:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data66766552-c8113e.jpg)
Gebrekkige controle, een snel groeiende organisatie met veel losse dienstverbanden en het beheer over uiterst interessante data van half Nederland. Achteraf lijkt de datadiefstal van privacygevoelige data van mogelijk miljoenen Nederlanders vanuit twee computersystemen van de GGD’s een ramp die je kon zien aan komen.
RTL Nieuws onthulde maandag dat er op internet een levendige handel is in gegevens uit CoronIT – het systeem achter de afspraken voor de coronatesten en -vaccinaties – en HPZone, de software van de GGD’s voor het bron- en contactonderzoek. Voor bedragen tussen de 30 en 50 euro leverden cybercriminelen informatie over specifieke personen uit deze databases – zoals adressen, telefoonnummers en burgerservicenummers. Anderen boden volgens RTL Nieuws verzamelingen gegevens aan van vele tienduizenden Nederlanders. Twee callcentermedewerkers zijn opgepakt op verdenking van computervredebreuk.
Veel bezorgde telefoontjes
Woensdag meldde de Autoriteit Persoonsgegevens (AP) slecht bereikbaar te zijn omdat er „zeer veel telefoontjes van ongeruste mensen” binnenkwamen. Voorzitter Aleid Wolfsen: „Informatie zoals uit de GGD-systemen is heel geschikt voor bijvoorbeeld identiteitsfraude en phishing. De beveiliging moet daarom aan de hoogste eisen voldoen. Doe je dat onvoldoende, dan ben je nalatig en kun je aansprakelijk gesteld worden. Je riskeert niet alleen een boete van de AP, maar ook claims van slachtoffers.”
De Tweede Kamer wilde dinsdag van minister Hugo de Jonge (Volksgezondheid, CDA) weten hoe de beveiliging van deze cruciale systemen geregeld is. GGD-medewerkers hebben voor hun werkzaamheden toegang tot zulke gegevens nodig, antwoordde hij op vragen van onder meer SP-Kamerlid Maarten Hijink. De GGD eist daarom een Verklaring Omtrent Gedrag (VOG) van medewerkers, die ook een geheimhoudingsverklaring moeten ondertekenen. Ook achteraf wordt gecontroleerd, zei De Jonge.
Maar juist aan die controle schort het bij de GGD. Die zal pas vanaf eind maart „automatisch en continu” werken. Koepelorganisatie GGD GHOR zegt „vanwege het belang van de virusbestrijding en de gevraagde snelheid” op dit moment slechts „steekproefsgewijs” te controleren of medewerkers het systeem misbruiken.
:format(webp)/s3/static.nrc.nl/bvhw/files/2020/05/data58437911-c60204.jpg)
Thuis werken
Goede, geautomatiseerde controle van databestanden is cruciaal voor een organisatie die zo hard groeit als de GGD en daardoor werk moet uitbesteden aan flexwerkers, detacheringsbureaus en commerciële callcentra. Ongeveer 26.000 mensen hebben volgens RTL Nieuws toegang tot CoronIT, duizenden werken aan het bron- en contactonderzoek. Vanwege het vele thuiswerken, vaak op eigen apparatuur, en de gebrekkige controle achteraf, hebben kwaadwillenden voldoende gelegenheid data te vergaren.
Onderzoeker Rik van Duijn van IT-beveiligingsbedrijf Zolder ziet zulke datadiefstal vaker gepleegd worden. „Nu komen de gegevens van de GGD, maar deze handel vindt plaats in alle callcenters en bedrijven waar veel persoonsgegevens worden verwerkt. Er werken jonge mensen die weinig verdienen en die werken met systemen waar slecht gelogd wordt.” Vraag naar persoonsgegevens is er onder criminelen altijd, zegt hij. De data kunnen gebruikt worden voor gerichte oplichting of „de betere babbeltruc”. Criminelen geven zich dan bijvoorbeeld uit voor een bank en wekken vertrouwen dankzij de ontvreemde gegevens.
Toegang beperken
Toegang van medewerkers beperken tot de strikt noodzakelijke gegevens is raadzaam, zegt Van Duijn. „Dan hoef je minder te zoeken in de logbestanden.” Ook heeft niet iedere medewerker een ‘exportfunctie’ nodig, waarmee veel data in één keer geëxporteerd kunnen worden.
Volgens minister De Jonge hebben de medewerkers van de GGD „alleen toegang tot persoonsgegevens wanneer dit noodzakelijk is”. In de praktijk kunnen contactonderzoekers echter veel meer dan de strikt noodzakelijke gegevens bekijken, zegt een oud-werknemer die vanwege de geheimhoudingsverklaring anoniem wil blijven. De GGD’s geven de onderzoekers eenmalig toegang tot hun systemen. „Zodra je toegang hebt tot het systeem van een bepaalde GGD, kun je alle persoonsgegevens inzien", zegt hij. „Namen, adressen, BSN-nummers, eerdere gesprekken die met andere GGD-medewerkers zijn gevoerd.” De toegang wordt daarna niet meer ingetrokken.
Het advies van Van Duijn luidt: toegang beperken, beter loggen en de bestanden goed controleren. „Daarnaast moet het callcentrum actief online zoeken naar verhandelde data en die vergelijken met de eigen systemen. Zo kun je de criminelen opsporen.”
:format(webp)/s3/static.nrc.nl/bvhw/files/2020/12/data65111951-a59612.jpg)