GGD-datalek

Jouw privégegevens op straat door toedoen van de overheid?

Digitale veiligheid is een belangrijke taak van de overheid. Toch verkeren sinds het GGD-datalek miljoenen burgers in onzekerheid of hun persoonsgegevens op straat liggen. Nog steeds is de beveiliging niet op orde. Wij dagen het ministerie van VWS voor de rechter voor het niet naleven van de privacyregels.
Coronatest of -vaccinatie gehad? Dan zijn mogelijk je gegevens gestolen.
Steun onze actie voor een schadevergoeding.
Oefen met ons via een collectieve actie druk uit op de overheid om zorgvuldiger met onze gegevens om te gaan

Wat is er aan de hand?

Iedereen die bij de GGD een coronatest- of vaccinatieafspraak heeft gemaakt, of bij bron- en contactonderzoek betrokken is geweest, loopt een groot risico op identiteitsfraude, oplichting en bedreiging. Van BSN-nummers en adresgegevens tot testresultaten: duizenden callcentermedewerkers konden van iedereen gevoelige informatie inzien en in bulk downloaden.

Stichting ICAM start een collectieve actie tegen het Ministerie van Volksgezondheid, Welzijn en Sport (VWS). Zij is verantwoordelijk voor de IT-systemen van de GGD, en daarmee voor het grootste datalek uit de Nederlandse geschiedenis.

Over deze actie

Wat speelt er?
Zijn mijn gegevens gestolen?
Waarom wij dit doen
Middenin de eerste golf van de pandemie moest het ministerie van VWS ervoor zorgen dat het GGD-personeel flink werd opgeschaald om de testcapaciteit op peil te houden. Verouderde IT-systemen, waar normaal slechts een klein team GGD-artsen toegang toe had, werden toegankelijk gemaakt voor duizenden nieuwe callcenter medewerkers. Zij kregen vrij toegang tot de privégegevens van miljoenen burgers en konden deze met één klik downloaden. Op deze manier konden de callcenter medewerkers gemakkelijk gegevens met elkaar uitwisselen.

Dit bleek een inschattingsfout: er werd grootschalig misbruik gemaakt. Testuitslagen van vrienden en familie werden ingezien, telefoonnummers en adresgegevens van BN'ers zoals John van den Heuvel, Peter R. de Vries en Badr Hari worden vrijuit gedeeld via Whatsapp. De GGD en VWS namen herhaaldelijke waarschuwingen niet serieus, waardoor het aangetoonde misbruik ongehinderd doorgang kon vinden.

In januari 2021 maakte RTL Nieuws journalist Daniël Verlaan als eerste melding van het datalek. Hij legde via besloten Telegram chatgroepen de hand op een bestand met daarin de privégegevens van zeker 600 personen. Deze gegevens bleken afkomstig uit twee IT-systemen van de GGD voor het maken van testafspraken en voor bron- en contactonderzoek. Volgens de aanbieders konden de gegevens van nog eens tienduizenden personen worden geleverd, in ruil voor geld. Pas nadat dit misbruik in de publiciteit kwam, schakelde het ministerie de downloadknop alsnog direct uit voor de meeste medewerkers.
26.000 GGD-medewerkers hebben vrij toegang gehad tot de gevoelige gegevens van maar liefst 6,5 miljoen burgers. Een groot deel van deze medewerkers werden tijdelijk ingehuurd en via partnerorganisaties ingebracht, zoals callcenters, alarmcentrales en IT-leveranciers. Hun screening liet te wensen over. Zij konden bij gevoelige informatie komen, zoals woonadressen, telefoonnummers, burgerservicenummers, testresultaten en met wie iemand in de afgelopen dagen contact heeft gehad.

Tot nu toe heeft de GGD van 1.250 personen kunnen vaststellen dat hun gegevens in de gestolen datasets zaten. Deze personen hebben een excuusbrief ontvangen. Daarmee staat echter niet vast dat de gegevens van de overige 6,5 miljoen mensen niét gestolen en verkocht zijn. Een steekproef van RTL Nieuws onder tien willekeurige personen van wie data in de door RTL verkregen dataset werden aangetroffen, wees uit dat niemand van hen een brief ontvangen hadden. Dit maakt de werkelijke omvang van de datadiefstal groter dan bij het ministerie en de GGD bekend zijn.

