Afgelopen weekend zijn twee medewerkers van het landelijk coronatest afsprakennummer van de GGD aangehouden op verdenking van datadiefstal. Zij zouden tegen betaling persoonsgegevens uit de systemen die de GGD gebruikt voor de Covid-19 testen hebben aangeboden. Deze gegevens gaan over het testen op corona en mogelijk het bron- en contactonderzoek en bevatten onder andere naam, adres, BSN, testuitslag, testlocatie en geboortedatum.
De Autoriteit Persoonsgegevens (AP) heeft direct opheldering van de GGD geëist en de GGD opgedragen mensen goed te informeren over de diefstal en de eventuele gevolgen daarvan. Dat heeft de GGD gedaan door het publiceren van een vraag- en antwoordenlijst op de website en door een informatielijn open te stellen.
Volgens verschillende bronnen wist de GGD al enkele maanden van de problemen rondom de privacy. Zo konden gegevens makkelijk uit de systemen worden geëxporteerd, een functie die de GGD eenvoudig kon uitschakelen. Ondanks waarschuwingen van medewerkers van de GGD, bleef de fraudegevoelige export-functie in de systemen openstaan.
Omdat het om datadiefstal gaat, ligt de focus van het onderzoek niet alleen op schending van de AVG, maar ook het strafrechtelijk onderzoek. De GGD is onmiddellijk overgegaan tot het nemen van verder maatregelen om de persoonsgegevens te beschermen en de gevolgen van de datadiefstal te beperken. Wat deze maatregelen zijn, kan de GGD in het belang van het politieonderzoek nog niet vertellen.
Heeft u vragen over privacy? Neem contact op met Tahir bodha of één van onze andere specialisten in privacy, intellectuele eigendom en ICT.
Advocaat