[D66] Grootschalige datahandel coronasystemen GGD (Wuhan Coronavirus 2019-nCoV #521)

Dr. Marc-Alexander Fluks fluks at combidom.com
Mon Jan 25 16:46:05 CET 2021 

[Moesten we niet wachten met vaccineren vanwege de 'zorgvuldigheid' van 
de computersystemen ?]


Bron:   RTL Nieuws
Datum:  25 januari 2021
Auteur: Daniel Verlaan
URL:    
https://www.rtlnieuws.nl/nieuws/nederland/artikel/5210644/handel-gegevens-nederlanders-ggd-systemen-database-coronit-hpzone


Illegale handel in privegegevens miljoenen Nederlanders uit 
coronasystemen
GGD
--------------------------------------------------------------------------

Er wordt grootschalig gehandeld in miljoenen adresgegevens, telefoon- en 
burgerservicenummers, afkomstig uit de twee belangrijkste coronasystemen 
van de GGD. De politie heeft dit weekend twee personen gearresteerd die 
worden verdacht van deze illegale datahandel.


Dat blijkt uit onderzoek van RTL Nieuws, dat de GGD afgelopen vrijdag 
confronteerde met de illegale handel in persoonsgegevens uit hun 
systemen. Het cybercrimeteam van politie Midden-Nederland is daarop 
direct een onderzoek gestart.

Het gaat om handel in data uit twee coronasystemen van de GGD: CoronIT, 
waar de privegegevens van Nederlanders die een coronatest hebben gedaan 
in staan, en HPzone Light, het systeem voor het bron- en 
contactonderzoek van de GGD.

'De handel in deze gegevens is diep schokkend', reageert hoogleraar ICT 
& Recht Frederik Zuiderveen Borgesius van de Radboud Universiteit. 'De 
informatie kan worden misbruikt voor onder andere identiteitsfraude, 
phishing en stalking. Omdat er ook medische gegevens in de systemen 
staan is het juist extra belangrijk om dit goed te beschermen.'


Tussen de 30 en 50 euro

Op chatdiensten als Telegram, Snapchat en Wickr worden al maanden 
privegegevens uit de GGD-systemen door tientallen accounts en in 
verschillende grote chatgroepen te koop aangeboden. Sommige accounts 
bieden aan om de gegevens van een specifiek persoon op te zoeken. Dat 
kost tussen de 30 en 50 euro en dan ontvang je van iemand het woon- en 
mailadres en telefoon- en burgerservicenummer.

Andere accounts bieden grote datasets aan met daarin de privegegevens 
van vele tienduizenden Nederlanders. Criminelen vragen hier duizenden 
euro's voor omdat het relatief uniek is dat er op zo'n grote schaal 
burgerservicenummers worden verkocht. Een burgerservicenummer is zeer 
gevoelig en kan worden misbruikt voor identiteitsfraude.


Verkoop van datasets

RTL Nieuws vroeg de afgelopen tijd de gegevens van een aantal personen 
bij illegale handelaars op. Daarvoor hebben de betrokkenen vooraf 
toestemming gegeven. In alle gevallen ontvingen we het juiste woonadres, 
telefoonnummer, e-mailadres en burgerservicenummer. De betaling ging via 
Bitcoin of betaalkaart Paysafecard.

Ook heeft RTL Nieuws een dataset ingezien van honderden Nederlanders, 
illegaal verkregen uit het systeem voor bron- en contactonderzoek van de 
GGD. Deze dataset was volgens de aanbieder een voorproefje van de vele 
duizenden tot tienduizenden personen die hij kon leveren.

Er worden zelfs specifieke datasets op aanvraag geleverd, bijvoorbeeld 
alleen mensen uit Amsterdam of enkel vijftigplussers. Een van de 
verkopers zegt dat er veel vraag is naar de gegevens. 'Ik eet goed 
broer', vertelt hij in een chatgesprek, verwijzend naar dat hij veel 
geld verdient met de verkoop van deze data.


CoronIT en HPzone Light

De gegevens zijn afkomstig uit twee GGD-systemen: CoronIT en HPzone 
Light. CoronIT is het online registratiesysteem voor coronatesten waar 
zo'n 26.000 GGD'ers en callcentermedewerkers van de testlijn toegang tot 
hebben. Het is ook mogelijk om testafspraken en -uitslagen op te vragen, 
maar hier wordt door de accounts niet actief mee geadverteerd.

HPzone Light is het informatiesysteem voor het bron- en contactonderzoek 
van de GGD. Daarin staan de privegegevens van alle met corona besmette 
Nederlanders. De GGD weet niet hoeveel mensen daar toegang tot hebben, 
maar het gaat om onder andere medewerkers van het Rode Kruis, de ANWB en 
callcentermedewerkers van Teleperformance.

Door corona werken veel medewerkers thuis en is het volgens bronnen 
makkelijker om gegevens door te sluizen naar criminelen.

De gegevens worden verkregen door omgekochte medewerkers van de GGD en 
andere organisaties die toegang hebben tot de systemen. Criminelen zijn 
ook actief op zoek naar mensen die toegang hebben tot CoronIT of HPzone 
Light, en betalen hen voor inloggegevens tot deze systemen.

De malafide medewerkers krijgen veelal per persoon van wie ze de 
gegevens doorspelen een bedrag. Dit loopt soms op tot honderden euro's 
per dag, zo stelt een van de tussenpersonen - een flink bedrag voor een 
callcentermedewerker die gemiddeld zo'n 11 euro per uur verdient.