Inmiddels zijn we bijna twee jaar verder, en heeft nog steeds niemand de precieze omvang van de datadiefstal kunnen achterhalen. Wel heeft de Autoriteit Persoonsgegevens in november 2021 laten weten dat het ministerie en de GGD persoonsgegevens de persoonsgegevens van burgers nog steeds onvoldoende beveiligen. Ook jouw gegevens kunnen hier dus tussen zitten.

Burgers moeten erop kunnen vertrouwen dat de overheid zorgvuldig omgaat met het opslaan, verwerken en beveiligen van gevoelige informatie, zoals BSN-nummers en medische gegevens. Waar individuen en bedrijven bij het schenden van privacyregels op forse maatregelen kunnen rekenen, lijken er voor overheidsorganisaties andere regels te gelden. Er lijken voor hen te weinig prikkels te zijn om gevoelige informatie van burgers correct te behandelen met de vertrouwelijkheid die daarvoor nodig is.

In het datalek bij de GGD is dit probleem scherp naar voren gekomen. Het ministerie van VWS, verantwoordelijk voor de IT-systemen van de GGD, leunt sterk op haastig doorgevoerde maatregelen, in plaats van een preventief beleid te voeren waarin privacy en dataveiligheid verankerd zijn. Nieuwe incidenten kunnen zich zo blijven voordoen. De schade wordt achteraf als een voldongen feit aan de burger gepresenteerd.

Stichting ICAM voert daarom een collectieve rechtszaak tegen het ministerie van VWS. We willen dat het ministerie:

  • helderheid geeft over de omvang van het datalek;
  • gestimuleerd wordt om voldoende aandacht te schenken aan privacy en dataveiligheid bij de uitrol van nieuwe IT-systemen;
  • gedupeerden een passende compensatie biedt.

Meer informatie over onze rechtszaak lees je in onze dagvaarding

Verhalen van benadeelden

Sinds de gegevens bij de GGD gelekt zijn krijg ik zeer regelmatig sms’jes en belletjes van onbekende nummers. Ook word ik op Facebook regelmatig door nepaccounts lastig gevallen.
Boris
9 February
Ik heb me best vaak voor Corona getest bij de GGD en ik heb aanzienlijk veel meer spam emails ontvangen, maar veel meer storend is dat ik nog steeds regelmatig gebeld ben door verschillende nummers die mij proberen op te lichten. Ik vermoed dat dat mee te maken heeft met de GGD datalek.
Adina
31 January
Nadat ik mij heb laten testen bij de testlocatie in (*) in december 2020, heb ik erg veel last van spam mail gekregen (soms tot circa 10 stuks per dag) waarin je natuurlijk gevraagd wordt om ergens op te klikken. Daarvoor nooit gehad, een enkele in jaren.
Olga
8 April

Tijdlijn van het datalek

Sleep om meer te zien

Zitting Rechtbank Amsterdam

Januari 2024
De rechtbank heeft bepaald dat de zaak mondeling zal worden behandeld op 22 april 2024 om 9.30 uur. Dat zal plaatsvinden in het Gerechtsgebouw aan de Parnassusweg te Amsterdam. Iedere belangstellende kan de zitting bijwonen. Het is wel nodig dat u zich daarvoor minstens twee weken van te voren schriftelijk aanmeldt bij zowel Stichting ICAM als bij de rechtbank zelf. De capaciteit van de zittingzaal is beperkt, dus het kan zijn dat men u geen toegang kan verlenen.

Zitting wordt gepland

December 2023
De rechtbank heeft laten weten dat ze in april of mei volgend jaar de zaak wil behandelen in een hoorzitting. Let op: zo’n mondelinge behandeling is openbaar en daar is iedereen welkom, dus als u erbij wilt zijn dan kan dat. Wij zullen zo spoedig mogelijk publiceren welke datum het exact geworden is.

Verweer van gedaagden ontvangen

Oktober 2023
In oktober ontvingen we de eerste verweren van VWS en de GGD-en. In deze fase van de procedure gaan die alleen nog over formele zaken, met name of Stichting ICAM goed gekwalificeerd is om een claim zoals deze in te mogen stellen. De verweren bevatten geen bijzondere zaken waar wij niet op voorbereid waren, dus wij verwachten daar geen complicaties van.

