Wij willen met u aan tafel zitten en in een openhartig gesprek uitvinden welke uitdagingen en vragen er bij u spelen om zo, gezamelijk, tot een beste oplossing te komen. Oftewel, hoe kan de techniek u ondersteunen in plaats van dat u de techniek moet ondersteunen.

Twee medewerkers van de GGD zijn opgepakt voor handel in gegevens van mensen die zich op het coronavirus hebben laten testen, of betrokken waren bij bron- en contactonderzoek. Het gaat om een 23-jarige man uit Alblasserdam en een 21-jarige man uit Heiloo. Zij werkten voor een callcenter van de GGD.

Volgens RTL Nieuws, dat de fraude ontdekte, wordt er grootschalig gehandeld in de persoonsgegevens van tienduizenden Nederlanders, afkomstig uit twee coronadatabases van de GGD. RTL waarschuwde de GGD vrijdag, een dag later werden de mannen gearresteerd.

Naam, adres en BSN

De gestolen data bevatten onder meer naam, adres en burgerservicenummer (BSN) van de slachtoffers. Daarmee kunnen criminelen identiteitsfraude plegen: er kunnen aankopen mee worden gedaan en contracten mee worden ondertekend. De gegevens komen uit de database CoronIT, waarmee coronatesten worden geregistreerd, en HPzone Light, dat gebruikt wordt voor bron- en contactonderzoek.

Van hoeveel mensen de gegevens zijn gestolen of verkocht is niet bekend, maar RTL Nieuws meldt een verzameling te hebben ingezien van honderden Nederlanders. Volgens de aanbieder van de gegevens was dat slechts een “voorproefje” van de tienduizenden Nederlanders van wie hij de gegevens kon leveren. De data worden te koop aangeboden via chatdiensten als Telegram, Snapchat en Wickr.

Honderden euro’s per dag

Volgens RTL worden callcenter-medewerkers actief benaderd door criminelen, met het verzoek om data te stelen. Ze kunnen daarmee honderden euro’s per dag verdienen. De twee arrestanten worden morgen voorgeleid aan de rechter-commissaris, die bepaalt of ze vast blijven zitten. De politie sluit verdere arrestaties niet uit.

In een reactie zegt voorzitter André Rouvoet van koepelorganisatie GGD GHOR: “Deze criminele activiteit is een klap in het gezicht van 17 miljoen Nederlanders, die allemaal lijden onder de coronacrisis. Waarvan velen zich proberen te houden aan alle maatregelen in deze tijden. Dat er dan mensen zijn die over de rug van al deze mensen geld willen verdienen is ongehoord.” De organisatie geeft lopende het onderzoek verder geen toelichting, maar zegt wel de beveiliging te hebben verbeterd.

Minister De Jonge van Volksgezondheid zegt in een reactie dat iedereen erop moet kunnen vertrouwen dat zijn persoonsgegevens niet in verkeerde handen vallen. Hij is blij dat de journalist van RTL hiervan melding heeft gemaakt bij de GGD, en dat er inmiddels verdachten zijn gearresteerd. “De testbereidheid van mensen mag hier niet onder lijden.”

NOS Tech

De website Afspraakloket, waar verschillende gemeenten de afgelopen dagen voor waarschuwden, heeft de burgerservicenummers (bsn) van gebruikers van de site gelekt. De NOS heeft dat ontdekt. De beheerder van de website zegt in een reactie “dat dit natuurlijk nooit had mogen gebeuren”.

De site bood mensen de mogelijkheid om een afspraak te maken bij een gemeente en vroeg daar 20 euro voor. Bij de gemeente kan dat gratis. Onder meer Almere, Dordrecht en Oss waarschuwden voor de site.

Naast bsn-nummers waren persoonlijke gegevens zoals telefoonnummers, postcodes, e-mailadressen en verloopdata van identiteitsdocumenten relatief eenvoudig in te zien.

Burgerservicenummers

Het gaat om gegevens van 6000 gebruikers, waarvan er 4200 een e-mailadres hadden ingevuld en 2600 een burgerservicenummer. De site was pas een paar weken actief.

De site mag overigens helemaal geen burgerservicenummers verwerken. Dat zijn persoonsgegevens die extra zijn beschermd. “Bedrijven mogen dat alleen als ze daartoe wettelijk verplicht worden”, zegt ict-jurist Charlotte Meindersma. Dat is in dit geval niet zo.

Testpagina

Het datalek bevond zich op een testpagina van de site, die hacker Loran Kloeze doorstuurde naar de NOS. Op die pagina waren interne wachtwoorden te zien, waaronder die van de database. Inloggen op de database was vervolgens relatief eenvoudig.

“Dat had natuurlijk nooit mogen gebeuren”, zegt de beheerder van de website, student Wouter Blokhuis. Nadat de NOS hem op de hoogte had gesteld, heeft hij de site uit de lucht gehaald.

Overigens was hij al bezig om het bsn-nummer “uit te faseren”, stelt hij. “We kwamen er achter dat dat niet mag.” Hij is vooralsnog niet van plan het lek te melden bij de Autoriteit Persoonsgegevens.

Herinnering

Mensen om de tuin leiden was nooit de bedoeling, stelt hij. “Mensen konden bij ons een herinnering krijgen als hun document bijna was verlopen”, zegt Blokhuis. “En als service konden wij dan een betaling voor ze doen.” Mensen bleken de site echter anders te gebruiken, stelt hij, door simpelweg alleen een afspraak te maken.

NOS Tech

Created by R the Company. Powered by SiteMuze.