemen van de GGD: CoronIT en HPzone Light. CoronIT is het systeem dat de GGD gebruikt om de gegevens van Nederlanders te noteren die een coronatest hebben laten afnemen, een afspraak voor een test maken of een testuitslag hebben ontvangen. HPzone Light is het informatiesysteem dat de GGD aanwendt om bron- en contactonderzoek te verrichten.
Voor beide systemen geldt dat ze volstaan met privégegevens van duizenden en duizenden Nederlanders. Dan moet je denken aan voor- en achternaam, woonadres, contactgegevens (telefoonnummer en e-mailadres) en burgerservicenummer. Allemaal gegevens waarvan je niet wil dat ze in de verkeerde handen terecht komen. Hackers misbruiken deze gegevens om identiteitsfraude te plegen, maar ook voor phishing en stalking.
Bronnen vertellen tegenover Daniël Verlaan dat het door de coronacrisis makkelijker is om gegevens door te sluizen naar criminelen. Oplichters kopen medewerkers om die toegang hebben tot de systemen. Een andere methode is dat ze actief mensen met toegang tot de IT-systemen van de GGD zoeken en hen betalen voor de inloggegevens van deze systemen. Cybercriminelen bieden de medewerkers tot wel enkele honderden euro’s per dag om deze gegevens door te spelen.
Zo’n 26.000 GGD- en callcentermedewerkers, maar ook instanties als het Rode Kruis en de ANWB hebben toegang tot (een deel van) deze data. Ieder van hen kan in theorie de privégegevens hebben doorgespeeld aan de daders.
Verlaan schrijft dat er een levendige handel is in deze privégegevens. Volgens hem worden er al maandenlang gegevens aangeboden die afkomstig zijn uit de IT-systemen van de GGD. De handel vindt plaats via applicaties als Telegram, Snapchat en Wickr. De gegevens opvragen van een specifiek persoon kost volgens de techjournalist gemiddeld tussen de 30 en 50 euro. Sommige criminelen bieden datasets aan met de privégegevens van tienduizenden Nederlanders. Daar vragen ze enkele duizenden euro’s voor.
De GGD was niet op de hoogte van het datalek en de handel in persoonsgegevens. “Wij zijn verantwoordelijk voor de veiligheid van onze systemen. Iedereen die zich bij ons laat testen moet daar op kunnen vertrouwen”, zo laat André Rouvoet, oud-voorman van de ChristenUnie en momenteel voorzitter van de GGD GHOR.
Toen Verlaan het lek afgelopen vrijdag bij de GGD meldde, trof de organisatie direct maatregelen. Medewerkers moeten een Verklaring Omtrent Gedrag (VOG) aanleveren en een geheimhoudingsclausule ondertekenen. Ook voert de GGD steekproefsgewijs controles uit. Volgens de GGD zijn hierdoor de afgelopen tijd tientallen medewerkers gecontroleerd en ontslagen. Tot slot laat de GGD de monitoring van haar systemen opschalen. Eind maart moeten de systemen ‘automatisch en continu’ worden gecontroleerd.
De politie Midden-Nederland arresteerde afgelopen weekend twee verdachten. Het gaat om een 21-jarige man uit Heiloo en een 23-jarige man uit Alblasserdam. Beiden werkten in het callcenter van de GGD. De politie doorzocht hun woningen en nam daarbij hun computers in beslag. De verdachten worden dinsdag aan de rechter-commissaris voorgeleid.
Het stelen en doorverkopen van persoonsgegevens is volgens Jeroen Niessen van het cybercrimeteam van de politie Midden-Nederland een ernstig misdrijf. “Politie en Openbaar Ministerie zitten hier bovenop. De GGD heeft afgelopen vrijdag bij ons een melding gedaan van de datadiefstal. Wij zijn daarop direct een groot onderzoek gestart en hebben in deze zaak binnen 24 uur twee mensen aangehouden. Meer aanhoudingen worden zeker niet uitgesloten. Het onderzoek gaat verder, onder meer naar de omvang van de datadiefstal.”
De Autoriteit Persoonsgegevens is op de hoogte van het datalek. Een woordvoerder vertelt tegenover RTL Nieuws dat de kwestie ‘zeer ernstig’ is. De toezichthouder heeft de GGD dan ook om opheldering gevraagd.
Het is niet de eerste keer dat de GGD in verlegenheid wordt gebracht vanwege het lekken van privacygevoelige gegevens. Afgelopen september deed een man uit Steenwijk zijn verhaal. Hij volgde een training bij callcenterbedrijf Teleperformance om aan de slag te gaan bij de coronatestlijn, waarbij het toegang kreeg tot het systeem.
Tijdens het traject kreeg hij te horen dat hij de training niet mocht afmaken. Op dat moment had de GGD zijn autorisatie moeten intrekken, maar dat gebeurde niet. Een maand later kon de man nog steeds inloggen in het systeem en gegevens van willekeurige Nederlanders raadplegen. Uit intern onderzoek van het callcenterbedrijf bleek dat in totaal 38 keer was misgegaan. Voor de Autoriteit Persoonsgegevens was dit aanleiding om een onderzoek in te stellen.
In november kwam naar boven dat enkele medewerkers van de GGD de dossiers van bekende Nederlanders hadden bekeken. Eén van de slachtoffers zou Ahmed Aboutaleb zijn, de burgemeester van Rotterdam.