John van den Heuvel en Peter R. de Vries

De accounts adverteren met foto's van privegegevens van BN'ers, onder 
wie een aantal populaire influencers en de twee bekendste 
misdaadjournalisten van Nederland: John van den Heuvel en Peter R. de 
Vries, waarvan eerstgenoemde al jaren wordt beveiligd door de politie.

John van den Heuvel noemt het 'ontluisterend' dat zijn privegegevens op 
deze manier worden verspreid: 'Het is pijnlijk dat de GGD dit niet goed 
kan regelen. Ik heb niet de illusie dat criminelen niet achter mijn 
woonadres kunnen komen, maar het wordt ze zo wel heel makkelijk 
gemaakt.'

'Het gaat hier om zeer gevoelige gegevens waar mensen met kwade 
bedoelingen flink misbruik van kunnen maken', laat Peter R. de Vries 
weten. 'De overheid schiet hierin zwaar tekort, want zij hebben de 
plicht om die gegevens goed dicht te timmeren.'

Zowel Van den Heuvel als De Vries waren niet op de hoogte dat hun 
privegegevens door criminelen worden gedeeld. De Vries noemt het 
'veelzeggend' dat hij niets van de GGD heeft gehoord en door RTL Nieuws 
op de hoogte is gesteld.


Maatregelen door GGD

De GGD was niet op de hoogte van de illegale datahandel uit hun 
systemen. 'Wij zijn verantwoordelijk voor de veiligheid van onze 
systemen', zegt Andre Rouvoet, voorzitter van de GGD GHOR Nederland. 
'Iedereen die zich bij ons laat testen moet daar op kunnen vertrouwen. 
Na melding door RTL Nieuws heeft de GGD 'onmiddellijk verdere 
maatregelen getroffen'.

De GGD laat weten dat medewerkers een Verklaring Omtrent het Gedrag 
(VOG) moeten aanleveren en een geheimhoudingsverklaring moeten 
ondertekenen. Ook worden er steekproefgewijs controles uitgevoerd onder 
werknemers. De afgelopen tijd zijn er tientallen mensen gecontroleerd en 
ontslagen, stelt de GGD.

Daarnaast laat de GGD weten de monitoring van de systemen 'verder op te 
schalen'. Eind maart moeten de systemen 'automatisch en continue' worden 
gecontroleerd.


Twee mannen van 21 en 23 gearresteerd

De politie heeft zaterdagavond in Amsterdam twee mannen gearresteerd die 
worden verdacht van de illegale datahandel. Het gaat om een 21-jarige 
man uit Heiloo en een 23-jarige man uit Alblasserdam, en beiden werken 
in het callcenter van de GGD. De woningen van de mannen zijn doorzocht 
en computers in beslag genomen.

'Het stelen en verkopen of doorverkopen van persoonsgegevens is een 
ernstig misdrijf', zo laat Jeroen Niessen van het cybercrimeteam van de 
politie Midden-Nederland weten. 'Politie en Openbaar Ministerie zitten 
hier bovenop. De GGD heeft afgelopen vrijdag bij ons een melding gedaan 
van de datadiefstal. Wij zijn daarop direct een groot onderzoek gestart 
en hebben in deze zaak binnen 24 uur twee mensen aangehouden. Meer 
aanhoudingen worden zeker niet uitgesloten. Het onderzoek gaat verder, 
onder meer naar de omvang van de datadiefstal.'

Beide mannen zullen naar verwachting morgen worden voorgeleid aan de 
rechter-commissaris.


Autoriteit Persoonsgegevens eist opheldering

'Dit is zeer kwalijk en is mogelijk een ernstig datalek', zo laat een 
woordvoerder van de Autoriteit Persoonsgegevens weten. 'De AP heeft de 
GGD direct om opheldering geeist. Deze data bevatten naam, adres, 
woonplaats en telefoonnummers en ook nog eens BSN's: allemaal actueel en 
in grote hoeveelheden. Dat is heel veel waard.

De Autoriteit Persoonsgegevens meldt dat een organisatie nalatig kan 
zijn als het de gegevens in zijn systemen niet voldoende beveiligt: 'Dan 
riskeer je niet alleen een boete van de AP, maar ook bijvoorbeeld 
massaclaims van slachtoffers.'


Privacyschandalen

Het is niet het eerste schandaal rondom privegegevens uit 
coronasystemen. Vorige week onthulde Nieuwsuur een datalek bij het 
commerciele testbedrijf U-Diagnostics waardoor de persoonsgegevens van 
tienduizenden Nederlanders in te zien waren. In november vorig jaar 
meldde het AD dat GGD-medewerkers stiekem in de dossiers van BN'ers 
gluren, waaronder die van de Rotterdamse burgemeester Ahmed Aboutaleb.

Die privacyschandalen kunnen ervoor zorgen dat minder mensen zich durven 
te laten testen. 'Dit heeft absoluut gevolgen voor de bereidheid van 
mensen om zich te laten testen', stelt hoogleraar gezondheidsrecht 
Martin Buijsen van de Erasmus Universiteit Rotterdam. 'Als je weet dat 
die gegevens kunnen worden doorverkocht aan criminelen denk je toch wel 
twee keer na voordat je zo'n test doet.'


Wat kun je doen?

De GGD is verantwoordelijk voor de beveiliging van jouw privegegevens. 
Als deze uitlekken of worden doorverkocht, kunnen ze door criminelen 
worden misbruikt voor identiteitsfraude of oplichting. Het is daarom 
belangrijk alert te zijn op oplichting via onder andere e-mail, sms en 
WhatsApp. Ook is het verstandig om de post goed in de gaten te houden en 
te letten op vreemde of onverwachte post, en je bankafschriften goed te 
controleren.

--------
(c) 2021 RTL Nieuws

More information about the D66 mailing list