Illegale handel in privégegevens miljoenen Nederlanders uit coronasystemen GGD

Er wordt grootschalig gehandeld in miljoenen adresgegevens, telefoon- en burgerservicenummers, afkomstig uit de twee belangrijkste coronasystemen van de GGD. Dat ontdekte RTL Nieuws onlangs. De politie heeft twee personen gearresteerd die worden verdacht van deze illegale datahandel. Het gaat om handel in data uit twee coronasystemen van de GGD: CoronIT, waar de privégegevens van Nederlanders die een coronatest hebben gedaan in staan, en HPzone Light, het systeem voor het bron- en contactonderzoek van de GGD.

Op vrijdag 22 januari kregen politie en OM meldingen van de GGD dat er op Telegram persoonsgegevens uit een GGD-systemen te koop zouden worden aangeboden. Dat lees ik dan weer in het persbericht van de politie, met een overigens wel érg stoere foto van een arrestatie. “Het stelen en verkopen of doorverkopen van persoonsgegevens is een ernstig misdrijf”, zo meldt men.

En dat is het zeker, maar vroegen diverse lezers, waar staat dat dan? De AVG kent geen bepalingen van strafrecht, en data is niets zeg ik altijd. Maar specifiek bij strafrecht ligt dat anders. Daar kun je dingen stelen die in het handelsverkeer niets zijn. Alleen moet het dan wel gaan om dingen die uniek zijn, niet-kopieerbaar. En daar voldoen persoonsgegevens niet aan: de ‘gestolen’ gegevens staan nog steeds in de database van de GGD. Er is “alleen maar” een kopie gemaakt.

Desondanks is dit wel degelijk strafbaar. Je kunt diverse insteken kiezen. Zo is er artikel 139c Strafrecht, dat meestal de “diefstal van gegevens” strafbaar stelt:

Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.
Weliswaar mochten de medewerkers in kwestie in de databases, de kopie die ze downloadden hoorde niet tot hun werk en die is dus opzettelijk én wederrechtelijk gemaakt. En artikel 139e stelt dan ook het bezit en publiceren van die gegevens strafbaar (tot zes maanden cel)

Strenger is artikel 139g Strafrecht, dat in lid 1 bepaalt:

1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens:

  • a.verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;

  • b.ter beschikking van een ander stelt, aan een ander bekend maakt of uit winstbejag voorhanden heeft of gebruikt, terwijl hij weet of redelijkerwijs moet vermoeden dat het door misdrijf verkregen gegevens betreft.

Dit artikel ziet dus op de heling of doorverkoop van die gegevens.

Dan is er ook nog een wetsartikel tegen identiteitsfraude, artikel 231b Strafrecht:

Hij die opzettelijk en wederrechtelijk identificerende persoonsgegevens () van een ander gebruikt met het oogmerk om zijn identiteit te verhelen of de identiteit van de ander te verhelen of misbruiken, waardoor uit dat gebruik enig nadeel kan ontstaan, wordt gestraft met een gevangenisstraf van ten hoogste vijf jaren of geldboete van de vijfde categorie.

Het enige punt is dat ik hierbij geen voorbereidings-artikel kan vinden, oftewel een artikel waarin staat dat het verwerven van persoonsgegevens met het oogmerk dit misdrijf te plegen apart strafbaar is. Ik denk dus dat dit het niet gaat worden.

Dat gezegd hebbende, dit is een uniek geval en vooral dat de politie zo streng en voortvarend optreedt. Ik hoop dat het veel consequenties heeft, dan zit de schrik er straks goed in.

Arnoud

19 reacties

  1. Wat ik ook frustrerend vind aan dit lek is dat De Jonge tijdens het vragenuurtje aan gaf af te wachten tot het strafrechtelijk afgerond was naar de 2 gearresteerde verdachten om de slachtoffers van het lek te informeren. Los van het feit dat er veel meer dan 2 mensen waren die zich hier schuldig aan gemaakt lijken te hebben (en specifiek dit strafrechtelijk onderzoek wellicht de volledige scope van het lek niet dekt), lijkt me dat ook ruiterlijk lang.

    Ik zie niet in waarom de GGD’s niet alle betrokkenen onverwijld en binnen uiterlijk 72 uur zou moeten informeren, net als ieder ander bedrijf. Er is wel 1 reden die ik zie waarom dat lastig zou kunnen zijn; er lijkt geen enkele (of uiterst summiere) logging aanwezig te zijn geweest. Dat maakt het ongetwijfeld lastig.

