Miljoenen burgerservicenummers, adresgegevens en telefoonnummers afkomstig uit de belangrijkste coronasystemen van de GGD worden op grote schaal verhandeld, en de politie heeft dit weekend twee verdachten opgepakt. Beide verdachten werkten in het callcenter van de GGD en boden de gegevens aan via apps als Telegram en Snapchat.

Het lek is aan het licht gekomen na onderzoek van RTL Nieuws. Zij hebben de GGD afgelopen vrijdag op de hoogte gebracht van deze grootschalige illegale handel, waarop de GGD direct actie ondernam. De politie werd ingeseind en het cybercrimeteam van de politie Midden-Nederland is direct een onderzoek gestart.

Gegevens uit twee belangrijke systemen te koop aangeboden

RTL Nieuws weet te vertellen dat het gaat om gegevens uit twee belangrijke systemen waar de GGD mee werkt. Eén ervan is CoronIT, het digitale registratiesysteem voor coronatesten. Hier staan de privégegevens in van alle Nederlanders die een coronatest hebben gedaan. Geschat wordt dat zo’n 26.000 GGD’ers en callcentermedewerkers toegang hebben tot dit systeem. Overigens is het ook mogelijk om informatie over testuitslagen en -afspraken via dit systeem op te vragen.

Het andere systeem waar gegevens uit worden verhandeld is HPzone Light, het systeem dat door de GGD gebruikt wordt voor het bron- en contactonderzoek. In dit systeem staan meer specifiek gegevens van alle Nederlanders waarvan vaststaat dat ze een coronabesmetting hebben opgelopen. De GGD kan volgens RTL Nieuws niet precies vertellen hoeveel mensen hier toegang toe hebben, maar geeft wel aan dat het gaat om medewerkers van onder andere het Rode Kruis, de ANWB en callcentermedewerkers die in dienst zijn van het bedrijf Teleperformance.

Vanwege het vele thuiswerken zou de controle minder goed zijn en is het voor kwaadwillende medewerkers met toegang tot de systemen eenvoudiger om gegevens uit de systemen te halen om ze door te sluizen naar criminelen, melden bronnen aan RTL Nieuws.

‘Risico op phishing, identiteitsfraude en stalking’

Het betreft dus een omvangrijk lek, en vanwege de aard van de gegevens is dat lek bovendien problematisch. Hoogleraar ICT & Recht Frederik Zuiderveen Borgesius van de Radboud Universiteit bestempelt de gang van zaken als ‘diep schokkend’ en stelt: ‘De informatie kan worden misbruikt voor onder andere identiteitsfraude, phishing en stalking. Omdat er ook medische gegevens in de systemen staan is het juist extra belangrijk om dit goed te beschermen.’

Gegevens van specifieke personen nodig? ‘Dat kan voor 30 tot 50 euro’

De handel vindt dus plaats via chatapps als Telegram, Snapchat en het iets minder bekende Wickr. Onderzoek van RTL Nieuws wijst uit dat de uit de GGD-systemen buitgemaakte privégegevens al maandenlang door enkele tientallen accounts in verschillende omvangrijke chatgroepen te koop wordt aangeboden. Het zou bovendien zelfs mogelijk zijn om gegevens van één specifieke persoon op te vragen: tegen betaling van een bedrag tussen de 30 en de 50 euro krijg je het mailadres, het woonadres, het telefoonnummer én het burgerservicenummer van de betreffende persoon.

Anderen gaan een stuk minder specifiek te werk: ook complete sets met daarin de gegevens van tienduizenden mensen worden in bulk te koop aangeboden. Een dergelijke set zou enkele duizenden euro’s moeten kosten. Een hoop geld, maar burgerservicenummers zijn voor kwaadwillenden dan ook veel waard. Wie van plan is om identiteitsfraude te plegen, kan met dergelijke gegevens een hoop schade aanrichten.

