[D66] Grootschalige datahandel coronasystemen GGD (Wuhan Coronavirus 2019-nCoV #521)
Dr. Marc-Alexander Fluks
fluks at combidom.com
Mon Jan 25 16:46:05 CET 2021
[Moesten we niet wachten met vaccineren vanwege de 'zorgvuldigheid' van
de computersystemen ?]
Bron: RTL Nieuws
Datum: 25 januari 2021
Auteur: Daniel Verlaan
URL:
https://www.rtlnieuws.nl/nieuws/nederland/artikel/5210644/handel-gegevens-nederlanders-ggd-systemen-database-coronit-hpzone
Illegale handel in privegegevens miljoenen Nederlanders uit
coronasystemen
GGD
--------------------------------------------------------------------------
Er wordt grootschalig gehandeld in miljoenen adresgegevens, telefoon- en
burgerservicenummers, afkomstig uit de twee belangrijkste coronasystemen
van de GGD. De politie heeft dit weekend twee personen gearresteerd die
worden verdacht van deze illegale datahandel.
Dat blijkt uit onderzoek van RTL Nieuws, dat de GGD afgelopen vrijdag
confronteerde met de illegale handel in persoonsgegevens uit hun
systemen. Het cybercrimeteam van politie Midden-Nederland is daarop
direct een onderzoek gestart.
Het gaat om handel in data uit twee coronasystemen van de GGD: CoronIT,
waar de privegegevens van Nederlanders die een coronatest hebben gedaan
in staan, en HPzone Light, het systeem voor het bron- en
contactonderzoek van de GGD.
'De handel in deze gegevens is diep schokkend', reageert hoogleraar ICT
& Recht Frederik Zuiderveen Borgesius van de Radboud Universiteit. 'De
informatie kan worden misbruikt voor onder andere identiteitsfraude,
phishing en stalking. Omdat er ook medische gegevens in de systemen
staan is het juist extra belangrijk om dit goed te beschermen.'
Tussen de 30 en 50 euro
Op chatdiensten als Telegram, Snapchat en Wickr worden al maanden
privegegevens uit de GGD-systemen door tientallen accounts en in
verschillende grote chatgroepen te koop aangeboden. Sommige accounts
bieden aan om de gegevens van een specifiek persoon op te zoeken. Dat
kost tussen de 30 en 50 euro en dan ontvang je van iemand het woon- en
mailadres en telefoon- en burgerservicenummer.
Andere accounts bieden grote datasets aan met daarin de privegegevens
van vele tienduizenden Nederlanders. Criminelen vragen hier duizenden
euro's voor omdat het relatief uniek is dat er op zo'n grote schaal
burgerservicenummers worden verkocht. Een burgerservicenummer is zeer
gevoelig en kan worden misbruikt voor identiteitsfraude.
Verkoop van datasets
RTL Nieuws vroeg de afgelopen tijd de gegevens van een aantal personen
bij illegale handelaars op. Daarvoor hebben de betrokkenen vooraf
toestemming gegeven. In alle gevallen ontvingen we het juiste woonadres,
telefoonnummer, e-mailadres en burgerservicenummer. De betaling ging via
Bitcoin of betaalkaart Paysafecard.
Ook heeft RTL Nieuws een dataset ingezien van honderden Nederlanders,
illegaal verkregen uit het systeem voor bron- en contactonderzoek van de
GGD. Deze dataset was volgens de aanbieder een voorproefje van de vele
duizenden tot tienduizenden personen die hij kon leveren.
Er worden zelfs specifieke datasets op aanvraag geleverd, bijvoorbeeld
alleen mensen uit Amsterdam of enkel vijftigplussers. Een van de
verkopers zegt dat er veel vraag is naar de gegevens. 'Ik eet goed
broer', vertelt hij in een chatgesprek, verwijzend naar dat hij veel
geld verdient met de verkoop van deze data.
CoronIT en HPzone Light
De gegevens zijn afkomstig uit twee GGD-systemen: CoronIT en HPzone
Light. CoronIT is het online registratiesysteem voor coronatesten waar
zo'n 26.000 GGD'ers en callcentermedewerkers van de testlijn toegang tot
hebben. Het is ook mogelijk om testafspraken en -uitslagen op te vragen,
maar hier wordt door de accounts niet actief mee geadverteerd.
HPzone Light is het informatiesysteem voor het bron- en contactonderzoek
van de GGD. Daarin staan de privegegevens van alle met corona besmette
Nederlanders. De GGD weet niet hoeveel mensen daar toegang tot hebben,
maar het gaat om onder andere medewerkers van het Rode Kruis, de ANWB en
callcentermedewerkers van Teleperformance.
Door corona werken veel medewerkers thuis en is het volgens bronnen
makkelijker om gegevens door te sluizen naar criminelen.
De gegevens worden verkregen door omgekochte medewerkers van de GGD en
andere organisaties die toegang hebben tot de systemen. Criminelen zijn
ook actief op zoek naar mensen die toegang hebben tot CoronIT of HPzone
Light, en betalen hen voor inloggegevens tot deze systemen.
De malafide medewerkers krijgen veelal per persoon van wie ze de
gegevens doorspelen een bedrag. Dit loopt soms op tot honderden euro's
per dag, zo stelt een van de tussenpersonen - een flink bedrag voor een
callcentermedewerker die gemiddeld zo'n 11 euro per uur verdient.
