Antwoord schriftelijke vragen : Antwoord op vragen van het lid Hijink over het bericht dat de datadiefstal bij de GGD veel groter is dan gemeld en dat gedupeerden niet zijn geïnformeerd
Vragen van het lid Hijink (SP) aan de Minister van Volksgezondheid, Welzijn en Sport over het bericht dat de datadiefstal bij de GGD veel groter is dan gemeld en dat gedupeerden niet zijn geïnformeerd (ingezonden 13 augustus 2021).
Antwoord van Minister De Jonge (Volksgezondheid, Welzijn en Sport) (ontvangen 13 september
2021).
Vraag 1
Wat is uw oordeel over het bericht dat de datadiefstal bij de GGD veel groter is dan
gemeld en dat gedupeerden niet zijn geïnformeerd?1
Antwoord 1
Ik heb kennisgenomen van het bericht en contact opgenomen met GGD GHOR Nederland.
Voor zover nu bekend gaat het om 1.250 gedupeerden. GGD GHOR Nederland heeft mij aangegeven
dat uit onderzoek tot op heden niet blijkt dat de datadiefstal groter is dan gemeld
noch dat er gedupeerden niet zouden zijn geïnformeerd.
Vraag 2
Wanneer werd bekend bij de GGD dat de gegevens van veel meer mensen zijn gestolen
dan eerder werd gemeld?
Antwoord 2
In juni kreeg GGD GHOR Nederland het signaal dat RTL mensen benaderde met de vraag
of zij geïnformeerd waren door GGD GHOR Nederland dat hun data deel uitmaakte van
de datadiefstal. GGD GHOR Nederland heeft daarop RTL benaderd met de vraag of RTL
beschikte over (nieuwe) databestanden gestolen uit de systemen van de GGD. GGD GHOR
Nederland heeft RTL twee keer gevraagd om eventuele bestanden met hen of de politie
te delen in het kader van het onderzoek en het informeren van getroffen burgers. RTL
heeft dit verzoek beide keren op journalistieke gronden naast zich neergelegd.
Of «de datadiefstal veel groter is dan gemeld» is op grond van het bericht van RTL
niet te zeggen. RTL geeft aan dat zij de bestanden eerder dit jaar hebben verkregen
en daarvan een tiental personen te hebben gebeld met de vraag of zij zijn geïnformeerd
door de GGD. Omdat RTL de bestanden niet wil delen (en stelt deze inmiddels verwijderd
te hebben) kan niet worden vastgesteld of dit gaat om de persoonsgegevens van mensen
die nog niet door de GGD geïnformeerd zijn.
Vraag 3
Hoe komt het dat de GGD onvoldoende in kaart heeft van welke mensen de gegevens zijn
gestolen?
Antwoord 3
GGD GHOR Nederland heeft destijds door externe partijen onderzoek laten doen naar
de datadiefstal binnen de systemen CoronIT en HPZone. Uit deze onderzoeken zijn geen
aanwijzingen gevonden om te stellen dat de datadiefstal groter is dan gemeld. De resultaten
van die onderzoeken zijn gedeeld met de politie.
De politie doet strafrechtelijk onderzoek naar de datadiefstal uit systemen van de
GGD onder gezag van het openbaar ministerie. Het onderzoek is lopend en tot nu toe
zijn zeven verdachten aangehouden. De politie heeft aan GGD GHOR Nederland de bestanden
die aangetroffen zijn bij verdachten doorgegeven. Op basis van die bestanden zijn
circa 1.250 mensen door GGD GHOR Nederland per brief geïnformeerd. Een organisatie
kan alleen mensen informeren waarvan zij weet dat zij gedupeerd zijn.
Zoals eerder aan uw Kamer gemeld heeft GGD GHOR Nederland direct nadat de datadiefstal
in januari bekend werd aanvullende maatregelen getroffen om datadiefstal te detecteren
en tegen te gaan.2
Vraag 4
Wanneer bent u op de hoogte gebracht van het feit dat de datadiefstal veel meer mensen
betrof dan zijn geïnformeerd? Waarom heeft u de Kamer hier niet van op de hoogte gesteld?
Antwoord 4
In eerdere brieven heb ik uw Kamer geïnformeerd over de potentiële slachtoffers van
de datadiefstal en de communicatie van GGD’en richting de vastgestelde slachtoffers.
GGD GHOR Nederland kan de vermeende gedupeerden in het meest recente bericht van RTL
niet verifiëren omdat RTL niet is ingegaan op het verzoek van GGD GHOR Nederland om
inzage te geven in de gegevens of het bestand te delen.
Vraag 5
Hoe kon het gebeuren dat slechts 1250 mensen zijn geïnformeerd dat hun data is gestolen,
terwijl het nu om «vele duizenden tot tienduizenden personen» blijkt te gaan?
Antwoord 5
Of «de datadiefstal veel groter is dan gemeld» is op grond van het bericht van RTL
niet te zeggen. De 1.250 personen waarvan kon worden vastgesteld dat de gegevens zijn
gestolen, zijn door GGD GHOR Nederland geïnformeerd. Een ieder die meer informatie
heeft roep ik op deze informatie te delen met de politie.
Vraag 6
Hoe gaat u ervoor zorgen dat alle mensen van wie de gegevens zijn gestolen hierover
zo snel mogelijk worden geïnformeerd?
Antwoord 6
Alle personen waarvan is vastgesteld dat de gegevens zijn gestolen, zijn door GGD
GHOR Nederland geïnformeerd.
Vraag 7
Kunt u een volledig overzicht geven van hoeveel mensen zijn getroffen door de datadiefstal
bij de GGD en hoeveel mensen hiervan op de hoogte zijn gesteld?
Antwoord 7
De politie doet strafrechtelijk onderzoek naar de datadiefstal en heeft aan GGD GHOR
Nederland de namen van gedupeerden doorgegeven die zijn aangetroffen bij de betreffende
verdachten. Het betreft circa 1.250 mensen en zij zijn allemaal door GGD GHOR Nederland
per brief geïnformeerd.
Vraag 8
Hoe staat het inmiddels met de informatieveiligheid bij de GGD, in het bijzonder binnen
CoronIT en HPZone Lite? Zijn alle stappen die in de Kamerbrief van januari hierover
zijn aangekondigd reeds doorlopen?
Antwoord 8
Voor het antwoord op deze vraag verwijs ik u naar mijn brieven aan uw Kamer van 2 februari
20213, 12 februari 20214, 23 februari 20215, 23 maart 20216, 13 april 20217, 11 mei 20218, 18 juni 20219, 6 juli 202110 en 13 augustus 202111.
Vraag 9
Wat is er gebleken uit de externe audit die is uitgevoerd? Zijn daaruit nog resterende
risico’s op het gebied van informatieveiligheid naar boven gekomen?
Antwoord 9
Voor het antwoord op deze vraag verwijs ik u naar mijn brieven aan uw Kamer van 11 mei
202112,
13 en 18 juni 202114.
Ondertekenaars
-
Eerste ondertekenaar
H.M. de Jonge, minister van Volksgezondheid, Welzijn en Sport
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.