Betaling geschiedt via Bitcoin of in de vorm van betaalkaarten van Paysafecard, aldus RTL Nieuws. Zij hebben bij wijze van steekproef de gegevens van een aantal personen opgevraagd en constateerden dat de geleverde data klopte. Ook worden er op aanvraag specifieke datasets geleverd door de handelaren: zo is het mogelijk om te differentiëren op gegevens als leeftijd en woonplaats. En hoe specifieker de buitgemaakte data is, hoe gerichter oplichters mensen kunnen benaderen met frauduleuze verzoeken.

Callcentermedewerkers willen een extraatje verdienen

De callcentermedewerkers verdienen gemiddeld slechts 11 euro per uur, bepaald geen vetpot. Deze medewerkers worden dan ook actief benaderd door criminelen met het verzoek om tegen betaling gegevens door te spelen. Een tussenpersoon – die om voor de hand liggende redenen anoniem wenst te blijven – kunnen zo soms honderden euro’s per dag verdienen.

GGD neemt maatregelen, Autoriteit Persoonsgegevens wil opheldering

Medewerkers met toegang tot deze systemen moeten allereerst beschikken over een Verklaring Omtrent Gedrag (VOG) en dienen daarnaast een geheimhoudingsverklaring te ondertekenen. Bovendien worden medewerkers steekproefsgewijs gecontroleerd. Dat heeft volgens de GGD de afgelopen tijd tot ‘enkele tientallen’ ontslagen geleid.

André Rouvoet, voorzitter van de GGD GHOR Nederland, stelt dat de GGD niet op de hoogte was van deze handel. ‘Wij zijn verantwoordelijk voor de veiligheid van onze systemen. Iedereen die zich bij ons laat testen moet daar op kunnen vertrouwen’. De GGD laat verder weten dat de controle op de systemen nog verder wordt opgeschaald. Eind maart zouden de systemen niet alleen volledig automatisch, maar ook permanent moeten worden gemonitord.

De Autoriteit Persoonsgegevens spreekt van een ernstig datalek en van een zeer kwalijke zaak: ‘De AP heeft de GGD direct om opheldering geëist. Deze data bevatten naam, adres, woonplaats en telefoonnummers en ook nog eens burgerservicenummers: allemaal actueel en in grote hoeveelheden. Dat is heel veel waard.’

Of er sprake is van nalatigheid, weet de Autoriteit Persoonsgegevens nog niet. Daar is sprake van als een organisatie gevoelige gegevens niet of onvoldoende weet te beveiligen: ‘Dan riskeer je niet alleen een boete van de AP, maar ook bijvoorbeeld massaclaims van slachtoffers.’

Twee verdachten gearresteerd, politie sluit meer aanhoudingen niet uit

De politie heeft afgelopen zaterdagavond twee aanhoudingen verricht in Amsterdam. Het gaat om een 21-jarige man uit Heiloo en om een 23-jarige inwoner van Alblasserdam. Beiden werken in het callcenter van de GGD en hadden zodoende toegang tot de systemen. Van beide verdachten zijn de woningen doorzocht. Daarbij zijn ook computers in beslag genomen.

Beide mannen worden naar verwachting morgen al voorgeleid aan de rechter-commissaris. 

Jeroen Niessen van het cybercrimeteam van de politie Midden-Nederland verklaart tegenover RTL Nieuws: ‘Het stelen en verkopen of doorverkopen van persoonsgegevens is een ernstig misdrijf. Politie en Openbaar Ministerie zitten hier bovenop. De GGD heeft afgelopen vrijdag bij ons een melding gedaan van de datadiefstal. Wij zijn daarop direct een groot onderzoek gestart en hebben in deze zaak binnen 24 uur twee mensen aangehouden. Meer aanhoudingen worden zeker niet uitgesloten. Het onderzoek gaat verder, onder meer naar de omvang van de datadiefstal.’

Bron: Opgelicht AVRO/Tros