Dagvaarding opgeleverd

Maart 2023
Eind maart is de officiële dagvaarding van ruim 200 pagina's opgeleverd. Daarin vragen we niet alleen helderheid en schadevergoeding, maar ook openlegging van de dossiers van VWS en de 
GGD-en om te kijken wat er precies mis is gegaan. De rechtbank zal eerst beoordelen of de zaak ‘ontvankelijk is’ . Daarna krijgen VWS en de GGD-en de gelegenheid om een verweer in te dienen. 

Tweede rechtszaak om belangrijke informatie boven tafel te krijgen.

September 2022
We hebben een beroep gedaan op de Woo (de Wet Open Overheid) om meer informatie over het datalek boven tafel te krijgen. Veel belangrijke informatie  bleek echter zwartgelakt, vermoedelijk meer dan is toegestaan. Daarop hebben we besloten een tweede rechtszaak op te starten.

Gesprekken met VWS leveren niets op

April 2022
Na de aankondiging van onze collectieve actie hebben we een gespreksuitnodiging naar het ministerie van VWS gestuurd. Volgens VWS hebben de 6,5 miljoen Nederlanders van wie gegevens in de GGD-systemen zaten echter geen schade geleden door het datalek, omdat ‘alles op internet nou eenmaal risico’s met zich meebrengt’

Stichting ICAM stuurt sommatiebrief uit

Februari 2022
De minister moet binnen acht weken een oplossing bieden voor het datalek en toezeggen dat de gedupeerden worden gecompenseerd. Lees de brief hier.

Beveiligingsmaatregelen nog steeds onvoldoende

November 2021
Uit onderzoek van de Autoriteit Persoonsgegevens blijken er nog steeds aanzienlijke risico’s voor de bescherming van persoonsgegevens te bestaan. De verbeteringen die de GGD heeft doorgevoerd zijn niet voldoende.

Datalek blijkt veel groter

Augustus 2021
Veel meer burgers blijken slachtoffer te zijn van het datalek dan aanvankelijk is gemeld. Ook zijn niet alle slachtoffers van het datalek geïnformeerd door de GGD.

Een excuusbrief voor 1.250 mensen

Maart 2021
Pas in maart 2021 komt het ministerie in actie. Twee maanden na publicatie van het RTL Nieuws artikel wordt de downloadmogelijkheid voor het merendeel van de medewerkers uitgeschakeld. Medio maart stuurt de GGD een excuusbrief naar de 1.250 gedupeerden die bij hen en de politie bekend zijn.

GGD onder verscherpt toezicht

Januari 2021
De Autoriteit Persoonsgegevens stelt het ministerie van VWS en de GGD na bekendmaking van het lek onder verscherpt toezicht.

Privé-gegevens burgers liggen op straat

Januari 2021
Uit onderzoek van een RTL Nieuws journalist blijkt dat er op grote schaal gehandeld wordt in de privégegevens uit de IT-systemen van de GGD. Hij weet de hand te leggen op een dataset met zeker 600 personen. De aanbieders laten weten de gegevens van tienduizenden anderen te kunnen leveren in ruil voor geld.

Waarschuwingen in de wind geslagen

December 2020
Vertrokken medewerkers waarschuwen dat ze zelfs nog weken na hun laatste werkdag in de GGD-systemen kunnen. De Autoriteit persoonsgegevens kondigt aan aanvullende vragen te stellen, maar tot handhaving leidt dit niet.

Toegang tot niet-noodzakelijke gegevens

Juli 2020
Al in de zomer van 2020 wordt duidelijk dat GGD-medewerkers informatie van vrienden opzoeken en zelfs privégegevens van BN’ers zoals John van den Heuvel en Peter R. de Vries. Gegevens zoals adressen en telefoonnummers worden verspreid in besloten Whatsapp-groepen.

Duizenden nieuwe flexkrachten erbij

April 2020
De corona pandemie stelt het ministerie van VWS voor een grote opgave: de capaciteit moet snel worden opgeschaald: duizenden callcenter medewerkers, veelal via uitzendbureaus aangetrokken, krijgen vrije toegang tot de privégegevens van miljoenen burgers. Er worden geen extra beveiligingschecks in de IT-systemen ingebouwd. 

Wat gaan wij er aan doen?