    Los daarvan meldt Verlaan op twitter dat er al 6+ maanden lang continue waarschuwingen van het uitvoerend personeel waren dat de data niet goed beveiligd was, en toch heeft men ogenschijnlijk nagenoeg geen actie ondernomen. Zou je daar als betrokkene niet ook nog iets mee kunnen qua aansprakelijkheidsstelling?

    Ik snap dat er een gezondheidscrisis is, en ik begrijp ook dat er daarom snel gehandeld moest worden. Toch heb ik het idee dat men vanaf het begin alle flood gates open gezet heeft, en zelfs niet toen de initiele actie opgestart was uberhaupt nagedacht heeft over de bescherming van persoonsgegevens. Dat frustreert.

    1. Wat ik ook frustrerend vind

      Wen er maar aan. Politiek en iedereen die ook maar enige verantwoordelijkheid bij (semi-) overheid heeft een cultuur van niets doen, niets aanpakken, wachten tot het fout gaat, het paard achter de wagen spannen, de boel traineren als de ‘shit hits the fan‘ en achteraf proberen het eigen straatje schoon te vegen. Al minstens 20 jaar lang. Woningbouw, immigratie, zorg, fiscaal beleid, landbouw, onderwijs, etc, etc. Als je de afgelopen 20 jaar terugkijkt wordt er in de 2-de kamer nog steeds over dezelfde problemen gedebateerd zonder enige visie of plan van aanpak om zaken daadwerkelijk voortvarend aan te pakken en problemen op te lossen, plus een explosie van diverse grote schandalen op al die gebieden.

      Afgelopen jaar was op het gebied van Corona één verbijsterende aaneenschakeling van clusterfucks vanuit de politiek, dit datalek is daar maar een miniem aspect van. Het wordt hoog tijd dat wordt vastgelegd, wettelijk als het even kan, dat de 2-de kamer een veel kleinere rol krijgt in het dagelijks bestuur van de BV Nederland omdat ze met hun oeverloze en vooral stuurloze gewauwel het daadwerkelijk aanpakken van problemen alleen maar in de weg zitten. De aanpak van de Mexicaanse griep en bijbehorende prik-actie ging 10 jaar geleden zo voortvarend juist omdat de politiek er toen grotendeels buiten is gehouden en mensen die daadwerkelijk wat kunnen de acties hebben kunnen uitvoeren zoals je dat in een goed lopend bedrijf kan verwachten.

      Tot zover mijn vrijdagochtend frustraties….

      Wat ik ook frustrerend vind aan dit lek is dat De Jonge tijdens het vragenuurtje aan gaf af te wachten tot het strafrechtelijk afgerond was naar de 2 gearresteerde verdachten om de slachtoffers van het lek te informeren.
      Van de website autoriteit Persoonsgegevens:
      Moet ik alle datalekken melden aan betrokkenen? Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert.
      De gegevens kwamen niet per ongeluk op straat te liggen, maar zijn actief ‘gestolen’ en worden verhandeld met het doel om er identiteitsfraude mee te plegen. Uitstel van informatie lijkt me daarom volledig misplaattst. Maar Hugo de Schoenen is uiteraard een uitstekend jurist en zal het wel beter weten… Of hij staat gewoon glashard te liegen en verzint een smoesje waarmee hij tijd denkt te kunnen kopen zodat in de tussentijd kan worden achterhaald van wie de gegevens zijn verhandeld.
      Los daarvan meldt Verlaan op twitter dat er al 6+ maanden lang continue waarschuwingen van het uitvoerend personeel waren dat de data niet goed beveiligd was, en toch heeft men ogenschijnlijk nagenoeg geen actie ondernomen.
      Probeer dat maar eens in perspectief te plaatsen. Maandenlang waarschuwingen en als het fout gaat en in het nieuws komt is dat export-knopje opeens in 24 uur verwijderd. Zie mijn rant bovenaan, dit is geen incident maar een decennialang patroon…

      1. Waar gehakt wordt vallen spaanders en ik ben het met iedereen eens dat we, vanaf de bank thuis terugkijkend, prima kunnen aangeven wat er allemaal fout is gegaan. Er zijn trouwens ook veel zaken goed gedaan.

        Wat mij verbaast is dat aan de ene kant de GGD zegt dat iedereen die aan de “coronatelefoon” zit een VOG moet hebben en aan de andere kant medewerkers melden dat ze na twee maanden alsnog gevraagd wordt om een VOG aan te vragen. Ik zie dit als probleem veroorzaakt bij de uitvoering, niet iets om het kabinet of parlement direct aan te rekenen.

