Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) moet aansprakelijk worden gehouden voor het datalek dat begin 2021 bij de GGD werd ontdekt. Dit eist Stichting ICAM in een collectieve actie tegen het ministerie, dat volgens haar verantwoordelijk is voor de door de GGD gebruikte IT-systemen. SOLV treedt op als advocaat van Stichting ICAM.
Dit is de eerste collectieve rechtszaak die gestart wordt naar aanleiding van het GGD-datalek, dat qua omvang het grootste datalek is dat Nederland ooit heeft gekend.
Datalek
In januari werd bekend dat callcenter medewerkers op grote schaal persoonsgegevens hadden gestolen uit twee IT-systemen van de GGD. In deze systemen – voor het maken van testafspraken en voor het bron- en contactonderzoek – waren op dat moment de persoonsgegevens van ruim 6,5 miljoen Nederlanders opgenomen.
ICAM spreekt hiervoor het ministerie van VWS aan. Het ministerie gaf tenslotte de opdracht tot de ingebruikname van deze slecht beveiligde IT-systemen.
Omvang
Tot nu toe heeft de GGD van 1.250 personen kunnen vaststellen dat hun gegevens in de gestolen datasets zaten. Deze personen hebben een excuusbrief ontvangen. Daarmee staat echter niet vast dat de gegevens van de overige 6,5 miljoen mensen niét gestolen en verkocht zijn. Een steekproef van RTL Nieuws wees uit dat de werkelijke omvang van de datadiefstal waarschijnlijk veel groter is dan bij het ministerie en de GGD bekend zijn.
Slecht beveiligde IT-systemen
ICAM vindt dat snelheid nooit een excuus zou mogen zijn voor het opzij schuiven van de meest basale privacy- en beveiligingsmaatregelen. Zo kregen de 27.000 callcenter medewerkers toegang tot onnodig veel gegevens, konden die gegevens via een exportfunctie eenvoudig worden gedownload en bestond hierop geen enkele controle. Fraudegevoelige gegevens, zoals BSN-nummers, hadden versleuteld moeten worden.
Een crisissituatie ontslaat de overheid niet van haar verplichting om de beveiliging van systemen te waarborgen, juist waar het om dit soort gevoelige gegevens gaat. VWS had hierover duidelijkere afspraken moeten maken met alle betrokken partijen.
Schadevergoeding
Volgens Stichting ICAM handelt het ministerie van VWS in strijd met de Algemene Verordening Gegevensbescherming (AVG). De stichting vordert daarom een schadevergoeding namens alle personen die sinds februari 2020:
- een corona testafspraak hebben gemaakt bij een GGD.
- een corona vaccinatieafspraak hebben gemaakt bij een GGD.
- contact hebben gehad met een GGD omdat zij in bron- en contactonderzoek als ‘nauw contact’ werden aangemerkt.
Voor iedere burger van wiede gegevens in de GGD-systemen zaten en dus gestolen konden worden, vordert ICAM een schadevergoeding van € 500. Voor iedereen waarvan bewijs bestaat dat hun gegevens zijn gestolen, vordert de stichting € 1.500.
De komende maanden zal de stichting gebruiken om deelnemers te verzamelen, die zich zonder kosten kunnen inschrijven via de website van Stichting ICAM (www.datalek-ggd.nl).
Over de stichting
Stichting ICAM is een onafhankelijke organisatie zonder winstoogmerk. Met deze collectieve actie zet ICAM zich ervoor in de Nederlandse overheid te dwingen zorgvuldiger om te gaan met de persoonsgegeven en privacy van burgers. Dit doet zij samen met een team van privacyexperts, advocaten, (oud-)politici en een betrokken achterban.
De collectieve rechtszaak wordt gefinancierd door het Nederlandse Liesker Procesfinanciering. Hierdoor kunnen alle burgers waarvoor de stichting optreedt zonder kosten meedoen op basis van een no cure no pay regeling.
De zaak wordt behandeld door een team van SOLV Advocaten onder leiding van Douwe Linders:
“Dit is voor de toekomst van cybersecurity een belangrijke zaak. Ik heb er begrip voor dat de GGD’en snel moesten opschalen en niet meteen alles 100% op orde konden hebben. Maar het kan niet zo zijn dat zeer risicovolle gegevens van 6,5 miljoen mensen een jaar later nog steeds voor het oprapen liggen. Dat is een ernstige en verwijtbare situatie, waarmee de overheid laat zien dat ze weinig benul heeft van de risico’s die mensen lopen.”