STAP 1
Meld je aan voor een claim
Sluit je aan
STAP 2
Wij verifiëren je gegevens
STAP 3
Wij vorderen een schade-vergoeding voor jou
Meld je nu aan

Over stichting ICAM

Stichting ICAM is een onafhankelijke organisatie zonder winstoogmerk. Met onze collectieve acties bundelen wij de krachten van groepen personen die (massa)schade lijden door toedoen van grote organisaties. Individuele partijen beschikken vaak zelf niet over voldoende kennis en financiële middelen om een rechtszaak te starten tegen organisaties met veel meer juridische en financiële slagkracht. Wij vinden dat dit geen belemmering zou moeten vormen om je recht te halen.

Met de collectieve actie rondom het GGD-datalek zet Stichting ICAM zich ervoor in de Nederlandse overheid te dwingen zorgvuldiger om te gaan met de persoonsgegevens en privacy van burgers. Dit doen we samen met een team van privacyexperts, advocaten, (oud-)politici en een betrokken achterban.
Meer over ICAM
  • Raad van Bestuur

    Marnix Bos
    Voorzitter
    Tijs Breukink
    Penningmeester
    Astrid Oosenbrug
    Woordvoerder
  • Raad van Toezicht

    Quirine Eijkman
    Voorzitter
    Rob van den Hoven van Genderen
    Lid (juridisch)
    Jos Lunenberg
    Lid (financieel en zakelijke relaties)

Waar heb je recht op?

Voor iedereen die is opgenomen in de GGD-systemen en waarvan dus persoonsgegevens toegankelijk zijn geweest en mogelijk zijn gestoleneisen we €500 per persoon.

Voor iedereen waarvan (in de toekomst) blijkt dat hun persoonsgegevens daadwerkelijk zijn gestoleneisen we €1.500 per persoon.

Veelgestelde vragen

Uncategorized FAQ

  • Wie beschuldigen jullie precies?

    Stichting ICAM spreekt het ministerie van Volksgezondheid, Welzijn en Sport (VWS) aan. Gedurende de corona pandemie hebben de GGD'en hun uiterste best gedaan om alles in goede banen te leiden. Het ging echter mis bij het beveiligen van de IT-systemen waarin persoonsgegevens van 6,5 miljoen burgers zijn opgeslagen. Het ministerie van VWS had de leiding over de bestrijding van de corona pandemie en heeft opdracht gegeven tot de ingebruikname van de slecht beveiligde IT-systemen. Wij vinden dat het ministerie verantwoordelijkheid moet nemen en zich niet zou moeten verschuilen achter de GGD'en.

  • Wie kan er meedoen?

    Stichting ICAM zal een schadevergoeding vorderen voor iedereen die sinds februari 2020:

    • een corona testafspraak heeft gemaakt bij een GGD.
    • een corona vaccinatieafspraak heeft gemaakt bij een GGD.
    • contact heeft gehad met een GGD omdat zij in bron- en contactonderzoek als ‘nauw contact’ werden aangemerkt.


    Ben je meerderjarig en voldoe je aan één of meer van bovenstaande voorwaarden? Dan kun je jezelf hier opgeven als deelnemer.

  • Hoe komen jullie aan het schadebedrag?

    Wij vorderen €500 per persoon voor iedereen van wie zijn of haar gegevens in de IT-systemen van de GGD zitten. Voor iedereen van wie daadwerkelijk vast komt te staan dat zijn of haar gegevens  zijn gestolen, vorderen wij een hoger bedrag, namelijk €1.500. 

    Tot op heden is voor privacyschendingen in Nederland zo’n €250 tot €500 aan immateriële schade per persoon toegekend, in enkele gevallen zelfs meer. Voor het bepalen van de hoogte van het schadebedrag wordt meestal aangehaakt bij een uitspraak van de Raad van State van 1 april 2020. Stichting ICAM vindt dat er goede aanknopingspunten zijn om voor de gedupeerden van het GGD-datalek € 500 tot  € 1.500 te vorderen. Het gaat immers om een lek van zeer grote omvang, om gevoelige privégegevens (die vaak enkel de overheid tot haar beschikking heeft) en om langdurig verwijtbaar handelen door de overheid dat zelfs nu nog niet voldoende is opgelost. 

  • Kost het geld om mee te doen?

    Deelnemen aan deze actie kost jou niets.  Dit is een bewuste keuze geweest, in lijn met de missie van onze stichting dat kosten voor gedupeerden geen rol horen te spelen bij het halen van hun recht.