John van den Heuvel en Peter R. de Vries
De accounts adverteren met foto's van privegegevens van BN'ers, onder
wie een aantal populaire influencers en de twee bekendste
misdaadjournalisten van Nederland: John van den Heuvel en Peter R. de
Vries, waarvan eerstgenoemde al jaren wordt beveiligd door de politie.
John van den Heuvel noemt het 'ontluisterend' dat zijn privegegevens op
deze manier worden verspreid: 'Het is pijnlijk dat de GGD dit niet goed
kan regelen. Ik heb niet de illusie dat criminelen niet achter mijn
woonadres kunnen komen, maar het wordt ze zo wel heel makkelijk
gemaakt.'
'Het gaat hier om zeer gevoelige gegevens waar mensen met kwade
bedoelingen flink misbruik van kunnen maken', laat Peter R. de Vries
weten. 'De overheid schiet hierin zwaar tekort, want zij hebben de
plicht om die gegevens goed dicht te timmeren.'
Zowel Van den Heuvel als De Vries waren niet op de hoogte dat hun
privegegevens door criminelen worden gedeeld. De Vries noemt het
'veelzeggend' dat hij niets van de GGD heeft gehoord en door RTL Nieuws
op de hoogte is gesteld.
Maatregelen door GGD
De GGD was niet op de hoogte van de illegale datahandel uit hun
systemen. 'Wij zijn verantwoordelijk voor de veiligheid van onze
systemen', zegt Andre Rouvoet, voorzitter van de GGD GHOR Nederland.
'Iedereen die zich bij ons laat testen moet daar op kunnen vertrouwen.
Na melding door RTL Nieuws heeft de GGD 'onmiddellijk verdere
maatregelen getroffen'.
De GGD laat weten dat medewerkers een Verklaring Omtrent het Gedrag
(VOG) moeten aanleveren en een geheimhoudingsverklaring moeten
ondertekenen. Ook worden er steekproefgewijs controles uitgevoerd onder
werknemers. De afgelopen tijd zijn er tientallen mensen gecontroleerd en
ontslagen, stelt de GGD.
Daarnaast laat de GGD weten de monitoring van de systemen 'verder op te
schalen'. Eind maart moeten de systemen 'automatisch en continue' worden
gecontroleerd.
Twee mannen van 21 en 23 gearresteerd
De politie heeft zaterdagavond in Amsterdam twee mannen gearresteerd die
worden verdacht van de illegale datahandel. Het gaat om een 21-jarige
man uit Heiloo en een 23-jarige man uit Alblasserdam, en beiden werken
in het callcenter van de GGD. De woningen van de mannen zijn doorzocht
en computers in beslag genomen.
'Het stelen en verkopen of doorverkopen van persoonsgegevens is een
ernstig misdrijf', zo laat Jeroen Niessen van het cybercrimeteam van de
politie Midden-Nederland weten. 'Politie en Openbaar Ministerie zitten
hier bovenop. De GGD heeft afgelopen vrijdag bij ons een melding gedaan
van de datadiefstal. Wij zijn daarop direct een groot onderzoek gestart
en hebben in deze zaak binnen 24 uur twee mensen aangehouden. Meer
aanhoudingen worden zeker niet uitgesloten. Het onderzoek gaat verder,
onder meer naar de omvang van de datadiefstal.'
Beide mannen zullen naar verwachting morgen worden voorgeleid aan de
rechter-commissaris.
Autoriteit Persoonsgegevens eist opheldering
'Dit is zeer kwalijk en is mogelijk een ernstig datalek', zo laat een
woordvoerder van de Autoriteit Persoonsgegevens weten. 'De AP heeft de
GGD direct om opheldering geeist. Deze data bevatten naam, adres,
woonplaats en telefoonnummers en ook nog eens BSN's: allemaal actueel en
in grote hoeveelheden. Dat is heel veel waard.
De Autoriteit Persoonsgegevens meldt dat een organisatie nalatig kan
zijn als het de gegevens in zijn systemen niet voldoende beveiligt: 'Dan
riskeer je niet alleen een boete van de AP, maar ook bijvoorbeeld
massaclaims van slachtoffers.'
Privacyschandalen
Het is niet het eerste schandaal rondom privegegevens uit
coronasystemen. Vorige week onthulde Nieuwsuur een datalek bij het
commerciele testbedrijf U-Diagnostics waardoor de persoonsgegevens van
tienduizenden Nederlanders in te zien waren. In november vorig jaar
meldde het AD dat GGD-medewerkers stiekem in de dossiers van BN'ers
gluren, waaronder die van de Rotterdamse burgemeester Ahmed Aboutaleb.
Die privacyschandalen kunnen ervoor zorgen dat minder mensen zich durven
te laten testen. 'Dit heeft absoluut gevolgen voor de bereidheid van
mensen om zich te laten testen', stelt hoogleraar gezondheidsrecht
Martin Buijsen van de Erasmus Universiteit Rotterdam. 'Als je weet dat
die gegevens kunnen worden doorverkocht aan criminelen denk je toch wel
twee keer na voordat je zo'n test doet.'
Wat kun je doen?
De GGD is verantwoordelijk voor de beveiliging van jouw privegegevens.
Als deze uitlekken of worden doorverkocht, kunnen ze door criminelen
worden misbruikt voor identiteitsfraude of oplichting. Het is daarom
belangrijk alert te zijn op oplichting via onder andere e-mail, sms en
WhatsApp. Ook is het verstandig om de post goed in de gaten te houden en
te letten op vreemde of onverwachte post, en je bankafschriften goed te
controleren.
--------
(c) 2021 RTL Nieuws
More information about the D66
mailing list