        1. De behandeling van een VOG -aanvraag door Justis kost 1 to 4 weken. Voor een spoed-aanvraag rekenen ze tot 5 werkdagen. Dat schaalt niet lekker als je binnen een paar dagen een telefooncentrum of een testlocatie uit de grond moet stampen.

          1. Dat hoefde niet binnen een paar dagen. Iedereen met meer verstand dan een garnaal had al vanaf maart 2020 al kunnen zien wat er het komende jaar zou gaan gebeuren. Als toen actie was genomen en de logisitiek was geregeld, en in Nederland hebben we minstens 10.000 mensen rondlopen die dat voor heel Nederland in een maand kunnen regelen, dan waren we vanaf de mei-vakantie al volledig voorbereid.

            1. Jeroen, Je gaat niet ‘al mensen aannemen -stellen’ op basis van een nog onbekende startdatum.

              De VOG kost geld, en moet aangevraagd worden op basis van werkzaamheden (categorie). In maart 2020 wisten ze misschien wel wat er te verwachten viel, misschien. Het was toen ook nog niet bekend wanneer en hoe de vaccinaties beschikbaar zouden komen en wie die zou kunnen toedienen. Ook was nog niet bekend in welke hoeveelheid ze beschikbaar zouden komen, en wie het meeste baat bij de vaccinaties zouden hebben.

              Voor het administratieve deel ben ik het met je eens, maar het feit dat je 2x geprikt moet worden vergt een andere administratie dan wanneer het prik en klaar is. Die kennis kwam pas in oktober. De overheid is geen uitblinker als het aankomt op software, dus aanpassen aan die info vergt ook tijd. In maart wisten ze dus net zoveel als een jaar daarvoor.

              1. Tweede prik registreren kan eenvoudig door iemand bij de eerste prik een oproep op papier mee te geven waarop de datum staat waarop hij weer terecht kan, en een QR code voor tracking van type vaccin, e.d. Laat deze ter plekke ondertekenen, en controleer dat bij de volgende prik. Geen noodzaak om persoonsgegevens verder op te slaan (en opkomen voor vervolgprik is een verantwoording van de betreffende persoon — voor bepaalde groepen moet je daar misschien bij helpen, maar voor de meesten zal dat niet nodig zijn).

                1. Een papieren oproep meegeven betekent dat je de weken daarna continu gebeld wordt door mensen die hun oproep kwijt zijn en willen weten wanneer ze weer aan de beurt zijn. Zeker gezien veel van de eerste vaccinaties naar ouderen gaan waar het risico op lichtelijk warrig gedrag toch iets hoger ligt. Als je dan zelf geen gegevens hebt opgeslagen, loop je gewoon vast.

              2. Die kennis kwam pas in oktober.

                Nee, dit was al in het begin van de zomer bekend, oktober is mooipraterij van het ministerie. Als je kijkt naar de bij de WHO aangemelde fase-3-testplannen dan kun je zien dat alle drie tot nu toe in Nederland toegelaten vaccins uitgingen van twee keer prikken. Deze plannen zijn in de periode april tot juli 2020 bij de WHO aangemeld.

        2. Er zijn trouwens ook veel zaken goed gedaan.

          Niet aan jou gericht, maar mensen die dit benadrukken leven voor de middelmaat. En daar hebben we er zolangzamerhand 149 van in de Tweede Kamer… Als je dingen écht goed wilt regelen leg je continu de focus op zaken die misgaan en neem je daar actie op.

        3. Flexcontracten, oproepcontracten en tijdelijke aanstellingen zijn niet bevorderlijk voor de loyaliteit van een werknemer. Met een VOG-controle stop je alleen die mensen, die zich eerder (bewezen) schuldig gemaakt hebben aan relevante wetsovertredingen. Als je als overheid echt werk wilt maken van een betrouwbare hantering van vertrouwelijke informatie door je personeel, moet je serieus kijken naar welke aanstellingsvormen je kiest. Nieuw personeel de eerste tijd van een aanstelling heel beperkt toegang geven tot vertrouwelijke informatie en dat soort dingen.

          1. Mijn ervaring in het (beperkt) aantal functies waarin mij om een VOG gevraagd is, is dat het een paar weken na indiensttreding kan duren voor de organisatie het aanvraagformulier klaar heeft en als het eenmaal in jouw handen is mag je zo twee weken nemen om een afspraak op het gemeentehuis te maken. Tel de 4 weken van Justis en nog een paar weken rekken er bij op en je zit drie maanden in een VOG functie voordat de vraag om dat papiertje tot een ontslagprocedure leidt… (Heb het zien gebeuren.)

            Een uitzendkracht ligt er na 2-3 maanden uit, maar kan het kunstje bij de volgende opdrachtgever herhalen.

            1. De grootste doorlooptijd ligt inderdaad vaak bij de afhandeling door de werkgever en de werknemer (dan wel organisatie en vrijwilliger). Mijn persoonlijke ervaring en die van mijn gezinsleden de afgelopen jaren (bij elkaar rond de tien aanvragen) is dat er drie werkdagen liggen tussen inleveren aanvraag op gemeentehuis en ontvangen van de VOG in de brievenbus. De snelste was al op de volgende werkdag binnen. Dus aan Justis lijkt het niet te liggen als er geen bezwaren zijn tegen een aanvraag. Maar ze houden wel een erg grote slag om de arm.

              1. Ik kan me niet meer herinneren hoe lang Justis nodig had voor mijn aanvragen, dat is alweer zo’n zeven jaar geleden. Het duurde wel meer dan de drie dagen die je noemt voordat ik mijn VOB binnen had, maar het was ruim binnen de vier weken. (Eerder twee weken dan vier.)

            2. Bij ons werken we met een PES (Pre-employment screening: een onderzoek naar antecedenten door een extern bureau, inclusief controle op referenties, geclaimde diploma’s en een uiteraard een VOG), en voordat die klaar is mag je niet eens beginnen. Een eerste keer kan dit zomaar een maand duren, en soms moeten we dus inderdaad de eerste werkdag van nieuwe medewerkers uitstellen omdat het nog niet rond is. De detacheringsbedrijven die actief zijn voor financiele instellingen hebben dit voor hun medewerkers op orde, dus die kunnen meestal wel snel aan de slag.

  2. Hoe zit dat met streng zijn? Kan een rechter dan gaan optellen en “ten hoogste twee jaren of geldboete van de vierde categorie” + “van ten hoogste een jaar of geldboete van de vierde categorie” + (wellicht) “van ten hoogste vijf jaren of geldboete van de vijfde categorie” Of is het kiezen? Of mixen?

    En krijgt Nederland nu een boete van 20 miljoen? (4% van 812 miljard euro is ruim 32 miljard 😉

  3. Gelet op datgene wat nu bekend is, zou waarschuwen eigenlijk simpel moeten zijn. Van iedereen in het systeem is (begrijp ik) het adres bekend en iedereen is mogelijk betroffen. Stuur een brief naar de hele lijst met de melding wat er loos is, waar men op moet letten en hoe men kan reageren als er iets mis lijkt te zijn. Wachten tot de strafzaak klaar is, kan jaren duren. Dit is nl. niet alleen afhankelijk van wat de verdachten hebben gedaan, maar ook van wat uit het onderzoek nog naar boven komt. En dat kan een behoorlijke beerput blijken.

  4. Is er nu een complete database export in het illegale circuit beland? Dat is toch wel de grootste nachtmerrie van een IT beheer organisatie. Wat valt mij op? Allereerst vind ik het vreemd dat een organisatie die als kerntaak heeft vastleggen van medische testen en doen van kontakt onderzoek opeens een nieuwe applicatie nodig heeft als er een nieuw virus opduikt. Dat het nu allemaal wat grootschaliger is heeft nauwelijks invloed als je de zaken op orde hebt, hoogstens wat extra geheugen of wat extra storage opschalen. Er was al een rapport van het Bureau ICT Toetsing BIT over Praeventis van het RIVM, het lijkt er op dat dat genegeerd is, helaas heeft het BIT alleen een adviserende functie . Ik vermoed dat er wel meer niet op orde is aan life cycle management en security. Daarnaast is de bedrijfscultuur ook totaal niet bewust bezig met privacy blijkens de berichten dat er massaal gebruik gemaaktb werd van WhatsApp om onderling data uit te wisselen, zoals bekend is WhatsApp van Facebook en ga je er mee akkoord dat zij alles mogen gebruiken naar het hun goed dunkt. Wat je hier ziet is enerzijds de commercie die er op in springt om volgens de nieuwste hypes een PostgreSQL database applicatie neer te zetten , ongetwijfeld zullen er allerlei scrummasters en managers omheen lopen die niet gehinderd door enige kennis van zaken het ministerie beloven dat ze de klus snel gaan klaren. Ook als je de siscussie in de tweede kamer ziet en het niveau van de reactie van de minister, dan zie je toch wel een onstellend gebrek aan elementaire kennis op dit gebied, terwijl het steeds belangrijker wordt. Ook zie je dat de belangrijkste eigenschap van het hogere management – de minister – is om er een permanente goed nieuws show van te maken, en met een vlotte babbel alle blunders te bagatelliseren

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.