    ICAM heeft geen winstoogmerk. De procedure wordt gevoerd op basis van “no cure, no pay”. Alle kosten worden betaald door ICAM en je hoeft dus zelf niets te betalen. Alleen als er een schadevergoeding wordt toegekend, vraagt ICAM om een no cure, no pay-vergoeding om de gemaakte kosten en de risico’s te dekken. De no cure, no pay-vergoeding bedraagt 20% van de voor jou geïncasseerde schadevergoeding.  ICAM zal proberen om de no cure, no pay-vergoeding door de gedaagde partijen te laten betalen, zodat je ook die vergoeding niet hoeft te betalen.

  • Wat willen jullie bereiken?

    Met onze collectieve actie willen wij drie dingen bereiken:

    • Duidelijkheid over de omvang van de datadiefstal en op welke manier het ministerie van VWS en de GGD dat vaststellen.
    • Het vertrouwen in de digitale overheid herstellen. Daarvoor moeten privacy en databeveiliging structureel verankerd worden in beleid. Wij denken met deze rechtszaak de noodzakelijke prikkels te kunnen bieden, zodat toekomstige datalekken voorkomen worden.
    • Een schadevergoeding voor de gedupeerden van wie door toedoen van het ministerie persoonsgegevens in criminele handen zijn gekomen, of een groot risico hierop lopen.
  • Hoe zit het met die 500 euro die de GGD onlangs heeft aangeboden?

    Dat heeft de GGD inderdaad gedaan. Ze heeft dat echter aan een kleine groep gedupeerden aangeboden. Stichting ICAM vindt dat de GGD en het ministerie van VWS aan iedereen schadevergoeding moeten aanbieden, met name onze deelnemers maar eigenlijk aan de hele groep van 6,5 miljoen mensen van wie de gegevens betrokken zijn bij het datalek. Zie onze Updatemail van mei 2022, waar we hier nader op in gaan.

  • Ontvangen het bestuur en de raad van toezicht van Stichting ICAM een vergoeding voor hun werkzaamheden?

    Ja, de bestuursleden en de leden van de raad van toezicht ontvangen voor het complexe en verantwoordelijke werk dat ze voor Stichting ICAM verrichten een redelijke vergoeding. De vergoeding is vastgesteld conform de actuele wetgeving en de Claimcode inzake dit type massaschadeprocedures. De hoogte van de vergoeding is te vinden in het verantwoordingsdocument op de site van de stichting. De vergoeding wordt betaald door de procesfinancier, die alle kosten van de procedure draagt.

  • Kan ik mijn deelname beëindigen?

    Ja, dat kan op de voorwaarden zoals vermeld in de deelnemersovereenkomst. Klik hier om je af te melden.

  • Door wie en hoe wordt deze zaak gefinancierd?

    De rechtszaak wordt gefinancierd door Liesker Procesfinanciering, gevestigd in Breda. Hierdoor kunnen wij beloven dat deelnemers zelf geen eigen bijdrage hoeven te betalen. De procesfinancier schiet de kosten van de rechtszaak voor en zorgt dat deze gevoerd kan worden op basis van een "no cure no pay"-afspraak: hij krijgt alleen een vergoeding voor zijn kosten als de zaak slaagt.

    Deze vergoeding bedraagt 20% van de schadevergoeding die Stichting ICAM voor gedupeerden weet te innen, en is gemaximeerd op vijf keer de door de procesfinancier geïnvesteerde som. Deze vergoeding is bedoeld om de procesfinancier te compenseren voor het grote risico dat hij loopt. In de sectie Documenten is een Verantwoordingsdocument te vinden, waarin we de afspraken tussen Stichting ICAM en de procesfinancier nader toelichten.

Naar alle vragen
  • Actueel Een

    He share of first to worse. Weddings and any opinions suitable smallest nay. My he houses or months settle remove ladies appear. he houses or months settle remove ladies appear. ses or months settle remove ladies My he houses or months settle remove ladies appear. he houses or months settle remove ladies appear.ses or months settle remove ladies
    Meld je aan
  • Actueel Twee

    He share of first to worse. Weddings and any opinions suitable smallest nay. My he houses or months settle remove ladies appear. he houses or months settle remove ladies appear.ses or months settle remove ladies My he houses or months settle remove ladies appear. he houses or months settle remove ladies appear.ses or months settle remove ladies
    Meld je aan
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram