DAGVAARDING
Vurich.373840
DAGVAARDING
Heden, de achtentwintigste maart tweeduizenddrieëntwintig; heb ik,
Ten verzoeke van:
De STICHTING INITIATIEVEN COLLECTIEVE ACTIES MASSASCHADE (ICAM), statutair gevestigd te
Amsterdam en kantoorhoudende aan het adres Xxxxxxxxxxx 00, 0000 XX xx Xxxxxxx te dezer zake domicilie kiezende aan het adres Xxxx Xxxxxxxxxxx 121, 1018 BZ te Amsterdam ten kantore van SOLV Advocaten, van wie mr. D.M. Xxxxxxx, xx. X. xxx xxx Xxxxxx en mr. A.L.M. Xxxxxxx in deze zaak als advocaten namens eiseres zullen optreden en als zodanig worden gesteld, hierna te noemen “Stichting ICAM”,
GEDAGVAARD:
1) De STAAT DER NEDERLANDEN, in het bijzonder het Ministerie van Volksgezondheid, Welzijn en
Sport, zetelende te ’s-Gravenhage, die woonplaats heeft gekozen ten kantore van mr.
en mr. , advocaten verbonden aan Pels Rijcken, kantoorhoudende aan het adres Xxxxxxxxxxxxxxxxx 00, 0000 XX te ’s-Gravenhage, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
2) De vereniging met volledige rechtsbevoegdheid PUBLIEKE GEZONDHEID EN VEILIGHEID NEDERLAND, statutair gevestigd te Utrecht en kantoorhoudende aan het adres Zwarte Woud 2, 3524 SJ te Utrecht, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
3) De stichting STICHTING PROJECTENBUREAU PUBLIEKE GEZONDHEID EN VEILIGHEID NEDERLAND, statutair gevestigd te Utrecht en kantoorhoudende aan het adres Zwarte Woud 2, 3524 SJ te Utrecht, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
4) De stichting STICHTING VERENIGINGSBUREAU PUBLIEKE GEZONDHEID EN VEILIGHEID NEDERLAND, statutair gevestigd te Utrecht en kantoorhoudende aan het adres Zwarte Woud 2, 3524 SJ te Utrecht, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
5) De stichting STICHTING LANDELIJKE COÖRDINATIE COVID-19 BESTRIJDING, statutair gevestigd te gemeente Utrecht en kantoorhoudende aan het adres Zwarte Woud 2, 3524 SJ te Utrecht, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
6) De GEMEENTELIJKE GEZONDHEIDSDIENST (GGD) AMSTERDAM-AMSTELLAND, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Amsterdam, en kantoorhoudende aan het adres Xxxxxx Xxxxxxxxxxxx 000, 0000 XX xx Xxxxxxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
7) De GGD BRABANT-ZUIDOOST, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Eindhoven, en kantoorhoudende aan het adres Xxxxxxxxxx 00, 0000 XX xx Xxxxxxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
8) De DIENST GEZONDHEID & JEUGD ZUID-HOLLAND ZUID, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Dordrecht, en kantoorhoudende aan het adres Xxxxx Xxxxxxxx 40, 3318 AL te Dordrecht, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
9) De GGD DRENTHE, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Assen, en kantoorhoudende aan het adres Mien Ruysweg 1, 9408 KA te Assen, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
10) De GGD FLEVOLAND, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Lelystad, en kantoorhoudende aan het adres Xxxxxxxxxxxxxxxxxx 0, 0000 XX xx Xxxxxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
11) De VEILIGHEIDSREGIO FRYSLÂN, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Leeuwarden, en kantoorhoudende aan het adres Xxxxxxxxxxxxxxxx 00, 0000 XX xx Xxxxxxxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
12) De VEILIGHEIDS- EN GEZONDHEIDSREGIO GELDERLAND-MIDDEN (VGGM), een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Arnhem, en kantoorhoudende aan het adres Xxxxxxxxxxxxxxxxxxxx 00, 0000 XX xx Xxxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
13) De GGD GELDERLAND-ZUID, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Nijmegen, en kantoorhoudende aan het adres Xxxxxxxxxxxxxxx 000, 0000 XX xx Xxxxxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
14) De GGD GOOI & VECHTSTREEK, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Bussum, en kantoorhoudende aan het adres Xxxxxxxxxxxx xx Xxxxxxxxxxxx 00, 0000 XX xx Xxxxxx, gemeente Gooise Meren, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
15) De GGD GRONINGEN, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Groningen, en kantoorhoudende aan het adres Xxxxxxxxxx 000, 0000 XX xx Xxxxxxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
16) De GEMEENSCHAPPELIJKE REGELING GEMEENTELIJKE GEZONDHEIDSDIENST EN VEILIG THUIS HAAGLANDEN, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te 's-Gravenhage, en kantoorhoudende aan het adres Xxxxxxxxx 000, 0000 XX xx 'x-Xxxxxxxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
17) De GGD HART VOOR BRABANT, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te 's-Hertogenbosch, en kantoorhoudende aan het adres Pettelaarpark 10, 5216 PD te 's-Hertogenbosch, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
18) De REGIONALE DIENST OPENBARE GEZONDHEIDSZORG HOLLANDS MIDDEN, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Leiden, en kantoorhoudende aan het adres Xxxxxxxxxxxxx 00, 0000 XX xx Xxxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
19) De GEMEENTELIJKE GEZONDHEIDSDIENST HOLLANDS NOORDEN, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Alkmaar, en kantoorhoudende aan het adres Xxxxxx Xxxxxxxxxxxx 00, 0000 XX xx Xxxxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
20) De GGD IJSSELLAND, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Zwolle, en kantoorhoudende aan het adres Zeven Alleetjes 1, 8011 CV te Zwolle, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
21) De VEILIGHEIDSREGIO KENNEMERLAND, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Haarlem, en kantoorhoudende aan het adres Xxxxxxx 000, 0000 XX xx Xxxxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
22) De VEILIGHEIDSREGIO LIMBURG-NOORD, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Venlo, en kantoorhoudende aan het adres Xxxxxxxxxxxx 00, 0000 XX xx Xxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
23) De GGD NOORD- EN OOST-GELDERLAND, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Warnsveld, en kantoorhoudende aan het adres Xxxxxxxxxxxxxx 00, 0000 XX xx Xxxxxxxxx, gemeente Zutphen, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
24) De GGD REGIO UTRECHT, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Zeist, en kantoorhoudende aan het adres Xx Xxxxx 0, 0000 XX xx Xxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
25) De GGD ROTTERDAM-RIJNMOND, ingeschreven in het handelsregister onder vestigingsnummer 000022962077, kantoorhoudende aan het adres Xxxxxxxxxxxxxx 00, 0000 XX xx Xxxxxxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
26) SAMENTWENTE, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Enschede, en kantoorhoudende aan het adres Xxxxxxxxxxxxxxxx 00, 0000 XX te Enschede, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
27) De GGD WEST-BRABANT, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Breda, en kantoorhoudende aan het adres Xxxxxxxxxxxx 000, 0000 XX xx Xxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
28) De GGD ZAANSTREEK-WATERLAND, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Zaandam, en kantoorhoudende aan het adres Vurehout 2, 1507 EC te Zaandam, gemeente Zaanstad, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
29) De GEMEENSCHAPPELIJKE GEZONDHEIDSDIENST ZEELAND, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Goes, en kantoorhoudende aan het adres Westwal 37, 4461 CM te Goes, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
30) De GENEESKUNDIGE GEZONDHEIDSDIENST ZUID-LIMBURG, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Heerlen, en kantoorhoudende aan het adres Het Overloon 2, 6411 TE te Heerlen, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
31) De VEILIGHEIDSREGIO AMSTERDAM-AMSTELLAND, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Amsterdam, en kantoorhoudende aan het adres Xxxxxxxx 00, 0000 XX xx Xxxxxxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
32) De VEILIGHEIDSREGIO ROTTERDAM-RIJNMOND, een publiekrechtelijke rechtspersoon (openbaar lichaam op basis van gemeenschappelijke regeling), zetelend te Rotterdam, en kantoorhoudende aan het adres Xxxxxxxxxxxxxx 000, 0000 XX xx Xxxxxxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
33) De GEMEENTE AMSTERDAM, een publiekrechtelijke rechtspersoon, gemeente, zetelende te Amsterdam en kantoorhoudende aan het adres Xxxxxx 0, 0000 XX xx Xxxxxxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
34) De GEMEENTE ROTTERDAM, een publiekrechtelijke rechtspersoon, gemeente, zetelende te Rotterdam en kantoorhoudende aan het adres Xxxxxxxxxx 00, 0000 XX xx Xxxxxxxxx, aldaar mijn exploot doende en afschrift dezes, exclusief producties, latende aan:
OM:
Op woensdag 5 juli 2023 (de “roldatum”), des ochtends om 10.00 uur, niet in persoon maar vertegenwoordigd door een advocaat, te verschijnen ter openbare civiele terechtzitting van de rechtbank Amsterdam, team Civiel recht, afdeling handelszaken, alsdan te houden in één van de lokalen van het gerechtsgebouw aan het adres Xxxxxxxxxxxx 000, 0000 XX xx Xxxxxxxxx,
MET AANZEGGING DAT:
a) indien een gedaagde verzuimt advocaat te stellen of het hierna te noemen griffierecht niet tijdig betaalt, en de voorgeschreven termijnen en formaliteiten in acht zijn genomen, de rechtbank tegen deze gedaagde verstek zal verlenen en de hierna omschreven vordering zal toewijzen, tenzij deze haar onrechtmatig of ongegrond voorkomt;
b) indien ten minste één van de gedaagden in het geding verschijnt en het griffierecht tijdig heeft voldaan, tussen alle partijen één vonnis wordt gewezen, dat als een vonnis op tegenspraak wordt beschouwd;
c) bij verschijning in het geding van ieder der gedaagden een griffierecht zal worden geheven, te voldoen binnen vier weken te rekenen vanaf het tijdstip van verschijning;
e) van een persoon die onvermogend is, een bij of krachtens de wet vastgesteld griffierecht voor onvermogenden wordt geheven, indien hij op het tijdstip waarop het griffierecht wordt geheven heeft overgelegd:
i) een afschrift van het besluit tot toevoeging, bedoeld in artikel 29 van de Wet op de rechtsbijstand, of indien dit niet mogelijk is ten gevolge van omstandigheden die redelijkerwijs niet aan hem zijn toe te rekenen, een afschrift van de aanvraag, bedoeld in artikel 24, tweede lid, van de Wet op de rechtsbijstand; dan wel
ii) een verklaring van het bestuur van de raad voor rechtsbijstand, bedoeld in artikel 7, derde lid, onderdeel e, van de Wet op de rechtsbijstand waaruit blijkt dat zijn inkomen niet meer bedraagt dan de inkomens bedoeld in de algemene maatregel van bestuur krachtens artikel 35, tweede lid, van die wet;
f) van gedaagden die bij dezelfde advocaat verschijnen en gelijkluidende conclusies nemen of gelijkluidend verweer voeren, op basis van artikel 15 van de Wet griffierechten burgerlijke zaken slechts eenmaal een gezamenlijk griffierecht wordt geheven;
g) eiseres op straffe van niet-ontvankelijkheid verplicht is deze dagvaarding aan te tekenen in het centraal register voor collectieve acties als bedoeld in artikel 3:305a lid 7 BW;
h) deze aantekening tot gevolg heeft dat - tenzij de rechtbank eiseres aanstonds niet ontvankelijk verklaart - de rechtbank de zaak aanhoudt totdat een termijn van drie maanden na de aantekening in het centraal register is verstreken;
i) na het verstrijken van deze termijn de behandeling van de zaak wordt voortgezet in de stand waarin zij zich bevindt, tenzij ingevolge artikel 1018d lid 2 Rv deze termijn is verlengd of een andere collectieve vordering voor dezelfde gebeurtenis is ingesteld;
j) de in artikel 128 lid 2 Rv bedoelde roldatum voor het nemen van de conclusie van antwoord door de rechtbank zal worden bepaald op een termijn van zes weken nadat de in artikel 1018c lid 3 Rv bedoelde termijn is verstreken;
k) de producties behorende bij deze dagvaarding op de eerstdienende dag in het geding zullen worden gebracht,
TENEINDE:
Te antwoorden op de volgende vorderingen van eiseres:
INHOUDSOPGAVE
DEFINITIES EN AFKORTINGEN (TEVENS PRODUCTIE A.1) 4
1.2 Belang en doel van deze zaak 10
1.2.1 Helderheid over (de omvang en gevolgen van) het GGD-datalek 10
1.2.2 Beëindiging van de inbreuk 11
1.2.3 Betere beveiliging van IT-systemen en persoonsgegevens door de overheid 11
1.2.4 Vergoeding van de schade van de Gedupeerden 13
1.4 Overleg met gedaagden is niet geslaagd 15
1.5 Woo-stukken en Woo-procedures 15
1.6 Incidentele vorderingen 17
1.8 Definities en afkortingen 17
3.1 Chronologisch overzicht 22
3.1.1 Eerste aanwijzingen van het GGD-datalek 22
3.1.2 Risicoanalyses van de getroffen systemen 23
3.1.3 Berichtgeving door RTL Nieuws en NOS 24
3.1.4 De eerste reactie van GGD GHOR 26
3.1.5 GGD’en onder verscherpt toezicht van de AP 26
3.1.8 Onderzoek door GGD GHOR en de politie 31
3.1.9 Onderzoek Autoriteit Persoonsgegevens 31
3.1.10 Datalek groter dan toegegeven 32
3.1.11 Brief van een anonieme ambtenaar 35
3.2 Getroffen softwaresystemen 36
3.3 Persoonsgegevens in de getroffen systemen 39
3.6 Conclusie: xxxxxxxxxxxxxxxxxxxx 00
0 XXXXXXXXXXX VAN HET RECHT 46
4.1 Schending van fundamentele rechten 47
4.2.1 Verwerkingsverantwoordelijken 48
4.2.2 Bewijslast m.b.t. AVG-overtredingen 55
4.2.3 Inbreuk in verband met persoonsgegevens / strijd met artikel 34 AVG 56
4.2.4 Schending van de beveiligingsplicht (artikel 5 lid 1 sub f AVG en artikel 32 AVG) 61
4.2.5 Schending van het beginsel van dataminimalisatie (artikel 5 lid 1 sub c AVG) 90
4.2.6 Schending van het beginsel van gegevensbescherming door ontwerp en door standaardinstellingen (artikel 25 AVG) 91
4.2.7 Schending van de verantwoordingsplicht (artikel 5 lid 2 AVG en artikel 24 AVG) 98
4.2.8 Schending van de verplichting tot het uitvoeren van DPIA’s 100
4.3 Overige schendingen 101
4.3.1 GGD’en schenden artikel 7:457 BW (WGBO) 101
4.3.2 GGD’en handelen in strijd met de Wabvpz 103
5 SCHADE 104
5.1 Ter inleiding: ruim baan voor privaatrechtelijke handhaving van de AVG 105
5.2 Toetsingskader immateriële schadevergoedingsvorderingen 108
5.2.1 Primair: vergoeding van immateriële schade onder artikel 82 AVG 108
5.2.2 Subsidiair: persoonlijke aantasting moet worden aangenomen wegens ernst van de overtreding 117
5.2.3 Tussenconclusie: xxxxx xxx xx xxxxxxxxx, de aannemelijkheid van gevoelens van stress, onrust en onbehagen en relevante factoren 124
5.3 Immateriële schade geleden door Gedupeerden 124
5.3.1 Immateriële schade door verlies van controle 125
5.3.2 Berekening van de omvang van immateriële schade 135
5.4 Materiële schade geleden door de Gedupeerden 143
5.5 Bewijsaanbod schade 145
6 AANSPRAKELIJKHEID 145
6.1 Aansprakelijkheid op grond van de AVG 145
6.2 Aansprakelijkheid op grond van onrechtmatige daad 147
6.3 Risicoaansprakelijkheid voor ondergeschikten 154
6.4 Hoofdelijke aansprakelijkheid 156
7 VERWEREN EN WEERLEGGING 156
7.1 IDEËLE DOELSTELLING STICHTING ICAM 157
7.2 Gekozen middel 158
7.3 Concrete onderbouwing van de schade 159
7.4 Causaal verband 159
8 BEWIJSLAST EN BEWIJS 159
9 ARTIKEL 3:305A EN DE WAMCA: ONTVANKELIJKHEID EN VEREISTEN 162
9.1 Stichting ICAM is ontvankelijk onder artikel 3:305a BW 162
9.1.1 Gelijksoortige belangen die zich voor bundeling lenen | 163 |
9.1.2 Statuten en feitelijke werkzaamheden van Stichting ICAM | 168 |
9.1.3 Waarborgvereiste | 171 |
9.1.4 Aanvullende ontvankelijkheidseisen | 186 |
9.2 Artikel 80 AVG | 188 |
9.3 Collectieve schadevergoedingsvordering onafhankelijk van opdracht op grond van artikel 7 | en |
8 Handvest, artikel 8 EVRM en onrechtmatige daad 198
9.4 Vereisten ex artikel 1018c lid 1 en lid 5 Rv 199
10 TOELICHTING OP DE INCIDENTELE VERZOEKEN EN VORDERINGEN 203
10.1 Bevel ex artikel 22 Rv (verzoek A) 203
10.2 Inzagevordering ex artikel 843a Rv (vordering B) 204
10.3 Deskundigenonderzoek naar (de omvang en gevolgen van) het datalek (vordering C) 207
10.4 Melding aan de Gedupeerden (vordering D) 208
10.5 Beschikbaar houden van informatie en gegevens (vordering E) 208
10.6 Veroordeling in de kosten van het incident (vordering F) 209
10.7 Dwangsommen (vordering G) 209
11 TOELICHTING OP DE VORDERINGEN IN DE HOOFDZAAK 209
11.1 STICHTING ICAM ALS EXCLUSIEVE BELANGENBEHARTIGER (VORDERING H) 209
11.2 DE VERTEGENWOORDIGDE GROEP PERSONEN (VORDERING I) 210
11.3 OPT-OUT / OPT-IN (VORDERING J) 210
11.4 VERKLARINGEN VOOR RECHT (VORDERING K) 211
11.5 Beëindigen van de inbreuk en verbeteren van beveiligingsmaatregelen (vordering L) 211
11.6 SCHADEVERGOEDING (VORDERINGEN M EN N) 211
11.7 KOSTENVERGOEDINGEN (VORDERING O) 211
11.8 SCHADEAFWIKKELING (VORDERING P) 212
11.9 DWANGSOMMEN (VORDERINGEN Q) 212
12 PETITUM 212
INVENTARISLIJST PRODUCTIES BIJ DAGVAARDING (28 MAART 2023) 222
DEFINITIES EN AFKORTINGEN (TEVENS PRODUCTIE A.1)
AP | Autoriteit Persoonsgegevens. |
AVG | Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming). |
BCO | Bron- en contactonderzoek in verband met corona. |
Begz | Besluit elektronische gegevensverwerking door zorgaanbieders. |
Betrokkenen | Betrokkenen zoals gedefinieerd in artikel 4 sub 1) AVG. |
BSN | Burgerservicenummer. |
Claimcode 2019 | X. Xxxx en X. xxx Xxxxxx, Xxxxxxxxx 0000, Xxx Xxxx: Boom Juridisch 2019. |
CoronIT | Softwaresysteem voor het plannen van test- en vaccinatieafspraken in verband met corona. |
Deelnemers | Bij Stichting ICAM door middel van de Deelnemersovereenkomst aangesloten Gedupeerden. |
Deelnemersovereen- komst | De overeenkomst die een Deelnemer met Stichting ICAM sluit wanneer deze zich voor de collectieve actie over het GGD-datalek aanmeldt via de Website (producties B.11 en B.12). |
DPG | Een directeur publieke gezondheid van een GGD zoals benoemd krachtens artikel 14 Wpg. |
DPIA | Een gegevensbeschermingseffectbeoordeling zoals omschreven in artikel 35 AVG. |
EDPB | De European Data Protection Board ingesteld krachtens artikel 68 AVG, bestaande uit de voorzitters van de toezichthoudende autoriteiten van iedere lidstaat en de Europese Toezichthouder voor gegevensbescherming. |
EVRM | Europees Verdrag voor de Rechten van de Mens. |
Exclusieve Belangenbehartiger | De exclusieve belangenbehartiger zoals bedoeld in artikel 1018e lid 1 Rv. |
Financier | Liesker Procesfinanciering B.V. te Breda. |
Financieringsovereen- komst | De overeenkomst procesfinanciering tussen Stichting ICAM en de Financier d.d. 12 juli 2021. |
Gedupeerden | De Gedupeerden Categorie A en de Gedupeerden Categorie B. |
Gedupeerden Categorie A | Alle natuurlijke personen van wie persoonsgegevens zijn verwerkt in één van of beide GGD-systemen in de periode tussen ingebruikname daarvan in verband met de bestrijding van corona en 1 februari 2021, bijvoorbeeld omdat zij een afspraak hebben gemaakt bij een GGD om te testen of vaccineren in verband met corona of omdat zij onderdeel zijn geweest van bron- en contactonderzoek in verband met corona, met uitzondering van de personen die deel uitmaken van Gedupeerden Categorie B. |
Gedupeerden Categorie B | Alle natuurlijke personen van wie persoonsgegevens zijn verwerkt in één van of beide GGD-systemen in de periode tussen ingebruikname daarvan in verband met de bestrijding van corona en 1 februari 2021, bijvoorbeeld omdat zij een afspraak hebben gemaakt bij een GGD om te testen of vaccineren in verband met corona of omdat zij onderdeel zijn geweest van bron- en contactonderzoek in verband met corona, en waarvan vaststaat of zal worden vastgesteld dat hun persoonsgegevens als gevolg van het GGD-datalek door ongeautoriseerde personen zijn ingezien of bij ongeautoriseerde personen in handen zijn gekomen, zoals door het ongeoorloofd inzien, downloaden, exporteren, printen, kopiëren, fotograferen en/of, aanbieden, verhandelen, ontvangen of op andere wijze delen van de persoonsgegevens. |
Gemeenten | Gedaagden 33 en 34. |
GGD’en | Gedaagden 6 t/m 30. |
GGD GHOR | Gedaagden 2 t/m 5. |
GGD-systemen | CoronIT en HPZone Lite. |
HPZone Lite | Softwaresysteem dat door de GGD’en werd en/of wordt gebruikt voor het uitvoeren van bron- en contactonderzoek in verband met corona. |
minister | De minister van Volksgezondheid, Welzijn en Sport. |
ministerie | Het ministerie van Volksgezondheid, Welzijn en Sport. |
Raad van Bestuur | De Raad van Bestuur van Stichting ICAM. |
Raad van Toezicht | De Raad van Toezicht van Stichting ICAM. |
Staat c.s. | Gedaagden 1 t/m 34. |
Statuten | De statuten van Stichting ICAM d.d. 25 november 2021 (productie B.1). |
UAVG | Uitvoeringswet Algemene verordening gegevensbescherming. |
Veiligheidsregio’s | Gedaagden 31 en 32. |
Verantwoordings- document | Het verantwoordingsdocument van Stichting ICAM, waarin zij uiteenzet op welke wijze zij voldoet aan de vereisten van artikel 3:305a BW en invulling geeft aan de Claimcode 2019 (productie B.8). |
VOG | Verklaring Omtrent het Gedrag. |
Wabvpz | Wet aanvullende bepalingen in de zorg. |
WAMCA | Wet afwikkeling massaschade in collectieve actie. |
Website | De website van Stichting ICAM met informatie over deze collectieve actie, te vinden via xxx.xxxxxxx-xxx.xx (productie B.3). |
Wgbo | Wet Geneeskundige Behandelingsovereenkomst. |
Woo-stukken | De door de GGD’en openbaargemaakte stukken zoals door Stichting ICAM overgelegd in productiecategorie G. |
Wpg | Wet publieke gezondheid. |
1 INLEIDING
1.1 Kern van deze zaak
1. Stichting ICAM behartigt de belangen van ruim 6,5 miljoen mensen van wie zeer privacygevoelige informatie blootgesteld is geweest aan diefstal. Het betreft persoonsgegevens uit de IT-systemen van de GGD’en, verzameld en gebruikt in verband met de bestrijding van corona. Stichting ICAM wordt actief gesteund door 133.691 Deelnemers. Zij willen meer zorgvuldigheid van de Nederlandse overheid bij de omgang met gevoelige informatie van burgers, opheldering over de exacte omvang en impact van het GGD-datalek en compensatie voor de schade die het datalek heeft veroorzaakt voor alle getroffenen.
2. Deze WAMCA-zaak betreft het grootste en ernstigste datalek in de Nederlandse geschiedenis, veroorzaakt door laakbaar handelen en nalaten door de Nederlandse overheid.
3. In januari 2021 werd bekend dat de IT-systemen die de GGD’en gebruiken in verband met corona, ernstige beveiligingsgebreken bevatten. Persoonsgegevens van zeker 6,5 miljoen mensen waren gedurende ten minste elf maanden onnodig en vermijdbaar toegankelijk voor ongeveer 35.000 in allerijl ingeschakelde tijdelijke GGD-medewerkers, waaronder veel nieuwe en extern ingehuurde krachten. De betreffende medewerkers kregen na een gebrekkige screening toegang tot veel meer gegevens dan nodig was voor hun werkzaamheden, waaronder naam en adresgegevens, telefoonnummers, e-mailadressen, BSN-nummers en gegevens over besmettingen en vaccinatiestatus, achterliggende medische klachten, werksituatie en nauwe contactpersonen.1
4. De activiteiten van de GGD-medewerkers in de systemen werden niet afdoende gelogd en gemonitord. Zij konden daardoor ongemerkt omvangrijke databestanden met gevoelige persoonsgegevens van 6,5 miljoen Nederlanders inzien, kopiëren en downloaden.2
5. Dat dit datalek heeft plaatsgevonden, staat tussen partijen niet ter discussie.3 Door de slechte beveiliging - in strijd met onder meer de AVG - zijn persoonsgegevens van een grote groep mensen op onrechtmatige wijze langdurig blootgesteld geweest aan diefstal. Hierdoor hebben de Gedupeerden de controle over hun persoonsgegevens verloren. Ze weten dat hun persoonsgegevens voor een zeer grote groep ongeautoriseerde personen toegankelijk zijn geweest; ze weten niet of ze daadwerkelijk gestolen zijn en verder misbruikt zijn of nog gaan worden. Internetcriminelen gebruiken persoonsgegevens voor identiteitsfraude, oplichting, phishing en intimidatie. Wanneer gegevens in handen komen van verkeerde partijen, brengt dat bovendien risico’s met zich mee van stigmatisering, uitsluiting en discriminatie. Te denken valt
1 Paragrafen 3.1, 3.3, 4.2.4.2 en 4.2.4.3.
2 Paragrafen 3.1.10, 3.4 en 4.2.4.4.
aan de situatie dat gegevens over onderliggende gezondheidsproblematiek – zoals een Hiv- besmetting – terechtkomen bij (potentiële) werkgevers, verzekeraars of buitenlandse regimes.
6. Ook staat niet ter discussie dat daadwerkelijk persoonsgegevens ontvreemd zijn en in het criminele circuit zijn beland: dat is het geval.4 Daarvoor zouden ook vier personen zijn veroordeeld (productie F.15). Voor zover tot nu toe door Xxxxxxxxx is erkend en meegedeeld, zou dat (slechts) een groep van circa 1.250 personen betreffen. Er zijn echter sterke aanwijzingen dat deze informatie onvolledig is en dat die groep personen beduidend groter is. De belangrijkste aanwijzing zijn de bevindingen van RTL Nieuws. RTL Nieuws heeft contact gehad met internetcriminelen, waarbij haar bestanden met gegevens zijn aangeboden van veel meer dan
1.250 personen (productie C.17):
“De datadiefstal bij de GGD treft veel meer mensen dan het aantal gedupeerden dat de organisatie publiekelijk meldt. […] het daadwerkelijk aantal gedupeerden is echter veel groter, en de GGD heeft na maanden nog geen goed beeld van hoe groot de datadiefstal nu echt is, blijkt uit onderzoek van RTL Nieuws. […] RTL Nieuws heeft willekeurig verschillende mensen opgebeld van wie hun gegevens door criminelen te koop zijn aangeboden. Deze gegevens zijn afkomstig uit twee coronasystemen van de GGD: CoronIT, dat wordt gebruikt voor testen en vaccinaties, en HPZone Lite, het systeem dat wordt gebruikt voor het bron- en contactonderzoek. De personen zijn allemaal niet door de GGD geïnformeerd over dat hun gegevens uit de systemen van de GGD zijn gestolen en mogelijk verhandeld. […] De databestanden, met in totaal de privégegevens van zo’n 600 personen, waren volgens de aanbieders een voorproefje van de vele duizenden tot tienduizenden personen die konden worden geleverd.”
7. De impact van het datalek moet niet onderschat worden. Het betreft (i) veel Gedupeerden, (ii) bijzondere, gevoelige en veel persoonsgegevens, (iii) een schending van de wet door de overheid, die Gedupeerden bij uitstek zouden moeten kunnen vertrouwen en (iv) databases waarvan Gedupeerden de facto geen keuze hebben of ze erin willen staan of niet: het verstrekken van bijzondere persoonsgegevens aan de Gedaagden is onvermijdelijk, in ieder geval indien iemand getest of gevaccineerd wil worden.
8. Vanwege al deze factoren is het voor de Gedupeerden en voor de maatschappij in het algemeen van belang dat duidelijkheid wordt gegeven over wat er gebeurd is. Onder meer daartoe dient deze procedure. Stichting ICAM stelt met dit doel voor ogen een aantal incidentele vorderingen in (paragraaf 1.6 en hoofdstuk 10).
9. De oorzaak van het GGD-datalek is dat de Gedaagden jarenlang onvoldoende hebben gedaan om hun IT-systemen goed te beveiligen. Zij hebben verzuimd om in de GGD-systemen ook maar de meest basale beveiligingsmaatregelen te nemen.
10. Stichting ICAM waardeert vanzelfsprekend de enorme inspanning die de rijksoverheid en de
GGD’en in de bestrijding van de coronapandemie hebben geleverd. Ook heeft zij begrip voor het
argument dat de corona-testcapaciteit op korte termijn moest worden uitgebreid en dat dit uitdagingen met zich meebracht, waaronder op het terrein van informatiebeveiliging. Dat alles neemt echter niet weg dat Xxxxxxxxx eerder, sneller en betere maatregelen hadden kunnen en behoren te nemen:
l) Paraat staan voor uitbraak van infectieziekten. De Staat c.s. hadden de GGD-systemen vooraf beter kunnen en behoren in te richten, zodat deze bestand waren geweest tegen een situatie zoals de coronapandemie. Het is immers niet zo dat een omvangrijke infectieziekte-uitbraak zoals de coronapandemie door de Staat c.s. niet had kunnen en zelfs was voorzien. De (betreffende afdelingen bij) de Gedaagden ontlenen hun bestaansrecht aan het bestrijden, niet alleen reactief, maar ook proactief, van dit type ziekten. Lang voordat de eerste coronabesmetting plaatsvond, wist men al dat de dag zou komen dat er een grote epidemie of pandemie zou uitbreken en dat de verouderde GGD- systemen dan niet geschikt en veilig zouden zijn. Het is de taak en verantwoordelijkheid van de Staat c.s. om daar binnen redelijke grenzen zo goed mogelijk op voorbereid te zijn. In een crisissituatie zoals de coronapandemie is het immers veel moeilijker om zaken in de hand te houden, terwijl het belang van goede informatiebeveiliging juist dan exponentieel toeneemt. Bovendien hadden alle landen ter wereld te maken met dezelfde crisis en voor zover Stichting ICAM bekend is het nergens zo fout gegaan als in Nederland;
m) Snellere oplossing van de beveiligingsgebreken. De Staat c.s. hadden het datalek sneller kunnen en behoren op te lossen. Het lek heeft onnodig lang bestaan, terwijl de Staat c.s. reeds lang op de hoogte waren van de risico’s en de potentiële gevolgen van de slechte beveiliging. De Staat c.s. zijn er meerdere malen op gewezen dat de persoonsgegevens van miljoenen mensen gevaar liepen.5 Ook toen namen zij nog geen toereikende maatregelen om de (wettelijk laakbare) gebreken te herstellen. In ieder geval had, toen de pandemie uitbrak, gelijktijdig óók de beveiliging van de bijzondere persoonsgegevens van de personen in de betreffende databases een belangrijk speerpunt moeten worden. De GGD-systemen zijn vanaf maart (HPZone) c.q. juni (CoronIT) 2020 ingezet. In de richtsnoeren die de European Data Protection Board uitvaardigde in april 2020 benadrukte de EDPB al het belang van gegevensbescherming bij het bestrijden van het coronavirus.6 In februari 2021 schreef KPMG in een advies aan GGD-koepelorganisatie GGD GHOR, op basis van onderzoek dat slechts twee dagen in beslag heeft genomen (productie G.56):
“Gebruik van HPZone dient zo snel mogelijk te worden stopgezet. Met het huidige systeem en de genomen beheersmaatregelen kan geen, bij de persoonsgegevens passend, adequaat beveiligingsniveau worden bereikt.”
6 EDPB, ‘Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19
outbreak’, aangenomen op 21 april 2020, p. 3.
11. Pas in januari 2021, nadat RTL Nieuws haar eerste conclusies publiceerde, werden de ernstigste beveiligingsgebreken verholpen. De minister zei daarover in het Kamerdebat over het GGD- datalek het volgende (productie C.13):
“Het is niet zo dat er niks is gebeurd, maar we hebben er onvoldoende aandacht voor gehad. […] Ik had daar zelf scherper bovenop moeten zitten. Dit lag - met alle veelheid van taken - niet bovenop de stapel, dat had wel gemoeten. Had het eerder gekund, had het eerder gemoeten? Ja.”
12. De Staat c.s. hebben onvoldoende gedaan en te laat ingegrepen. Zelfs nu nog schieten de Staat
c.s. substantieel te kort in de beveiliging van persoonsgegevens van Nederlandse ingezetenen.
13. Er is naar de overtuiging van Stichting ICAM sprake geweest van bijzonder verwijtbaar handelen (hoewel dat voor het vaststellen van aansprakelijkheid in deze zaak geen vereiste is). Na het bekend worden van het datalek zijn wel maatregelen genomen om de beveiliging te verbeteren, maar van het werkelijk nemen van verantwoordelijkheid en van een zichtbare beleidsmatige en praktische wijziging in de aanpak en preventie van dit soort problemen is – ondanks de enorme impact op Xxxxxxxxxxx - nog niets gebleken.
1.2 Belang en doel van deze zaak
14. Stichting ICAM is een artikel 3:305a-belangenorganisatie. Zij komt in deze procedure op voor de belangen van alle natuurlijke personen van wie persoonsgegevens zijn verwerkt in één of beide GGD-systemen ten tijde van het GGD-datalek (de Gedupeerden, zoals gedefinieerd in productie A.1). Deze groep personen valt uiteen in twee categorieën:
a) Personen waarvan onzeker is of hun persoonsgegevens als gevolg van het GGD-datalek zijn ontvreemd (Gedupeerden Categorie A, zoals gedefinieerd in productie A.1). Dit betrof in januari 2021 circa 6,5 miljoen personen. Dat het minder personen zijn kan in ieder geval niet aangetoond worden. Een deel van de vorderingen ziet erop om meer helderheid te verkrijgen over de omvang van het GGD-datalek;
b) Personen waarvan vaststaat of zal worden vastgesteld dat hun persoonsgegevens als gevolg van het GGD-datalek door ongeautoriseerde personen zijn ingezien of bij ongeautoriseerde personen in handen zijn gekomen (Gedupeerden Categorie B, zoals gedefinieerd in productie A.1).
15. De doelen die Stichting ICAM met deze procedure nastreeft zijn de volgende.
1.2.1 Helderheid over (de omvang en gevolgen van) het GGD-datalek
16. De Gedupeerden hebben belang bij transparantie over het GGD-datalek, de omvang daarvan en de (potentiële) gevolgen voor hun rechten en vrijheden. Momenteel is onduidelijk van xxxxxxx
Betrokkenen daadwerkelijk gegevens zijn ontvreemd. De Staat c.s. geven daarover onduidelijke en onvolledige informatie en houden belangrijke stukken en informatie achter (paragraaf 3.4). Door de onduidelijke informatievoorziening verkeren miljoenen Gedupeerden in onzekerheid over de vraag of hun persoonsgegevens ontvreemd zijn of niet, of zelfs in de onterechte veronderstelling dat dat niet het geval is. Indien zij juist en volledig geïnformeerd worden over de kans dat hun gegevens in criminele handen terecht zijn gekomen, kunnen zij zich tegen eventueel misbruik van de gegevens beter wapenen. Wanneer duidelijk zou worden dat van bepaalde Gedupeerden daadwerkelijk uitgesloten kan worden dat hun persoonsgegevens zijn ontvreemd, neemt dat hun onzekerheid en daarmee een zware last weg.
17. De incidentele vorderingen sub 10.3 (onderzoek naar de omvang van het datalek), 10.4 (informeren van de Gedupeerden) en 10.5 (het beschikbaar houden van informatie) zijn gericht op dit belang.
1.2.2 Beëindiging van de inbreuk
18. De Gedupeerden hebben belang bij beëindiging van de inbreuk. Volgens de AP voldoen de Staat
c.s. namelijk nog altijd niet aan hun (beveiligings)verplichtingen onder de AVG (producties K.1 en K.26). De vorderingen sub 11.5 zien erop dat deze inbreuk wordt beëindigd.
1.2.3 Betere beveiliging van IT-systemen en persoonsgegevens door de overheid
19. De Gedupeerden hebben er belang bij dat de overheid ertoe wordt bewogen in zijn algemeenheid een hoger niveau van informatiebeveiliging na te streven. De door Stichting ICAM in deze zaak ingestelde collectieve schadevordering dient mede dit doel.
20. De Nederlandse overheid heeft de afgelopen jaren helaas telkenmale laten zien dat zij niet bereid of in staat is goed om te gaan met de persoonlijke levenssfeer van burgers en hen adequaat te beschermen tegen inbreuken op hun privacy en onrechtmatige verwerking van persoonsgegevens. Voormalig Tweede Kamerlid Verhoeven diende naar aanleiding van het GGD- datalek dan ook een motie in (productie D.10):
“constaterende dat de overheid structureel tekortschiet op AVG-dataveiligheidsprincipes zoals privacy by design, dataminimalisatie, doelbinding en technische en organisatorische voorzieningen, alsmede audits en kwaliteitsnormen”
21. Het is in deze tijd meer dan gerechtvaardigd om overheden, waaronder de Nederlandse overheid, te dwingen passende maatregelen te nemen om het fundamentele recht op gegevensbescherming te waarborgen. De prikkels die daartoe tot heden zijn ingezet zijn kennelijk niet afdoende. Helaas hebben toezichthouders, waaronder de Nederlandse AP, onvoldoende capaciteit om de AVG te handhaven. Daarnaast heeft de AP aangegeven het lastig te vinden om overheden te beboeten omdat die boetes uiteindelijk weer in de schatkist belanden. Ook naar
aanleiding van het GGD-datalek heeft de AP niet handhavend opgetreden. Er is dan ook een publiek belang bij dat de overheid vanuit de maatschappij een sterk signaal krijgt dat zij beter zorg moet dragen voor de beveiliging van persoonsgegevens.
22. Daarbij is ook het gezichtspunt relevant dat burgers persoonsgegevens aan de overheid verstrekken in het vertrouwen dat zij daarmee zorgvuldig om zal gaan. Wanneer de overheid niet zorgvuldig met persoonsgegevens van haar burgers omgaat, bestaat het risico dat burgers de overheid gaan wantrouwen en niet langer bereid zijn gegevens te verstrekken, zoals in dit geval ten behoeve van het testen en vaccineren op corona. Uit representatief onderzoek door KPMG en Motivaction van oktober 2021 blijkt dat privacy-incidenten tijdens de coronacrisis het bewustzijn van Nederlanders hierover hebben vergroot en dat het GGD-datalek een grote impact heeft gehad (productie K.2, p. 6):
“Nederlanders zijn bezorgd over datalekken. Bijna twee derde (63%) is bang dat hierdoor persoonlijke gegevens op straat komen te liggen. Privacyincidenten tijdens de coronacrisis lijken het bewustzijn van de Nederlander te hebben vergroot. Zo blijkt 83% op de hoogte van het grote datalek bij de GGD, dat eind januari 2021 bekend werd. Het administratiesysteem voor het test- en vaccinatieproces en de communicatie hierover werd gehackt en ook werden persoonsgegevens rondom het bron- en contactonderzoek van de GGD buitgemaakt. Privégegevens van miljoenen Nederlanders kwamen hierdoor in handen van kwaadwillenden, die de data via internet doorverkochten.
De impact van dit lek op Nederlanders blijkt behoorlijk groot te zijn geweest”, stelt Xxxxxxx Xxxxx, die bij KPMG leiding geeft aan het privacyteam. “Zo wilde één op de vijf ondervraagden (22%) zich door het GGD-lek minder snel laten testen op het coronavirus.” Deze uitkomst sluit aan bij cijfers van het RIVM. Begin maart maakte het instituut bekend dat 35% van de Nederlanders zich bij klachten liet testen op corona. Begin januari was dat volgens het RIVM nog 50%. Idema: “Deze afname zien we dus terug in de groep van respondenten – één op de vijf – die aangaf
dat ze na het GGD-lek minder snel een coronatest zouden doen.”
23. Bovendien heeft de overheid een belangrijke voorbeeldfunctie waar het gaat om naleving van de AVG en het voldoen aan beveiligingseisen. Als de overheid al zo laks omgaat met de regels, waarom zouden burgers en bedrijven zich daar dan wel aan houden?
24. Bij voorkeur zou Stichting ICAM een vordering instellen die de Staat c.s. verplicht tot het nemen van bepaalde, concreet omschreven verbeteringsmaatregelen. Waarschijnlijk zijn echter Stichting ICAM noch de rechter bevoegd of bij machte om voor te schrijven op welke wijze dat zou moeten gebeuren. Om die reden vordert Stichting ICAM dat niet. Zij meent echter dat toewijzing van een collectieve schadevergoedingsvordering mede het effect zal hebben dat de overheid beter informatiebeveiligingsbeleid implementeert. Naar de overtuiging van Stichting ICAM is civielrechtelijke handhaving middels een collectieve schadevordering een passend middel om verandering te bevorderen. Indien de Staat c.s. ook de (financiële) consequenties van hun optreden ondervinden, mag worden aangenomen dat zij zich ervoor zullen inzetten hun gedrag te verbeteren.
25. De vorderingen sub K (verklaringen voor recht), sub M (immateriële schade) en N (materiële schade) worden mede met het oog op voorgaand belang ingesteld.
1.2.4 Vergoeding van de schade van de Gedupeerden
26. Alle Gedupeerden van het GGD-datalek hebben schade geleden. Die dient te worden vergoed. Dat geldt voor zowel de Gedupeerden Categorie A als de Gedupeerden Categorie B. De Gedupeerden lijden immateriële schade doordat zij de controle over hun persoonsgegevens kwijt zijn. Dat levert bovendien reële gevoelens van onzekerheid, stress en angst op (paragraaf 5.3). Zij moeten continu waakzaam zijn. De Gedupeerden lijden materiële schade doordat zij, voor zover mogelijk, persoonsgegevens moeten (laten) aanpassen en continu moeten controleren of hun gegevens door criminelen niet gebruikt worden om bijvoorbeeld bankgegevens te wijzigen of bestellingen te doen op hun naam (paragraaf 5.4).
27. Ten aanzien van de Gedupeerden Categorie B is niet veel discussie denkbaar dat zij schade hebben geleden: hun gegevens zijn gestolen.
28. Ten aanzien van Gedupeerden Categorie A is een meer principiële discussie denkbaar. Die discussie gaat over de vraag of het feit dat persoonsgegevens zijn gelekt en blootgesteld zijn geweest aan diefstal, reeds schade bij die Gedupeerden veroorzaakt of kan veroorzaken.
29. Stichting ICAM meent van wel. De Gedupeerden Xxxxxxxxx A verkeren immers in onzekerheid over wat er met hun persoonsgegevens is gebeurd of zal gebeuren en of hun gegevens wel of niet gestolen zijn. Doordat de Staat c.s. onvoldoende controlemechanismen hadden geïmplementeerd (paragraaf 3.4 en 4.2.4.4), kunnen zij van geen enkele Gedupeerde uitsluiten dat gegevens zijn gestolen. Feit is dat het datalek en de wetenschap daarvan gevoelens van gemis aan controle en risico op feitelijk misbruik teweeg brengen. Dat is schade, ook als er geen materiële schade wordt toegebracht. Zeker bij een zo ernstig datalek als het GGD-datalek.
30. Een andere opvatting zou ook tot onaanvaardbare gevolgen leiden. Karakteristiek voor schendingen van de AVG is dat ze primair niet tot schade aan zaken leiden, maar tot onjuist behandelen van gegevens. Inherent daaraan is vervolgens dat in veel gevallen (i) niet komt vast te staan of dat tot concrete gevolgen heeft geleid of op enig moment zal leiden, en (ii) als dat wel zo is, causaal verband moeilijk kan worden aangetoond, omdat dezelfde persoonsgegevens ook buit kunnen zijn gemaakt via bijvoorbeeld een ander datalek. De Gedaagden hebben dit verweer ook al gevoerd (paragraaf 7.4).
31. Anders gezegd: voor een Gedupeerde is het vaak onmogelijk om aan te tonen dat een schending van de AVG tot een concreet aan te wijzen gevolg heeft geleid, anders dan de blootstelling of de diefstal zelf. Indien die blootstelling of diefstal geen recht zou geven op schadevergoeding, wordt het recht op schadevergoeding voor AVG-schendingen vrijwel illusoir en daarmee ook de civielrechtelijke handhaving van die normen. Dat is ongewenst. Het heeft bovendien een breder
maatschappelijk gevolg, namelijk dat de goede werking van de AVG onaanvaardbaar zal afnemen. Indien schending van de AVG financieel geen of vrijwel geen gevolgen heeft, zal de prikkel om de AVG na te leven bijzonder laag worden.
32. Wil de AVG doeltreffende waarborgen bieden tegen flagrante schendingen, dan dient deze zodanig te worden uitgelegd dat toekenning van immateriële schadevergoeding de norm is bij ernstige schendingen zoals het GGD-datalek.
33. Er is over dit onderwerp momenteel een aantal procedures aanhangig bij het HvJEU. Stichting ICAM zal deze zaken bespreken in paragraaf 5.2.1.4.
34. De vorderingen sub M (immateriële schade) en N (materiële schade) zijn gericht op beantwoording van voormelde principiële vragen en het verkrijgen van de bedoelde schadevergoeding.
1.3 Omvang van de schade
35. Aan de Gedupeerden Categorie B heeft GGD-koepelorganisatie GGD GHOR een “financieel gebaar” aangeboden van € 500,-, zulks tegen finale kwijting (paragraaf 3.1.12). Dat is onvoldoende. De Staat c.s. miskennen met dat aanbod dat uit de rechtspraak blijkt dat de werkelijke schade bij diefstal van gegevens onder de omstandigheden van deze zaak hoger moet worden begroot dan € 500,-. Voor deze categorie Gedupeerden vordert Stichting ICAM dan ook een bedrag van € 1.500,- aan immateriële schadevergoeding per persoon. De wijze waarop GGD GHOR de finale kwijting heeft geformuleerd biedt hiervoor overigens de ruimte, ook voor de Gedupeerden die het aanbod hebben geaccepteerd (paragraaf 9.1.3.1).
36. De Staat c.s. erkennen dat het feit dat van 1.250 mensen is vastgesteld dat hun gegevens zijn gestolen, niet betekent dat de gegevens van de overige circa 6.498.750 Gedupeerden niet zijn gestolen (Gedupeerden Categorie A) (paragraaf 3.4). Ze stellen enkel dat dat niet is komen vast te staan. Ten aanzien van Gedupeerden Categorie A stellen de Staat c.s. dat geen sprake is van schade. Ze willen die groep dan ook geen schadevergoeding of “financieel gebaar” betalen. Dat is onterecht. De Gedupeerden Xxxxxxxxx A verkeren in onzekerheid over wat er met hun persoonsgegevens is gebeurd en of deze wellicht al zijn misbruikt of in de toekomst nog zullen worden misbruikt. Ook dat levert immateriële schade op, zoals Stichting ICAM nog zal toelichten (paragraaf 5.3). Voor de Gedupeerden Categorie A vordert Stichting ICAM een bedrag van € 500,- aan immateriële schade per persoon.
37. Voor beide categorieën Gedupeerden vordert Stichting ICAM bovendien een bedrag van € 50,- aan materiële schade per persoon (paragraaf 5.4).
38. In totaal komt de vordering van Stichting ICAM uit op een bedrag van € 3.576.250.000,-. Stichting ICAM is zich er vanzelfsprekend van bewust dat toekenning van een schadevordering van deze
omvang een grote impact zal hebben op de rijksbegroting (de minister heeft toegezegd dat de Staat eventuele financiële gevolgen van het GGD-datalek voor de GGD’en zal dragen, productie D.1B, p. 19). Dat is echter een gevolg dat voor rekening van de Staat komt en inherent is aan de grote verantwoordelijkheden die hij heeft en de grote budgetten die hem ten dienste staan om die verantwoordelijkheden adequaat in te vullen.
39. Gelet op al het voorgaande is het naar overtuiging van Stichting ICAM van groot belang dat deze zaak door de rechter wordt beoordeeld. Ze wordt in die overtuiging gesteund door bekende privacy-organisaties met wie zij momenteel in overleg is over de vraag of zij hun steun ook publiekelijk willen uitspreken.
1.4 Overleg met gedaagden is niet geslaagd
40. Stichting ICAM heeft getracht om het door haar in deze procedure gevorderde door het voeren van overleg met de Staat c.s. te bereiken. Zij heeft alle Gedaagden schriftelijk uitgenodigd voor overleg, waarop alleen het ministerie, GGD GHOR en de GGD’en zijn ingegaan. Vervolgens is er ook enig overleg geweest, door middel van fysieke besprekingen en schriftelijke correspondentie tussen (de advocaten van) partijen.
41. Helaas heeft dat overleg niet tot een oplossing geleid. De Staat, GGD GHOR en de GGD’en hebben zich met name beroepen op formeel-juridische verweren zoals een beweerd gebrek aan representativiteit en een beweerd gebrek aan causaal verband, althans de onmogelijkheid om causaal verband aan te tonen. Daarnaast hebben zij verwijten geuit in verband met het feit dat deze collectieve procedure extern wordt gefinancierd, waarmee zij echter miskennen dat zonder commerciële procesfinanciers die bereid zijn risico’s te nemen, “strooischade” zoals ten gevolge van het GGD-datalek nooit vergoed zou worden. Stichting ICAM verwijst verder naar hetgeen hierover is opgenomen in paragraaf 9.1.1.
1.5 Woo-stukken en Woo-procedures
42. Stichting ICAM heeft bij de Staat, GGD GHOR, de GGD’en, de 25 veiligheidsregio’s en bij 25 gemeenten grotendeels gelijkluidende Woo-verzoeken ingediend. In productiecategorie I (zie paragraaf 1.7) worden overgelegd de Woo-verzoeken aan de Staat en GGD GHOR en als voorbeeld één Woo-verzoek aan een GGD, één Woo-verzoek aan een Veiligheidsregio en één Woo-verzoek aan een Gemeente:
a) De Staat heeft op de datum van dagvaarding nog niet inhoudelijk gereageerd op het Woo- verzoek van 15 februari 2021 en heeft daarmee de wettelijke termijn van (na verlenging) acht weken ruim overschreden (productie I.1). Stichting ICAM zal tegen de weigering om een besluit te nemen in beroep gaan;
b) GGD GHOR heeft zich op het standpunt gesteld dat zij geen bestuursorgaan is en ook anderszins niet verplicht is te voldoen aan Woo-verzoeken (productie I.2);
c) De GGD’en hebben nagenoeg allemaal inhoudelijk gereageerd en bepaalde documenten openbaar gemaakt. De documenten waarop Stichting ICAM in deze Dagvaarding een beroep doet, worden overgelegd in productiecategorie G (zie paragraaf 1.7).
d) De meeste veiligheidsregio’s en gemeenten hebben verwezen naar de GGD’en, sommige
hebben wel inhoudelijk gereageerd en documenten openbaar gemaakt.
43. Uit het standpunt van GGD GHOR en uit de door de GGD’en genomen Woo-besluiten blijkt dat de Gedaagden onderling hebben afgestemd dat zij bepaalde documenten niet openbaar zullen maken. Dit betreft vooral documenten die primair bij GGD GHOR zouden berusten, die betrekking hebben op (het gebrek aan) de beveiliging van de GGD-systemen en die waarschijnlijk relevante informatie bevatten over de ernst en omvang van het GGD-datalek. Daarnaast hebben de GGD’en omvangrijke passages zwartgelakt in de documenten die zij wel openbaar hebben gemaakt. Stichting ICAM heeft daarom in een brief van 8 juli 2022 aan de advocaten van XXX XXXX nogmaals verzocht om uiterlijk 25 juli 2022 te voldoen aan haar verplichting tot openbaarmaking op grond van de Woo en haar verzoek om verstrekking van de gevraagde informatie op grond van artikel 843a Rv herhaald (productie I.2).
44. Per brief van 22 juli 2022 heeft GGD GHOR gereageerd op het herhaalde Woo-verzoek. Zij blijft, ten onrechte, bij haar standpunt dat zij niet onder het toepassingsbereik van de Woo valt (productie I.2F). Per brief van 21 juli 2022 hebben de advocaten van GGD GHOR aan de advocaten van Stichting ICAM laten weten dat GGD GHOR niet zal voldoen aan het verzoek om informatie te verstrekken op grond van artikel 843a Rv (productie H.2M).
45. Het beroep dat de GGD’en hebben gedaan op Woo-uitzonderingsgronden voor hun weigering om bepaalde documenten en passages openbaar te maken, is ten aanzien van de meeste van die documenten en passages evident ten onrechte. Stichting ICAM heeft dan ook besloten om tegen vijf Woo-besluiten in bezwaar te gaan. Op de datum van dagvaarding hebben in vier van de vijf bezwaarprocedures hoorzittingen plaatsgevonden en heeft Stichting ICAM van de GGD Zeeland, GGD Drenthe en GGD Rotterdam een beslissing op bezwaar ontvangen. Ook daaruit blijkt dat GGD GHOR en de GGD’en met elkaar hebben afgestemd welke documenten, geheel, geheim moeten blijven. Het betreft een lijst documenten (zie paragraaf 10.2.1) die de GGD’en eerst niet openbaar wilden maken vanwege het belang van het goed functioneren van de Staat (artikel 5.1 lid 2 sub i Woo). Inmiddels heeft GGD Zeeland echter het standpunt ingenomen dat zij deze documenten “bij nader inzien” toch niet “daadwerkelijk” onder zich heeft, kennelijk omdat de DPG Zeeland de documenten alleen onder zich zou hebben in zijn functie als lid van de ledenraad van GGD GHOR. Stichting ICAM is inmiddels in beroep gegaan tegen de beslissing op bezwaar van de GGD Zeeland.
46. De Woo-dossiers worden overlegd in productiecategorie I.
1.6 Incidentele vorderingen
47. Nu de uitkomst van de Woo-procedures nog niet bekend is en de Staat c.s. er alles aan lijken te doen om informatie achter te houden, verzoekt Stichting ICAM de rechtbank om de Staat c.s. te bevelen om bepaalde stukken in het geding te brengen ex artikel 22 Rv en stelt Stichting ICAM een aantal incidentele vorderingen in die erop zijn gericht om duidelijkheid te krijgen over (de omvang en gevolgen van) het GGD-datalek, waaronder een exhibitievordering ex artikel 843a Rv en een vordering tot het bevelen van een deskundigenbericht (zie verder hoofdstuk 10).
1.7 Producties
48. Voor de overzichtelijkheid en in overleg met de griffie van uw rechtbank zijn de producties bij deze Dagvaarding genummerd in verschillende categorieën. Eventuele aanvullende producties zullen binnen deze categorieën worden doorgenummerd:
A. Begrippen en afkortingen
B. Stukken met betrekking tot Stichting ICAM
C. Nieuwsberichten
D. Kamerstukken
E. Literatuur
F. Communicatie vanuit GGD GHOR
G. Woo-stukken
H. Correspondentie met de Gedaagden
X. Xxx-correspondentie en Woo-bezwaarschriften
J. Strafvonnissen
K. Overig
49. Veel producties, met name de Woo-stukken, bevatten informatie over verschillende onderwerpen, zoals over toegang en autorisaties, de exportfunctionaliteit en logging. Om de omvang van deze Dagvaarding zoveel mogelijk te beperken, worden deze producties waar mogelijk slechts bij één van de betreffende onderwerpen besproken. Dat heeft tot gevolg dat in bepaalde paragrafen ook bewijs wordt aangedragen en stellingen worden ingenomen over onderwerpen die buiten het bereik van de titel van die paragraaf vallen.
1.8 Definities en afkortingen
50. De in deze Dagvaarding gebruikte begrippen en afkortingen, steeds met een beginhoofdletter geschreven, hebben hierin de betekenis zoals daaraan gegeven in productie A.1.
2 PARTIJEN
2.1 Stichting ICAM
51. Stichting ICAM, opgericht op 25 november 2021, is een stichting zonder winstoogmerk. Zij behartigt de belangen van groepen gedupeerden zoals bedoeld in artikel 3:305a BW (massaschade). Eén van haar doelstellingen is optreden tegen (dreigende) inbreuken op het recht op bescherming van de persoonlijke levenssfeer en de bescherming van persoonsgegevens, waaronder inzake inbreuken op deze rechten door de overheid. Haar Statuten vermelden als doel onder andere (productie B.1):
“(…) 3.1 De Stichting stelt zich ten doel om als onafhankelijke organisatie en zonder winstoogmerk de belangen te behartigen van Gedupeerden, zijnde groepen natuurlijke personen, vennootschappen en/of rechtspersonen, in Nederland en/of daarbuiten, die zijn of dreigen te worden geraakt in een gelijksoortig belang in de zin van artikel 3:305a BW (of een vergelijkbare of daarvoor in de plaats tredende (wettelijke) regeling) en daardoor op enige derde(n) een of meer vordering(en) hebben verband houdend met door deze natuurlijke personen, vennootschappen en/of rechtspersonen geleden of te lijden Massaschade.
3.2 In het bijzonder valt onder het doel van de Stichting:
a) Het optreden tegen (dreigende) inbreuken op het recht van burgers, consumenten, vennootschappen en/of rechtspersonen op bescherming van de persoonlijke levenssfeer en bescherming van persoonsgegevens, waaronder in het bijzonder tegen inbreuken door de overheid en/of overheidsinstanties, zoals de Staat en andere publiekrechtelijke rechtspersonen, waaronder begrepen het verhalen van Massaschade die deze Gedupeerden lijden en/of hebben geleden ten gevolge van inbreuken op genoemde rechten, waaronder begrepen overtredingen van de EU Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679) en/of enige daaruit voortvloeiende nationale wet- of regelgeving, beleidsregels, gedragscodes of normen; (…)”
52. Stichting ICAM heeft een Raad van Bestuur en een Raad van Toezicht. De leden van de Raad van Bestuur en de Raad van Toezicht beschikken over de specifieke juridische en financiële deskundigheid en ervaring die noodzakelijk is voor de adequate behartiging van de belangen zoals omschreven in de statuten (paragraaf 9.1.2). Stichting ICAM zal in hoofdstuk 9 toelichten dat zij ontvankelijk is in deze procedure.
2.2 De Staat c.s.
53. Gedaagden in deze procedure zijn:
a) De Staat der Nederlanden (ministerie van Volksgezondheid, Welzijn en Sport);
b) De 25 GGD’en;
c) De vereniging Publieke Gezondheid en Veiligheid Nederland;
d) De stichting Verenigingsbureau Publieke Gezondheid en Veiligheid Nederland;
e) De stichting Projectenbureau Publieke Gezondheid en Veiligheid Nederland;
f) De stichting Landelijke Coördinatie Covid-19 Bestrijding;
g) De Veiligheidsregio Amsterdam-Amstelland;
h) De Veiligheidsregio Rotterdam-Rijnmond;
i) Xx Xxxxxxxx Xxxxxxxxx; xx
x) Xx Xxxxxxxx Xxxxxxxxx.
54. Stichting ICAM heeft de Staat c.s. bij brieven van 8 februari 2022 gesommeerd om bepaalde informatie te bewaren en aan Stichting ICAM te verstrekken, aangekondigd dat zij o.a. vorderingen in zou stellen tot verklaringen voor recht, tot het bevelen het onrechtmatig handelen te staken en tot het informeren van alle Gedupeerden. Ook heeft zij de Staat c.s. aansprakelijk gesteld voor de door de Gedupeerden geleden schade. In de brieven heeft Stichting ICAM de Gedaagden uitgenodigd om in overleg te treden (productiecategorie H).7 Dat overleg heeft plaatsgevonden maar heeft helaas niet geleid tot een oplossing (zie paragraaf 1.4 en 9.1.4.3).
55. In de brieven heeft Stichting ICAM aangegeven dat zij alle betrokken partijen heeft aangeschreven, maar dat zij op basis van nader door hen te verstrekken informatie één of meer partijen eventueel buiten de procedure zou houden indien zou blijken dat zij niet aansprakelijk zijn voor het GGD-datalek. De Staat c.s. hebben echter geen informatie verstrekt op basis waarvan Stichting ICAM deze keuze kon maken. Stichting ICAM is daarom genoodzaakt alle aangeschreven (categorieën van) Gedaagden in deze procedure te betrekken. Voor wat betreft de veiligheidsregio’s en de gemeenten heeft Stichting ICAM er om redenen van proces- en kostenefficiëntie voor gekozen per categorie slechts twee partijen aan te spreken. Stichting ICAM stelt zich op het standpunt dat sprake is van hoofdelijke aansprakelijkheid tussen de verwerkingsverantwoordelijken (paragrafen 4.2.1 en 6.4). Indien de gedaagde Veiligheidsregio’s en Gemeenten als (gezamenlijk) verwerkingsverantwoordelijken worden aangemerkt, is het aan hen om eventueel regres te nemen op overige veiligheidsregio’s en gemeenten.
2.2.1 De Staat der Nederlanden (ministerie van Volksgezondheid, Welzijn en Sport)
56. De Staat der Nederlanden heeft de plicht de volksgezondheid te beschermen. De bestrijding van besmettelijke infectieziekten zoals corona is in dat kader een taak van de Staat. Op grond van
7 Dit is anders voor de LCCB, die pas later bij Stichting ICAM in beeld kwam en op 22 november 2022 is aangeschreven. De LCCB heeft de brief ter kennisneming aangenomen (producties H.2N en H.2O).
artikel 7 lid 1 Wpg geeft de minister dan ook leiding aan de bestrijding van een epidemie van een infectieziekte behorend tot groep A, zoals het coronavirus. Ingevolge dit artikel kan de minister de voorzitters van de veiligheidsregio’s instrueren hoe de bestrijding ter hand te nemen, waaronder begrepen het opdragen tot het toepassen van bepaalde maatregelen.
57. Bij de uitbraak van de coronapandemie in Nederland heeft de minister in het kader van zijn taak op grond van artikel 7 lid 1 Wpg de GGD’en gevraagd om - in aanvulling op hun wettelijke taken
- het testen en traceren van mensen met klachten die passen bij corona uit te voeren, hoewel de GGD’en niet voorbereid waren op een taak van deze omvang.8 De Staat heeft daarnaast controlerende zeggenschap gehad over, en actieve bemoeienis gehad bij, de keuze voor en de (door)ontwikkeling, inrichting en ingebruikname van de GGD-systemen. De Staat heeft daartoe specifieke aanwijzingen en instructies gegeven aan de GGD’en en GGD GHOR (paragraaf 4.2.1.1).
2.2.2 De GGD’en
58. De GGD’en zijn openbare lichamen die op grond van artikel 14 lid 1 Wpg door de colleges van burgemeester en wethouders van gemeenten die behoren tot een bepaalde Veiligheidsregio, via het treffen van een gemeenschappelijke regeling zijn ingesteld en in stand worden gehouden. Op grond van artikel 14 lid 5 Wpg kan een GGD ook worden ingesteld en in stand worden gehouden door de colleges van burgemeester en wethouders van de gemeenten in twee of meer veiligheidsregio’s. In Nederland zijn in totaal 25 GGD’en. De GGD’en staan onder leiding van een directeur publieke gezondheid, die is benoemd door het algemeen bestuur van de betreffende GGD. Het algemeen bestuur van de GGD bestaat uit vertegenwoordigers van de deelnemende gemeenten. Het algemeen bestuur wijst uit haar midden een dagelijks bestuur aan.
59. De Wpg schrijft voor welke taken de colleges van burgemeester en wethouders aan de GGD’en moeten toewijzen. Deze taken worden landelijk uniform uitgevoerd. Naast de wettelijke taken voert iedere GGD ook aanvullende taken uit voor de betreffende gemeenten (productie F.2).
60. Op grond van artikel 6 lid 1 Wpg is één van de wettelijke taken van de colleges de uitvoering van de algemene infectieziektebestrijding, welke taak zij hebben toegewezen aan de GGD’en. Het testen op corona en het uitvoeren van bron- en contactonderzoek (BCO) valt daar echter niet onder. De minister heeft, zoals aangegeven, de GGD´en echter gevraagd om in aanvulling op hun wettelijke taken het testen en traceren van mensen met klachten die passen bij corona uit te voeren.
2.2.3 GGD GHOR
61. GGD GHOR is de brancheorganisatie van de 25 GGD’en en de Geneeskundige Hulpverleningsorganisaties in de Regio (GHOR). XXX XXXX omschrijft zichzelf onder andere als de verbindende schakel met ministeries en andere partners (productie F.1).
62. GGD GHOR is opgericht als de Vereniging Publieke Gezondheid en Veiligheid Nederland. De activiteiten van de vereniging zijn ondergebracht in de stichting Verenigingsbureau Publieke Gezondheid en Veiligheid Nederland en de stichting Projectenbureau Publieke Gezondheid en Veiligheid Nederland, die worden aangestuurd door het bestuur van de vereniging. Naast voornoemde stichtingen is per 1 januari 2022 de stichting Landelijke Coördinatie Covid-19 Bestrijding (LCCB) opgericht. In deze stichting zijn de activiteiten van GGD GHOR op het gebied van coronabestrijding ondergebracht.
63. GGD GHOR had gedurende de bestrijding van de coronapandemie een sleutelrol in de aansturing van de GGD’en en in het contact tussen de GGD’en en het ministerie. Ook bij de inrichting van de IT-systemen had GGD GHOR een cruciale rol. Zo blijkt uit een Kamerbrief van 2 februari 2021 dat het GGD GHOR was die heeft besloten tot het beperken van de groep die gebruik kan maken van HPZone.9 Dit illustreert bij uitstek dat GGD GHOR niet alleen aanspreekpunt is, maar dat zij een besluitvormende sleutelrol op zich neemt.
2.2.4 De Veiligheidsregio’s
64. De Veiligheidsregio’s zijn openbare lichamen die op grond van artikel 9 van de Wet veiligheidsregio’s (“Wvr”) door de colleges van burgemeester en wethouders van de gemeenten die behoren tot een bepaalde regio, via het treffen van een gemeenschappelijke regeling zijn ingesteld en in stand worden gehouden. Nederland is verdeeld in 25 veiligheidsregio’s. Iedere Veiligheidsregio zet zich in voor de veiligheid van de inwoners en bezoekers van dat gebied. Het bestuur van een Veiligheidsregio bestaat uit de burgemeesters uit die regio. Een van die burgemeesters wordt bij Koninklijk Besluit benoemd tot voorzitter, meestal de burgemeester van de grootste gemeente. Op dezelfde dag dat landelijke coronamaatregelen werden afgekondigd, 12 maart 2020, werden alle veiligheidsregio’s opgeschaald naar GRIP-4 (ramp waarbij meerdere gemeenten betrokken zijn) en werd artikel 39 Wvr van toepassing verklaard. Daarmee gingen verschillende bevoegdheden die verband houden met de openbare orde en veiligheid van rechtswege over naar de voorzitters van de veiligheidsregio’s. Het gaat daarbij op grond van artikel 7 Wvr onder meer om het informeren “over de oorsprong, de omvang en de gevolgen van een ramp of crisis die de gemeente bedreigt of treft, alsmede over de daarbij te volgen gedragslijn”. Vanaf 1 december 2020 verving de Tijdelijke wet maatregelen covid-19 (“Twm”) artikel 39 Wvr als basis voor de maatregelen die werden genomen, waarmee de bestuurlijke verantwoordelijkheid voor de handhaving van de coronamaatregelen weer bij de burgemeesters
kwam te liggen. De verantwoordelijkheden en bevoegdheden van de voorzitters van de veiligheidsregio’s op grond van de Wpg bleven echter onverminderd van kracht.
65. Ingevolge artikel 6 lid 2 Wpg draagt het bestuur van de veiligheidsregio zorg voor de voorbereiding op de bestrijding van een epidemie van een infectieziekte behorend tot groep A, zoals het coronavirus. Overeenkomstig het vierde lid moet de voorzitter van de Veiligheidsregio zorg dragen voor de bestrijding zelf. Verder kan de minister de voorzitters van de veiligheidsregio’s op grond van artikel 7 Wpg instructies geven hoe de bestrijding ter hand te nemen.
2.2.5 De Gemeenten
66. De colleges van burgemeester en wethouders van de Nederlandse gemeenten zijn op grond van de Wpg belast met het uitvoeren van taken ter bevordering en continuering van de publieke gezondheidszorg. Op grond van artikel 6 lid 1 Wpg draagt het college van burgemeester en wethouders zorg voor de uitvoering van de algemene infectieziektebestrijding. Tot die verplichting behoort in ieder geval het nemen van algemene preventieve maatregelen en het uitvoeren van bron- en contactopsporing bij meldingen als bedoeld in de artikelen 21, 22, 25 en 26 Wpg. De colleges zorgen verder voor de instelling en instandhouding van de GGD´en aan wie zij taken op grond van de Wpg uitbesteden. Gemeenten financieren de GGD´en, houden toezicht en zijn eindverantwoordelijk.
3 FEITEN
3.1 Chronologisch overzicht
3.1.1 Eerste aanwijzingen van het GGD-datalek
68. Op dezelfde datum meldde RTV Oost dat het account van een GGD-callcentermedewerker die slechts twee dagen voor de coronatestlijn had gewerkt, een maand na uitdiensttreding nog altijd toegang gaf tot alle gegevens van mensen die zich op corona hadden laten testen. De medewerker gaf aan dat hij volledige toegang kreeg, nog voordat hij een Verklaring het Gedrag (VOG) had ingeleverd (productie C.2).
69. Uit een artikel in dagblad Trouw van 9 oktober 2020 blijkt dat de AP naar aanleiding van de publicatie door RTV Oost vragen heeft gesteld aan GGD GHOR. Uit intern onderzoek van Teleperformance – het Franse callcenterbedrijf aan wie de coronatestlijn was uitbesteed – zou
zijn gebleken dat bij in ieder geval 37 andere uitzendkrachten soortgelijke fouten waren gemaakt. Van dit datalek werd een melding gedaan bij de AP (productie C.3). Uit de beantwoording van Kamervragen door de minister blijkt dat de GGD’en door de AP uitdrukkelijk zijn gewezen op hun wettelijke verplichting te zorgen dat gegevens van burgers goed beveiligd zijn. De AP zou daarbij hebben aangegeven dat de GGD’en risico’s in kaart moesten brengen en waar nodig maatregelen moesten treffen om bestaande (en toekomstige) problemen op te lossen.10
71. Op 12 november 2020 meldde de Volkskrant dat GGD GHOR er al in juni 2020 mee bekend was dat HPZone niet geschikt was voor gebruik in grootschalige epidemieën. Ook de maker van deze software zou dit reeds hebben bevestigd (productie C.5). Niet alleen nieuwsbronnen bevestigen dat HPZone niet geschikt was voor het verwerken van gegevens in deze omvang, GGD GHOR heeft dat zelf toegegeven in haar reactie van 29 januari 2021 (productie F.3).
3.1.2 Risicoanalyses van de getroffen systemen
72. Uit notulen van een stuurgroepvergadering van de Landelijke Coördinatiestructuur Testcapaciteit van 17 december 2020 volgt dat zowel GGD GHOR als het ministerie naar aanleiding van risicoanalyses door KPMG en de Regiegroep DOTT (een in opdracht van de minister opgerichte regiegroep voor Digitale Ondersteuning van de Test- en Traceerketen) toen al op de hoogte waren van "serieuze kwetsbaarheden" in de IT-systemen (productie D.5).
73. De minister informeerde de Tweede Kamer op 24 december 2020 over de “risicoanalyse van de digitale testketen”, die in opdracht van het ministerie, GGD GHOR en het RIVM was uitgevoerd. De risicoanalyse had kwetsbaarheden blootgelegd, onder meer op het gebied van informatiebeveiliging. De risicoanalyse werd op 11 december 2020 in concept opgeleverd, maar is ‘’vanwege veiligheidsredenen’’ niet openbaar gemaakt. De minister gaf in een Kamerbrief aan
10 Kamerstukken II 2020/21, 27 529 en 32 761, nr. 234 (Verslag van een schriftelijk overleg), p. 68, vraag 359 (productie D.2).
dat hij naar aanleiding van de risicoanalyse samen met de ketenpartners onder andere de volgende maatregelen zou nemen om de risico’s te beheersen:11
a) Om het risico op datalekken te minimaliseren zou een beter passend autorisatiebeheer worden ingericht. Hierdoor zou het voor onbevoegde en/of niet-geautoriseerde gebruikers onmogelijk worden gemaakt om toegang te krijgen tot bepaalde gegevens;
b) Er zou hoogwaardige cybersecurity expertise worden ingezet in om de beveiliging van het systeemlandschap te verbeteren en kwetsbaarheden verder uit te sluiten (met name op het gebied van informatiebeveiliging en bescherming van persoonsgegevens);
c) De minister zou de Regiegroep DOTT opdracht geven om samen met de ketenpartners een laagdrempelig incidentproces te formaliseren, zodat de partijen eerder in gezamenlijkheid op de hoogte zouden zijn van incidenten en andere verstoringen, en daar beter en sneller op zouden kunnen reageren.
74. De risicoanalyses bevatten aldus waarschijnlijk relevante informatie over de beveiligingsmaatregelen en kwetsbaarheden in de GGD-systemen.
3.1.3 Berichtgeving door RTL Nieuws en NOS
75. Op 25 januari 2021 berichtte RTL Nieuws dat op chatdiensten als Telegram, Snapchat en Wickr tientallen accounts waren aangetroffen die al maandenlang persoonsgegevens te koop aanboden, afkomstig uit zowel CoronIT als HP Zone Lite. Er zou grootschalig worden gehandeld in miljoenen adresgegevens, telefoonnummers en BSNs. Sommige accounts zouden grote datasets aanbieden met daarin de gegevens van vele tienduizenden personen.
76. RTL Nieuws vroeg bij de handelaren gegevens op van een aantal personen en in alle gevallen ontving zij het juiste woonadres, telefoonnummer, e-mailadres en BSN. Ook heeft RTL Nieuws een dataset ingezien van honderden Nederlanders, illegaal verkregen uit HP Zone Lite. Deze dataset was volgens de aanbieder een voorproefje van de vele duizenden tot tienduizenden personen van wie hij persoonsgegevens kon aanleveren. Er werden zelfs specifieke datasets op aanvraag geleverd, bijvoorbeeld alleen mensen uit Amsterdam of enkel vijftigplussers. Eén van de verkopers zei dat er veel vraag was naar de gegevens. "Ik eet goed broer", vertelde hij in een chatgesprek, ernaar verwijzend dat hij veel geld verdiende met de verkoop van de data. De AP reageerde op vragen van RTL Nieuws dat "Dit zeer kwalijk [is] en mogelijk een ernstig datalek […]. De AP heeft de GGD direct om opheldering geëist. Deze data bevatten naam, adres, woonplaats en telefoonnummers en ook nog eens BSN’s: allemaal actueel en in grote hoeveelheden. Dat is heel veel waard.” De AP gaf aan dat een organisatie nalatig kan zijn als het de gegevens in zijn
11 Kamerstukken II, 2020-2021, 25 295, nr. 843, p. 4 e.v. (productie D.5).
systemen niet voldoende beveiligt: "Dan riskeer je niet alleen een boete van de AP, maar ook bijvoorbeeld massaclaims van slachtoffers." (productie C.6).
77. Op 28 januari 2021 meldde RTL Nieuws dat zij tientallen GGD-medewerkers had gesproken (productie C.8). Uit die gesprekken bleek dat onder andere de organisatorische beveiligingsmaatregelen tekortschoten:
a) Ten eerste bleek uit de gesprekken dat de GGD-medewerkers te ruime toegang hadden tot gegevens: ““Ik heb toegang tot de gegevens uit de coronasystemen van allerlei andere GGD-regio’s waar ik helemaal geen toegang tot zou moeten hebben”, vertelt een werknemer die via een derde partij voor de GGD werkt. “Iedereen zoekt vrienden, familie of bekende mensen op en met de exportknop kon je er tot voor kort alle gegevens uit halen. Het verbaast me niets dat er wordt gehandeld in die privégegevens.”” en ““Bij de instructie van CoronIT werd ook nadrukkelijk gezegd dat je overal bij kunt en of je daar alsjeblieft geen misbruik van wil maken. En het erge is: ik heb voor mijn werk helemaal geen toegang tot die data nodig, maar ik kon echt overal bij.””;
b) Ten tweede bleek dat de medewerkers vaak zonder VOG aan het werk waren: “Meer dan tien medewerkers die RTL Nieuws sprak hebben nooit een VOG ingeleverd of pas maanden nadat zij al aan de slag waren. Opvallend genoeg kreeg een aantal van hen deze week opeens de vraag of ze toch nog een VOG konden inleveren.” en “”Ik heb een sollicitatie van twee minuten gehad, nooit een VOG ingeleverd en mocht gelijk beginnen””;
c) Ten derde bleek dat er onvoldoende toezicht was op het aanmaken van accounts voor de GGD-systemen: “”Ik heb tientallen keren een account laten aanmaken zonder enige controle […]””; en
d) Ten vierde bleek dat er nauwelijks serieuze controles plaatsvonden: “Enkele werknemers vertellen hoe ze eens in de zoveel maanden hun scherm via Microsoft Teams moeten delen om vervolgens de digitale prullenbak te openen. De manager kijkt dan of daar gestolen gegevens uit de coronasystemen in te vinden waren. “Een wassen neus”, wordt het genoemd.”.
78. Ook meldde RTL Nieuws dat de GGD al maanden op de hoogte was van de beveiligingsrisico’s, maar niets had gedaan om de kwetsbaarheden aan te pakken. Daarbij was interne kritiek genegeerd. RTL Nieuws sprak medewerkers die aangaven dat in ieder geval in de zomer van 2020 al interne meldingen waren gedaan.
79. De NOS berichtte op 28 januari 2021 dat het lek in de GGD-systemen al driekwart jaar aanwezig was. Voor medewerkers en extern personeel van de GGD’en was het al sinds de start van het corona-testsysteem mogelijk om met gebruik van de exportfunctie lijsten met geteste mensen
uit te printen. Ook bevatte CoronIT al sinds het begin van de coronapandemie de mogelijkheid om binnen het systeem op een bepaalde persoon te zoeken. Binnen HPZone Lite bestond deze zoekfunctie ook, zo berichtte de NOS. Medewerkers van de GGD konden bij alle dossiers, ook bij dossiers die zij niet toebedeeld hadden gekregen (productie C.9).
3.1.4 De eerste reactie van GGD GHOR
80. XXX XXXX-voorzitter Xxxxx Xxxxxxxx gaf kort na de berichtgeving door RTL Nieuws en de NOS aan dat GGD GHOR al vanaf het begin van de coronapandemie wist dat haar systemen kwetsbaar waren. Hij verklaarde op 29 januari 2021 aan RTL Nieuws het volgende (productie C.10):
“Dat het registratiesysteem van de GGD niet veilig is, was bekend. Dat zegt Xxxxx Xxxxxxx, voorzitter van de landelijke koepel GGD GHOR Nederland. “Vóór corona was dat geen probleem.” […] “ Maar nu maken er duizenden mensen gebruik van, en daar is het systeem niet geschikt voor.” "Het is verschrikkelijk dat dit heeft kunnen gebeuren, dat spijt ons", zegt Xxxxxxx over het lekken van persoonsgegevens uit het GGD-systeem. "We zijn enorm geschrokken dat medewerkers zich hebben laten verleiden om gegevens naar buiten te brengen. De systemen gaven daar ruimte voor, dat trekken wij ons aan."
De GGD-voorzitter stelt dat onder druk van het coronavirus gekozen is om het computersysteem toch te blijven gebruiken. "Tijdens de tweede golf hebben we besloten om door te gaan met dit systeem, om snel te kunnen blijven werken. Dat was een verkeerde keuze, want het was niet veilig genoeg te maken."”
81. Op 12 februari 2021 plaatste GGD GHOR naar aanleiding van het datalek een bericht op haar website waarin zij aangaf hoe betrokkenen een verzoek tot verwijdering van hun gegevens konden doen (productie F.4). Op 23 februari 2021 volgde een bericht met “Veelgestelde vragen over het datalek”. Dit bericht is daarna meerdere keren geüpdatet (producties F.5 t/m F.15). Op de inhoud van deze berichten wordt in de volgende hoofdstukken verder ingegaan.
3.1.5 GGD’en onder verscherpt toezicht van de AP
82. Naar aanleiding van de berichtgeving van Nieuwsuur van 16 september 2020 (randnummer 67) had de AP de GGD’en al uitdrukkelijk gewezen op hun wettelijke verplichting ervoor te zorgen dat de gegevens van betrokkenen goed beveiligd zijn. De AP gaf daarbij aan dat de GGD’en risico’s in kaart moesten brengen en waar nodig maatregelen moesten treffen om bestaande (en toekomstige) problemen op te lossen. In november 2020 nam de AP wederom contact op met de GGD’en, ditmaal in verband met het datalek waarover het Algemeen Dagblad had bericht op 3 november 2020 (randnummer 70). De AP stelde vragen en GGD GHOR kondigde maatregelen
aan, die eind 2020/begin 2021 ingevoerd zouden worden (productie C.3). Na de onthullingen door RTL Nieuws in januari 2021 verscherpte de AP het toezicht op de GGD’en (productie C.11).12
3.1.6 Kamerdebat
83. Op 29 januari 2021 zijn door de Tweede Kamer een groot aantal schriftelijke vragen gesteld, die op 2 februari zijn beantwoord (productie D.2). Het merendeel van de vragen zag op de vraag hoe het GGD-datalek heeft kunnen plaatsvinden. Zo werd onder meer gevraagd naar hoe GGD- medewerkers gescreend werden, hoe de toegang tot de (functionaliteiten in de) systemen door medewerkers was ingericht, welke andere (beveiligings)maatregelen genomen waren en wat de gevolgen van het datalek konden zijn. Voor wat betreft de omvang en de feitelijke gang van zaken verwees de minister naar het politieonderzoek, dat ten tijde van de beantwoording van de vragen nog niet afgerond was. Voor het overige verwees de minister voornamelijk naar wat GGD GHOR hem had medegedeeld over het datalek. Enkele van de belangrijkste conclusies waren dat de screening niet altijd volledig was afgerond voordat medewerkers aan het werk gingen, dat de toekenning van rechten aan medewerkers te ruim was, dat de logging tekortschoot en dat de controle daarvan niet geautomatiseerd maar slechts steekproefsgewijs plaatsvond.
84. Op 2 februari 2021 voorzag de minister de Tweede Kamer in een Kamerbrief van de laatste stand van zaken (productie D.3). De minister opent door op te merken dat mensen er te allen tijde op moeten kunnen vertrouwen dat medische gegevens veilig worden gedeeld en bewaard, juist nu deze gegevens privacygevoelig van karakter zijn. Het GGD-datalek noemt hij dan ook betreurenswaardig en zeer ernstig. In de Kamerbrief erkent de minister onder meer dat de GGD’en niet voldeden aan de laatste NEN-normen en dat de toegang tot print- en exportfuncties in de systemen niet beperkt was tot de medewerkers die deze functies daadwerkelijk nodig hadden voor hun werkzaamheden. Logbestanden werden niet geautomatiseerd gecontroleerd. Ten aanzien van de screening van GGD-medewerkers beschrijft de minister verschillende voorzorgsmaatregelen die genomen werden, zoals het laten tekenen van een geheimhoudingsverklaring en het vragen van een VOG, maar geeft hij ook aan dat het mogelijk was om in afwachting van een VOG al aan het werk te gaan bij een GGD. De focus lag op de functionaliteit van de systemen, maar naar bleek onvoldoende op privacy en datagevoeligheid, zo schrijft de minister. In een kort feitenrelaas bespreekt de minister onder meer dat al eerder, namelijk in september 2020, signalen bestonden dat GGD-medewerkers inzage hadden in alle persoonsgegevens die in de systemen waren opgeslagen.
85. Op 3 februari 2021 vond een Kamerdebat plaats. In de kern ging het debat over de vraag hoe het GGD-datalek heeft kunnen plaatsvinden, welke signalen er al bestonden en wat er moest gebeuren om verdere diefstal van gegevens te voorkomen. Andere belangrijke zaken die aan de
12 Zie ook Kamerstukken II 2020/21, 27 529 en 32 761, nr. 234 (Verslag van een schriftelijk overleg), p. 66, vraag 349 (productie D.2).
orde kwamen waren de slachtoffers van het datalek en het herstel van het vertrouwen van burgers.13
86. Tijdens het debat verweten verschillende Kamerleden de minister dat hij misplaatst reageerde op het datalek, met “volstrekte onderschatting” van het probleem en het gemakzuchtig wegwuiven van zorgen:
“Mevrouw Xxxxxx (GroenLinks):
[…]
"Ja, jongens, zo werkt het nu eenmaal." Dat was de reactie van de minister tijdens het vragenuurtje vorige week, toen mijn collega Buitenweg aandrong op een antwoord op de vraag of het klopte dat duizenden medewerkers — we begrijpen nu uit de brieven dat het om tienduizenden medewerkers gaat — toegang hebben tot gevoelige informatie van miljoenen Nederlanders. "Zo werkt het nu een maal." Die houding is wat ons betreft precies het probleem, want zo hoeft het natuurlijk helemaal niet te werken, als je privacy by design als uitgangspunt neemt en als je basisprincipe bij het ontwerp van al je IT-systemen is dat zo min mogelijk medewerkers toegang hebben tot zo min mogelijk informatie om het werk toch goed te kunnen blijven doen. Want waarom zou een callcentermedewerker alle mensen die getest worden op moeten kunnen zoeken? Waarom zou iemand die bron- en contactonderzoek doet en dus mensen belt met de vraag met wie ze contact hebben, ook de gegevens van 100 mensen moeten kunnen uitprinten of downloaden? Dat is onnodig en risicovol.”14
87. Bovendien uitten Kamerleden hun zorgen over het beschadigde vertrouwen van burgers in hoe de overheid met hun gegevens omgaat en de mogelijke gevolgen die dat kan hebben voor de bestrijding van de coronapandemie. Bovendien lopen burgers grote risico’s, nu hun gegevens voor tienduizenden medewerkers van de GGD’en inzichtelijk waren:
“Xxxxxxx Xxxxx (PVV):
Een open deur roept den dief" is een spreuk van de bekende Nederlandse dichter en politicus Xxxxx Xxxx uit 1632. Hoe toepasselijk in de kwestie die wij hier vandaag bespreken en hoe jammer dat deze spreuk niet gebeiteld staat in de gevel van het Catshuis, waar het kabinet met enige regelmaat de coronaplannen bespreekt. Want zo is het toch in feite? Binnen het systeem voor het testbeleid stonden alle deuren wagenwijd open. Geen deur zat op slot. Je hoefde zelfs niet aan te kloppen. Iedereen kon overal naar binnen. Niemand controleerde wie er in- of uitging en wat er meegenomen werd. Zo kon het gebeuren dat dieven maandenlang hun gang konden gaan.
Wat betekent het als je identiteit gestolen wordt? De dief verpatst je identiteit voor een paar tientjes en criminelen bestellen vervolgens spullen op jouw naam, vragen in jouw naam een toeslag aan, sluiten in jouw naam abonnementen af of troggelen je geld af via jouw whatsapp. […]”15
13 Handelingen II 2020/21, nr. 52, item 3 en item 6 (Privacylek in de systemen van de GGD, gecorrigeerd stenogram) (producties D.1A en D.1B).
14 Handelingen II 2020/21, nr. 52, item 3 (Privacylek in de systemen van de GGD, gecorrigeerd stenogram), p. 4 (productie D.1A).
15 Handelingen II 2020/21, nr. 52, item 3 (Privacylek in de systemen van de GGD, gecorrigeerd stenogram), p. 13 (productie D.1A).
88. In de tweede termijn van het debat zette de minister een aantal zaken recht waarover hij de Kamer onjuist, dan wel niet nauwkeurig, geïnformeerd had. Zo had de minister tegen de Kamer gezegd dat “tegen een misdrijf geen kruid gewassen is”:
“Tot slot mijn uitspraak — ik denk eerlijk gezegd dat die nog het meest steekt bij Kamerleden, en zo heb ik u ook gehoord in de eerste termijn — dat tegen een misdrijf, een misdaad, geen kruid gewassen is. Nu ik in de afgelopen dagen alles goed op een rij heb gezet, wat er wanneer bekend was, wat er aan voorgenomen acties wel is uitgevoerd en nog niet is uitgevoerd, moet je op z'n minst zeggen: er was wel meer kruid tegen gewassen geweest. Zoals de voorzitter van de GGD zelf ook zei: gelegenheid maakt de dief. Xxxxxxx Xxxxx had een citaat van Xxxxx Xxxx. Misschien had ik dat citaat daar ook bij moeten gebruiken, want inderdaad, als je de gelegenheid zo duidelijk biedt, dan is het nog steeds een misdrijf, en uiteindelijk is tegen een misdrijf ook geen kruid gewassen, maar hier was wel veel meer kruid tegen gewassen geweest. Ik hecht eraan om dat voorafgaand aan het debat recht te zetten in de richting van uw Kamer, voorzitter.”16
89. Bovendien erkende de minister dat er al eerder signalen waren dat medewerkers mensen konden opzoeken in de GGD-systemen. Daarbij gaf de minister aan dat de systemen “natuurlijk niet allemaal vanaf het begin fit for purpose waren”. Dat maakte dan ook dat de minister eind 2020 opdracht had gegeven voor een risicoanalyse. Volgens de minister bevatte het signaal van RTL Nieuws vergelijkbare observaties als die al uit de risicoanalyse waren gebleken.
90. In gesprekken met de GGD’en was volgens de minister voornamelijk de snelheid van de systemen onderwerp van gesprek, privacy was daarbij een onderbelicht thema:
“Ja, dat is zo. Dat is zeker zo. Dat geldt voor die twee systemen natuurlijk enigszins verschillend. Bij HPZone kun je zeggen dat dat in de oorsprong — dat systeem is in 2003 ontwikkeld en wordt door bijna alle GGD'en gebruikt — nooit bedoeld is geweest voor dit type gebruik. HPZone is bedoeld geweest voor een exquise club van artsen infectie- ziektebestrijding, een kleine club die daarvan gebruikmaakt, met alle waarborgen van dien. Het is nooit bedoeld voor duizenden bron- en contactonderzoekers, ook van buiten, die in het systeem zouden kunnen. Daarvoor is het systeem überhaupt niet geschikt geweest. Bij CoronIT is er wel degelijk, ook vanaf het begin, aandacht geweest voor privacy. Ik zeg niet dat het een uitruil is tussen het een of het ander. Ik zeg ook niet dat het een tegenstelling is. Ik zeg wel het volgende. Als ik terugkijk naar waarover het departement met de GGD het meest heeft gesproken met betrekking tot CoronIT of überhaupt testen en traceren, dan was dat over: kan het sneller, kan er meer, kan het beter et cetera? Dat was dus veel meer de inhoud van het gesprek dan de privacy.”17
91. De minister gaf daarbij aan dat hij als opdrachtgever van XXX XXXX en de GGD’en betere en eerdere opvolging had moeten geven aan de ontvangen signalen en de acties die daarop wel en niet waren genomen.
16 Handelingen II 2020/21, nr. 52, item 6 (Privacylek in de systemen van de GGD, gecorrigeerd stenogram), p. 4 (productie D.1B).
17 Handelingen II 2020/21, nr. 52, item 6 (Privacylek in de systemen van de GGD, gecorrigeerd stenogram), p. 6 (productie D.1B).
92. In het debat gaf de minister aan dat over de omvang van het datalek nog weinig concreets kon worden gezegd, nu dat zou moeten blijken uit het politieonderzoek. De minister gaf wel aan dat de GGD’en aansprakelijk zijn voor schade die voortvloeit uit het datalek, waar nodig met ondersteuning van het ministerie van VWS:
“Er is ook gevraagd: zou je dan ook kunnen compenseren? Ik dacht dat 50PLUS dat gevraagd heeft, maar ook de VVD, de SGP, het CDA en de PVV. Wie compenseert de schade en zorgt er voor juridische bijstand? De GGD is natuurlijk aan zet, want het is gewoon wettelijk verplicht om te informeren. Maar als er sprake is van schade die zou voortvloeien uit het datalek, is de GGD daar op dat moment ook voor aansprakelijk. En als de GGD daarbij ondersteuning nodig heeft vanuit VWS, zal ik die natuurlijk geven. Dus in formele zin is het de GGD, maar als er sprake zou zijn van noodzaak tot ondersteuning, zullen we dat natuurlijk doen.”18
93. In deze Dagvaarding zal voor de feitelijke onderbouwing van de vorderingen van Stichting ICAM onder meer worden verwezen naar hetgeen de minister – op basis van informatie van XXX XXXX
– in de verschillende Kamerstukken heeft verklaard.
3.1.7 Xxxxxx Xxxxxxxxxxx
00. Naar aanleiding van het Kamerdebat zijn door verschillende Kamerleden moties ingediend (productie D.10).
95. Xxx Xxxxx c.s. wezen erop dat criminelen misbruik kunnen maken van de gegevens die gelekt zijn uit de systemen van de GGD. Zo kunnen zij onder meer leningen en telefoonabonnementen afsluiten met deze gegevens. Dat kan veel financiële en persoonlijke schade aanrichten bij de betrokkenen. Het was volgens van Brenk c.s. voor criminelen “kinderlijk eenvoudig” om de persoonsgegevens van grote groepen mensen te verkrijgen door de slechte ICT-inrichting. De overheid is door die inrichting dan ook medeverantwoordelijk voor de veroorzaakte schade en moet alles op alles zetten om de geleden schade te vergoeden.
96. Kröger c.s. benadrukten dat tekortkomingen in de systemen van de GGD aan de basis liggen van dit omvangrijke lek van gevoelige persoonsgegevens. Privacy-by-design was wel een uitgangspunt dat aan de ontwikkelaar van het systeem CoronIT was meegegeven, maar toch voldeed het systeem niet aan de privacy-by-designnormen. Kröger c.s. verzochten de regering dan ook om een duidelijk pakket van eisen samen te stellen met betrekking tot deze normen, dat publieke en semipublieke organisaties kunnen gebruiken bij aanbestedingen van hun digitale systemen. Zo moet ervoor worden gezorgd dat deze principes ook echt centraal staan.
18 Handelingen II 2020/21, nr. 52, item 6 (Privacylek in de systemen van de GGD, gecorrigeerd stenogram), p. 19 (productie D.1B).
97. Xxx Xxxx onderstreepte dat GGD GHOR niet voldoet aan NEN 7510, de staande norm voor informatiebeveiliging in de zorg, en dat de zorgsector al jarenlang de sector is met de meeste datalekken en ICT-systemen structureel niet op orde blijken.
98. Xxxxx gaf aan dat het datalek terecht voor zorgen, onrust en wantrouwen zorgt bij de bevolking. Ten tijde van de motie hadden zich al 40 mensen gemeld bij de Fraudehelpdesk inzake het GGD- datalek. Xxxxx verzocht de regering met een plan te komen om dataschade te voorkomen en herstellen.
99. Tot slot wezen Van den Berg c.s. erop dat het datalek bij de GGD duidelijk maakte dat GGD GHOR het ICT-beleid niet op orde heeft. Er bleek geen centraal geleide ICT-aanpak bij de GGD’en te zijn.
3.1.8 Onderzoek door GGD GHOR en de politie
100. GGD GHOR heeft door cybersecuritybedrijf Fox-IT onderzoek laten uitvoeren naar het GGD- datalek. Hoewel de bevindingen in het rapport van Fox-IT waarschijnlijk van groot belang zijn voor het vaststellen van de ernst en omvang van het GGD-datalek, en daarmee voor de Gedupeerden en voor de maatschappij als geheel, is het rapport niet openbaar gemaakt of aan Stichting ICAM c.s. verstrekt, ondanks herhaalde verzoeken daartoe.
101. GGD GHOR heeft op 22 januari 2021 bij de politie aangifte gedaan van de datadiefstal uit de GGD- systemen, nadat haar bekend werd dat op Telegram persoonsgegevens uit de GGD-systemen verkocht werden. Het cybercrimeteam van de politie Midden-Nederland heeft na de aangifte van GGD GHOR een onderzoek ingesteld. Dat leidde een dag later tot de aanhouding van twee verdachten en uiteindelijk zijn er in totaal acht verdachten aangehouden, zo berichtte GGD GHOR op 5 april 2022 (productie F.19). De gepubliceerde strafvonnissen worden overgelegd als producties J.1 tot en met J.5.
102. Aanvankelijk liet GGD GHOR op 19 maart 2021 weten dat uit het politieonderzoek was gebleken dat de persoonsgegevens van ongeveer 1.000 personen daadwerkelijk online te koop waren aangeboden (productie F.10). Bijna vier maanden later stelde XXX XXXX dit aantal bij naar circa
1.250. Deze mensen zouden allemaal een excuusbrief van de GGD hebben ontvangen (productie
F.14 en F.20). Zij kondigde aan een financieel gebaar richting deze gedupeerden te willen maken (paragraaf 3.1.12).
3.1.9 Onderzoek Autoriteit Persoonsgegevens
103. Naar aanleiding van het GGD-datalek heeft de AP aangekondigd het toezicht op de GGD’en te intensiveren en heeft zij onderzoek gedaan. De AP heeft onderzocht of door GGD GHOR en twee onderzochte GGD’en passende technische en organisatorische maatregelen waren getroffen om de persoonsgegevens die worden verwerkt in het kader van het testen, vaccineren en BCO passend te beveiligen. In het onderzoek van de AP, waarover op 8 november 2021 een brief is
gestuurd naar GGD GHOR en de GGD’en, is vastgesteld dat er na het datalek weliswaar maatregelen zijn getroffen, maar dat de beveiliging op dat moment nog steeds onvoldoende was (productie K.1).
104. De AP heeft in het bijzonder onderzocht of voldoende verbetermaatregelen zijn getroffen met het oog op toegangsbeveiliging, verleende autorisaties en autorisatiebeheer, logging van de gebruikte systemen, controle op deze logging en om ongeoorloofd exporteren/printen van persoonsgegevens uit de systemen te voorkomen.
105. De AP heeft met name gewezen op de risico’s die verband houden met het grote aantal partijen dat betrokken is bij de verwerking van persoonsgegevens. Volgens de AP zijn er geen duidelijke afspraken tussen de betrokken organisaties. De AP heeft vastgesteld dat dit in het bijzonder geldt ten aanzien van het autorisatiebeheer en de controle van logbestanden. Volgens de AP is als gevolg hiervan onvoldoende duidelijk wie waarvoor verantwoordelijk is en wie welke maatregelen in dit verband dient te treffen. De AP concludeerde dat dit de kans op nieuwe tekortkomingen in de beveiliging van persoonsgegevens vergroot. De AP heeft GGD GHOR en de GGD’en daarom opgedragen om onderling en met de betrokken partijen duidelijke afspraken over informatiebeveiliging te maken, vast te leggen en actueel te houden.
106. Ten aanzien van de vervanging van HPZone (Lite), heeft de AP benadrukt dat reeds bij de ontwikkeling en implementatie van een nieuw systeem de logging en de controle op de logging goed moet worden ingericht zodat regelmatige controle van de logbestanden is verzekerd. Ook benadrukt de AP dat van meet af aan secuur moet worden gekeken naar welke gebruikers welke functionaliteiten nodig hebben en dat autorisaties daarmee in lijn moeten worden gebracht. Ook moet aandacht worden besteed aan de risico’s voor de bescherming van persoonsgegevens die gepaard kunnen gaan met een ruime zoekfunctionaliteit.
107. De AP heeft aan GGD GHOR aangegeven geen handhavingstraject op te starten, maar wel gevraagd om een voortgangsrapportage op te leveren. Deze rapportage zou eind februari 2022 aan de AP zijn verstrekt (productie K.26).
3.1.10 Datalek groter dan toegegeven
108. RTL Nieuws meldde op 12 augustus 2021 dat de datadiefstal veel meer mensen had getroffen dan het aantal gedupeerden dat GGD GHOR publiekelijk heeft gemeld. RTL onderzocht dit door willekeurig contact op te nemen met een tiental gedupeerden, afkomstig uit één van de datasets die RTL in januari 2021 van criminelen ontving. Deze databestanden bevatten de persoonsgegevens van circa 600 personen, en waren volgens de criminelen die deze datasets aanboden slechts een voorproefje van de gegevens van tienduizenden personen die konden worden geleverd.
109. Geen van de personen waarmee RTL contact opnam bleek een excuusbrief van de GGD te hebben ontvangen of op andere wijze te zijn geïnformeerd. Aldus RTL bestaat hierdoor voldoende aanwijzing dat het aantal gedupeerden van wie gegevens werden gestolen en mogelijk verhandeld, veel hoger ligt dan de 1.250 die een excuusbrief ontvingen. De GGD had maanden na het datalek nog steeds geen goed beeld van hoe groot de datadiefstal echt is, zo schreef RTL (productie C.17).
“De datadiefstal bij de GGD treft veel meer mensen dan het aantal gedupeerden dat de organisatie publiekelijk meldt. […] het daadwerkelijk aantal gedupeerden is echter veel groter, en de GGD heeft na maanden nog geen goed beeld van hoe groot de datadiefstal nu echt is, blijkt uit onderzoek van RTL Nieuws. […] RTL Nieuws heeft willekeurig verschillende mensen opgebeld van wie hun gegevens door criminelen te koop zijn aangeboden. Deze gegevens zijn afkomstig uit twee coronasystemen van de GGD: CoronIT, dat wordt gebruikt voor testen en vaccinaties, en HPZone Lite, het systeem dat wordt gebruikt voor het bron- en contactonderzoek. De personen zijn allemaal niet door de GGD geïnformeerd over dat hun gegevens uit de systemen van de GGD zijn gestolen en mogelijk verhandeld. […] De databestanden, met in totaal de privégegevens van zo’n 600 personen, waren volgens de aanbieders een voorproefje van de vele duizenden tot tienduizenden personen die konden worden geleverd.”
110. Naar aanleiding van dit bericht zijn Kamervragen gesteld die op 13 september 2021 door de minister zijn beantwoord (productie D.11). In zijn beantwoording gaf de minister aan dat hij contact heeft opgenomen met XXX XXXX. GGD GHOR heeft daarop aangegeven dat uit onderzoek niet is gebleken dat de datadiefstal groter is dan gemeld, of dat er gedupeerden niet zijn geïnformeerd. GGD GHOR geeft aan niet te kunnen vaststellen of de personen die door RTL zijn benaderd daadwerkelijk niet geïnformeerd zijn, omdat RTL de bestanden op journalistieke gronden niet wilde delen en stelde deze inmiddels te hebben verwijderd.
111. Op de vraag hoe het komt dat GGD GHOR onvoldoende in kaart heeft van welke mensen de gegevens zijn gestolen, antwoorde de minister dat GGD GHOR door externe partijen onderzoek heeft laten doen naar de datadiefstal. Uit die onderzoeken zouden geen aanwijzingen naar voren zijn gekomen dat de datadiefstal groter zou zijn dan gemeld. De politie heeft aan GGD GHOR de bestanden die zijn aangetroffen bij verdachten doorgegeven aan GGD GHOR. Op basis van die informatie zijn circa 1.250 mensen door GGD GHOR geïnformeerd.
112. In de FAQ op de website van XXX XXXX schrijft zij over dit onderwerp het volgende (productie F.15):
“Tot op heden, meer dan een jaar na de vermeende datadiefstal, is uit politieonderzoek gebleken dat de gegevens van circa 1.250 personen onbevoegd zijn ingezien, gestolen en mogelijk verkocht. Het gaat om gegevens van personen die bij een GGD een coronatest hebben laten doen of zich bij een GGD hebben laten vaccineren. Deze persoonsgegevens betreffen onder meer naam, adres, telefoonnummer(s), e-mailadres, Burgerservicenummer (BSN), nationaliteit en geboortedatum. De personen van wie deze data zijn gestolen, zijn via een brief door ons geïnformeerd. Voor de vermeende (grootschalige) handel in data uit de coronasystemen is geen bewijs gevonden.
[…]
Tot nu toe is uit politieonderzoek alleen gebleken dat er uit CoronIT gegevens gestolen zijn. Dit is het administratiesysteem voor het testen en vaccineren en de communicatie hierover. Dus wanneer u een afspraak maakt voor een corona-test via het callcenter, de corona-test website of een arts, komen uw persoonsgegevens in CoronIT. Ook, wanneer u een afspraak maakt voor een vaccinatie. […]
We hebben vernomen dat datasets worden aangeboden, maar hebben nog niet kunnen vaststellen dat ze feitelijk verhandeld zijn. Een jaar na dato heeft de politie dat ook niet vast kunnen stellen. Uit politieonderzoek is alleen gebleken dat de gegevens van circa 1.250 personen onbevoegd zijn ingezien, gestolen en mogelijk verkocht.”
113. GGD GHOR geeft dus enkel aan dat zij niet heeft kunnen vaststellen dat grote datasets onbevoegd zijn geëxporteerd uit de GGD-systemen waaronder uit HPZone Lite. Zij blijft echter stil over de vraag of zij kan uitsluiten dat dat gebeurd is (zie ook paragraaf 3.4).
114. Uit een notitie van de GGD Rotterdam-Rijnmond en de daarbij behorende presentatie blijkt dat de GGD er in februari 2021 wel van uitging dat sprake was geweest van “grootschalige downloads van persoonsgegevens” uit HPZone Lite (productie G.39). Ook KPMG – dat ook betrokken was bij eerdere risicoanalyses en dat een audit heeft uitgevoerd na het GGD-datalek (paragraaf 1.2.3 en producties G.56 en G.57) – meldt in haar privacy-onderzoek van oktober 2021 dat gegevens zijn buitgemaakt uit HPZone Lite en dat gegevens van miljoenen Nederlanders in handen kwamen van kwaadwillenden, die deze via internet doorverkochten (productie K.2, p. 6):
“Zo blijkt 83% op de hoogte van het grote datalek bij de GGD, dat eind januari 2021 bekend werd. Het administratiesysteem voor het test- en vaccinatieproces en de communicatie hierover werd gehackt en ook werden persoonsgegevens rondom het bron- en contactonderzoek van de GGD buitgemaakt. Privégegevens van miljoenen Nederlanders kwamen hierdoor in handen van kwaadwillenden, die de data via internet doorverkochten.”
115. Ook reeds uit het eerste onderzoek van RTL in januari 2021 kon dit worden afgeleid (zie ook paragraaf 3.4). Zo blijkt uit screenshots die in dat artikel werden gedeeld dat RTL grote databestanden aangeleverd had gekregen en niet enkel screenshots van CoronIT (productie C.6):
3.1.11 Brief van een anonieme ambtenaar
116. Op 23 december 2022 ontving Stichting ICAM een brief van een anonieme ambtenaar, waarschijnlijk bij het ministerie van VWS. In de brief geeft de ambtenaar aan dat het bij het ministerie al in de zomer van 2020 bekend was dat de GGD-systemen “zo lek waren als een mandje”. Waarschuwingen hierover werden genegeerd, volgens de ambtenaar mede vanwege persoonlijke belangen van bepaalde personen bij het ministerie (productie K.23):
#,
“De ClO van het ministerie van VWS wist al in de zomer van 2020 dat de systemen van de GGD niet goed beveiligd waren. Dit is hem verteld door de experts die werkten aan de app GGDContact. Dit zijn grotendeels de zelfde mensen die de coronamelder-app hebben gemaakt. De cio van het ministerie van VWS is , de experts die hem hierop wezen zijn onder andere
en .
Op basis van deze informatie is besloten om tussen de app GGDContact en de GGD systemen extra beveiliging in te bouwen. Zo werd gezorgd dat het lek (dat iedereen wist dat zou komen) in de GGD systemen zou komen en niet in de app die het ministerie heeft gemaakt. […]
#
Zo’n beetje iedereen die werkte aan de corona-apps wist dit al in de zomer. Over de GGD-systemen sprak iedereen als ‘zo lek als een mandje’. De rechterhand van , mevrouw , heeft in ieder geval één keer gezegd dat zij vond dat de ClO moest ingrijpen, maar hij wilde dat niet.
Zij is kort daarna vertrokken. Vogens de geruchten met ruzie met . Mevrouw werkt er nog wel en die was er ook bij. Zij moet dit dus ook weten.
Door niet in te grijpen heeft de cio van VWS toe gestaan dat er persoonsgegevens zijn gelekt. Hij heeft daarna gebruik gemaakt van de problemen bij de GGD om zelf een goede positie te krijgen. Door zijn hulp aan te bieden om te problemen bij de GGD op te lossen heeft hij zijn eigen status vergroot terwijl hij dus al lang wist dat de systemen erg slecht waren beveiligd!
Het ministerie van vws liegt dus. hoewel ik niet weet of minister de Jonge weet dat hij liegt.”
3.1.12 Financieel gebaar
117. Op 25 april 2022 heeft GGD GHOR de circa 1.250 mensen van wie de politie gegevens heeft gevonden tijdens het onderzoek een brief gestuurd, waarin hen een vergoeding van € 500,- werd aangeboden voor geleden ongemak (productie F.21). Indien de gedupeerde het aanbod accepteerde, diende deze – zo blijkt uit de standaardantwoordbrief die moet worden ingevuld - aan GGD GHOR, de GGD’en en andere overheidsinstanties finale kwijting te verlenen:
“Dit betekent dat u ermee akkoord gaat dat wij tegenover u geen verplichtingen meer hebben die te maken hebben met de datadiefstal uit de coronasystemen van de GGD. Dit geldt dan voor verplichtingen van GGD GHOR Nederland, de GGD’en of andere overheidsinstanties (zoals de gemeente of de landelijke overheid”
118. De Staat c.s. menen dus kennelijk dat het gerechtvaardigd is om Gedupeerden een vergoeding aan te bieden op basis van het enkele feit dat hun persoonsgegevens zijn gestolen. Van enig daadwerkelijk misbruik van de gegevens - in de zin dat de betreffende Gedupeerden daadwerkelijk vermogensschade hebben geleden ten gevolge van bijvoorbeeld phishing – is immers ook ten aanzien van deze Gedupeerden niet gebleken.
119. De formulering van de finale kwijting biedt overigens ruimte om ook vorderingen in te stellen namens de Gedupeerden die deze finale kwijting hebben verleend (zie paragraaf 9.1.3.1).
3.2 Getroffen softwaresystemen
3.2.1 CoronIT
120. CoronIT is het administratiesysteem waarin corona test- en vaccinatieafspraken worden gemaakt en waarvandaan uitslagen worden teruggekoppeld aan mensen die getest zijn.19
121. De minister heeft XXX XXXX opdracht gegeven "tot gezamenlijke ontwikkeling, implementatie en ondersteuning” van CoronIT, zo blijkt uit de betreffende opdrachtovereenkomst (productie K.5, zie ook productie G.1, p. 5 e.v.).
122. De minister heeft bij de opdrachtverlening aan GGD GHOR specifieke aanwijzingen en instructies gegeven met betrekking tot de (door)ontwikkeling en inrichting van CoronIT, waaronder met betrekking tot het geautomatiseerd (per-email) bevestigen van afspraken, het delen van uitslagen met betrokkenen, het doorsturen van gegevens naar de systemen Infectieziektebestrijding van de GGD'en (o.a. HPZone (Lite)) in het geval van een positieve test en het ontwikkelen van een koppelplatform gericht op gegevensuitwisseling met alle betrokkenen stakeholders. De minister heeft XXX XXXX in dat verband ook opdracht gegeven tot het
19 Kamerstukken II 2020-2021, 27 529, nr. 235, p. 1 (productie D.3).
"aansluiten van alle GGD'en op CoronIT". Fase 2 van de opdracht, de doorontwikkeling, omvatte
daarnaast ook de ontwikkeling van “data exports en rapportages” (productie K.5, artikel 1.2).
123. CoronIT is in opdracht van GGD GHOR vervolgens ontwikkeld en geleverd door IT-bedrijf Topicus.20 Vanaf mei 202021 is CoronIT stapsgewijs in gebruik genomen. De minister heeft alle GGD’en uitdrukkelijk gevraagd CoronIT te implementeren (productie G.1, p. 3).
124. Wanneer een afspraak wordt gemaakt voor een coronatest via het callcenter, de corona- testwebsite of een arts, worden persoonsgegevens in CoronIT opgenomen. Dit geldt ook wanneer een afspraak wordt gemaakt voor een vaccinatie (productie F.15, p.4). Het proces wordt in de landelijke CoronIT-referentie-DPIA als volgt beschreven (productie G.1):
“Om te zorgen dat het testproces van COVID-19 en de verstrekking van de daaruit volgende uitslag centraal, automatisch, versneld en eenvoudig verloopt, is CoronIT (een webapplicatie) ontwikkeld. In de webapplicatie worden door de aanvrager (bedrijfsarts, instellingsarts, GGD medewerker) of de betrokkene zelf (via een callcenter of portaal) de persoonsgegevens die noodzakelijk zijn voor het testen van de betrokkene ingevuld en wordt vervolgens een afspraak gepland. Aanvullende gegevens worden ingevuld als de betrokkene dit wenst. De gemaakte afspraak wordt automatisch bevestigd aan de betrokkene en voor de afspraak plaatsvindt bevestigd via e-mail en SMS, indien van toepassing ontvangt betrokkene 48 uur voor de afspraak een SMS ter herinnering. De betrokkene wordt getest bij een teststraat van de GGD. Hier worden de door de aanvrager ingevulde gegevens gecontroleerd, waarna bij de betrokkene een monster wordt afgenomen. Het afgenomen monster van de betrokkene wordt door de GGD naar het laboratorium gestuurd. Het betreft hier laboratoria waarmee de GGD (via de Dienst Testen van VWS) afspraken heeft gemaakt inzake het opsturen van monsters. Na ontvangst, worden de monsters door het laboratorium getest en worden de daaruit volgende uitslagen in CoronIT geladen. De aanvrager kan inloggen in de webapplicatie CoronIT om de uitslag te raadplegen. De betrokkene krijgt de uitslag van de test telefonisch via het callcenter of de aanvrager en kan deze inzien via het beveiligde portaal dat is opgezet.”
125. De minister heeft XXX XXXX daarnaast, op grond van een daartoe gesloten dienstverleningsovereenkomst, de opdracht verleend tot "het tot stand brengen en in stand houden van een klantcontactcenter ten behoeve van het maken van afspraken voor het laten uitvoeren van testen ter bestrijding van Covid-19" (productie K.6).
126. Volgens GGD GHOR hadden de 25 GGD’en en een aantal landelijke partners toegang tot CoronIT en waren zij gemachtigd accounts aan te maken en gegevens te lezen of toe te voegen.22 De landelijke partners betroffen op 29 januari 2021 Teleperformance, het Rode Kruis, SOS International, Roamler, Unique en Yacht voor het Landelijk Serviceloket Testen en kort daarvoor ook de Stichting NLOM van VNOW/NCW.
20 Kamerstukken II 2020-2021, 27 529, nr. 234, p. 14 (productie D.2).
21 Kamerstukken II 2020-2021, 27 529, nr. 235, p. 7 (productie D.3).
22 Kamerstukken II 2020-2021, 27 529, nr. 234, p. 30 (productie D.2).
127. Medewerkers die betrokken zijn bij testen en vaccineren hebben toegang tot persoonsgegevens in CoronIT (productie F.15).23 Medewerkers van het callcenter die telefoontjes ontvangen kunnen via CoronIT testafspraken en vaccinatieafspraken maken, waarbij onder andere NAW- gegevens, BSN en contactgegevens worden geraadpleegd en vastgelegd. Verder kunnen medewerkers die uitgaande telefoontjes plegen de testuitslagen zien, zodat ze die kunnen meedelen (productie F.15). Samen met de medewerkers van gecontracteerde partijen gaat het volgens GGD GHOR om ongeveer 35.000 personen (productie F.15). 24
3.2.2 HPZone (Lite)
128. HPZone is een IT-systeem dat wordt gebruikt voor infectieziektebestrijding van alle typen infectieziekten. Het wordt al sinds 2003 door IT-bedrijf inFact geleverd aan 23 van de 25 GGD'en.
129. Het bron- en contactonderzoek in verband met corona wordt door de GGD’en uitgevoerd in opdracht van het ministerie.25 Het ministerie heeft GGD GHOR opdracht gegeven uitvoering te geven aan de nationale opschaling van BCO in verband met corona. Meer specifiek: het realiseren van ondersteuning voor het telefonisch BCO, het opleiden van de personen die deze ondersteuning gaan verrichten en het coördineren van deze ondersteuning bij het uitvoeren van BCO. In dit verband is besloten HPZone ook in te zetten voor de bestrijding van corona. Omdat hiervoor een veel groter aantal personen toegang zou krijgen tot het systeem, is in juni 202026 HPZone Lite ontwikkeld. De toevoeging “Lite” verwijst naar het feit dat medewerkers die het systeem gebruiken, uitsluitend toegang hebben tot coronadata en niet tot data in verband met andere infectieziektes (productie F.15).
130. Gelet op haar opdracht van het ministerie, heeft GGD GHOR het volledige beheer van HPZone overgenomen van de vereniging FBEI. De hosting van HPZone (Lite) is eind 2020 overgegaan. GGD GHOR heeft daartoe een contract met KPN overgenomen en voert daarop ook het accountmanagement uit. GGD GHOR heeft daarnaast het accountmanagement met inFact op zich genomen om de prioritering van de gewenste aanpassingen in HPZone in één hand te beleggen met het oog op de pandemiebestrijding (productie G.6). Pas ergens in of na februari 2021 hebben GGD GHOR en de GGD’en, op basis van de opdracht van het ministerie (zie boven en overweging 3 van het convenant), een convenant gegevensuitwisseling gesloten voor de landelijke inzet van BCO en het gebruik van HPZone Lite (productie G.53). Wanneer dit convenant exact is getekend en wat de definitieve versie daarvan is, is Stichting ICAM niet bekend.
131. De minister heeft XXX XXXX in dit verband voorts opdracht gegeven "tot het realiseren van digitale randvoorwaarden, waaronder het ontwikkelen en implanteren van digitale ondersteuningsmiddelen voor het bron- en contactonderzoek in de vorm van ‘apps’
23 Kamerstukken II 2020-2021, 27 529, nr. 234, p. 70 (productie D.2).
24 Kamerstukken II 2020-2021, 27 529, nr. 234, p. 70 (productie D.2).
25 Kamerstukken II 2020-2021, 27 529, nr. 234, p. 57 (productie D.2).
26 Kamerstukken II 2020-2021, 27 529, nr. 235, p. 1 (productie D.3).
(CoronaMelder en Thuisrapportage app), deze in lijn te brengen met de werkprocessen van de GGD en het beheer van het registratiesysteem voor infectieziektebestrijding HPZone landelijk te centraliseren”, zo blijkt uit de betreffende opdrachtovereenkomst (productie K.25).
132. HPZone Lite was in gebruik bij alle GGD'en en de landelijke schil voor BCO.27 De 25 GGD’en en de landelijke callcenters die bij BCO betrokken zijn (SOS International, Rode Kruis, Eurocross, ANWB, VHD) hadden toegang tot HPZone Lite en waren gemachtigd om accounts aan te maken en om gegevens te lezen en toe te voegen.28 Het betreft GGD-artsen en -verpleegkundigen en alle (tijdelijke) medewerkers die bron- en contactonderzoek deden (productie F.15). Volgens GGD GHOR ging het in totaal om ongeveer 20.000 medewerkers.29
133. Zowel door de minister, GGD GHOR als de GGD’en is erkend dat HPzone niet voldoet aan huidige standaarden (onder andere producties X.0X, x. 0, X.0, X.00 en F.3). Dit blijkt ook uit externe analyses, waaronder van KPMG en IT-bedrijf Axis (producties G.55 t/m G.58). De minister van VWS, GGD GHOR en de GGD’en hebben samen gewerkt aan het vervangen van HPZone Lite. De minister heeft XXX XXXX in dat verband gevraagd de vervanging van HPZone landelijk te coördineren en aangegeven hierbij op verzoek van GGD GHOR als opdrachtgever te zullen optreden.30 Het nieuwe systeem, GGD Contact, wordt onder verantwoordelijkheid van de minister gebouwd en daarna door de GGD’en geïmplementeerd.31
3.3 Persoonsgegevens in de getroffen systemen
3.3.1 CoronIT
134. CoronIT bevat volgens GGD GHOR onder meer naam, adres, woonplaats, telefoonnummer, e- mailadres, BSN, geslacht, geboortedatum, test- en/of vaccinatieafspraken, testresultaten, contra-indicaties en corona klachten (productie F.15).32
135. Volgens de privacyverklaring ‘testen op het coronavirus’ van GGD GHOR, worden de volgende persoonsgegevens verzameld en gedeeld met de IT-provider van CoronIT (Topicus) (productie F.16):
• Voornaam & achternaam
• Adres, of een andere plaats waar u bent als u niet thuis bent. Bijvoorbeeld op vakantie.
• Geboortedatum
• Of u man of vrouw bent, niet gespecificeerd of onbekend
27 Kamerstukken II 2020/21, 27 529, nr. 234, p. 17 (productie D.2).
28 Kamerstukken II 2020/21, 27 529, nr. 234, p. 30 (productie D.2).
29 Kamerstukken II 2020/21, 27 529, nr. 234, o.a. p. 3 (productie D.2).
30 Kamerstukken II 2020-2021, 27 529, nr. 235, p. 2 (productie D.3), zie ook productie K.1.
31 Kamerstukken II 2020/21, 25 295, nr. 1179, p. 41 (productie D.9); Kamerstukken II 2020-2021, 25 295, nr. 1105,
p. 35 (productie D.8).
32 Kamerstukken II 2020-2021, 27 529, nr. 234, p. 21 (productie D.2).
• Burger Service Nummer (BSN)
• Telefoonnummer
• E-mailadres
• Uw klachten
• Streepjescode testbuisje
• Uitslag van de coronatest
• Eventueel: naam van de arts die de test aanvraagt
• Of u direct contact heeft gehad met anderen
• Of u gewerkt heeft, en zo ja, in welke beroepsgroep u werkt
136. Voor het uitvoeren van vaccinaties worden volgens de privacyverklaring ‘vaccinatie tegen het coronavirus’ van GGD GHOR de volgende persoonsgegevens verwerkt in CoronIT (productie F.17):
• Voornaam & achternaam
• Of u man of vrouw bent, niet gespecificeerd of onbekend
• Burger Service Nummer (BSN)
• Telefoonnummer
• E-mailadres
• Doelgroep waarbij u hoort
• Medische gegevens, om te bepalen of u een vaccinatie kunt krijgen (contra-indicaties en medische triage)
• Gegevens over het vaccin dat u krijgt: vaccinnaam en – nummer
• Naam van uw arts
137. Volgens de CoronIT-referentie-DPIA worden de volgende gegevens in het systeem verwerkt (productie G.1):
3.3.2 HPZone Lite
138. Volgens GGD GHOR stonden in HPZone Lite onder meer naam, adres, woonplaats, telefoonnummer, geslacht, geboortedatum en BSN van een persoon. Verder wordt in HPZone Lite ook de informatie uit de bron- en contactonderzoeksgesprekken vastgelegd. Dit zijn onder andere gegevens over corona-gerelateerde klachten/symptomen en huisarts, waar iemand is geweest en met wie hij/zij in contact is geweest. Ook wordt informatie vastgelegd van bron(nen) en nauwe contacten (productie F.15).33
139. Een uitgebreide weergave van de persoonsgegevens zoals geregistreerd in HPZone Lite is te vinden in de ‘privacyverklaring landelijke capaciteit bron- en contactonderzoek COVID-19’ (productie F.18):
POSITIEF GETEST PERSOON
33 Kamerstukken II 2020-2021, 27 529, nr. 234, p. 21 (productie D.2).
• Voornaam en achternaam
• Geboortedatum
• BSN
• Moedertaal positief getest persoon
• Telefoonnummer
• E-mailadres
• Gegevens over uw huisarts
• De datum van uw (positieve) coronatest en de reden van testen
• Gegevens over uw klachten (waaronder de begindatum, soort en het verloop)
• Datum start besmettelijke periode
• Behoren tot medische risicogroep
• Sprake van gestoorde afweer
• Gegevens over uw (eventuele) ziekenhuisopname
• Eventueel overlijden en doodsoorzaak (COVID-19 of anders)
• Huidige verblijfplaats (e.g. zorginstelling, asielzoekerscentrum, serviceflat, studentenhuis)
i.v.m. isolatiemogelijkheden
• Gegevens over uw beroep (waaronder sector, laatste werkdag, informeren
werkgever en collega’s)
• Gegevens over uw (eventuele) thuiszorg of mantelzorger en diens contactgegevens
• Gegevens over de settingen waarin u bent geweest tijdens uw besmettelijke periode
• (zoals zorginstelling, sport, onderwijs)
• Toestemming om naam te noemen aan contacten, werk/instelling, en huisarts
BRONONDERZOEK
• Gegevens over een (eventueel) bezoek aan het buitenland (waaronder data, land en vervoersmiddel)
• Of er mensen in uw omgeving zijn met klachten passend bij COVID-19
• Gegevens over of u contact hebt gehad met een bewezen coronapatiënt Indien van toepassing:
• Volledige naam (geboorte- en partnernaam) bewezen coronapatiënt
• Geboortedatum bewezen coronapatiënt
• (Eventueel) bekende dossiernummers van bewezen coronapatiënt
CONTACTONDERZOEK
• Van huisgenoten
o Voornaam en achternaam
o Geboortedatum
o BSN
o Relatie tot positief getest persoon
o Telefoonnummer
o E-mailadres
o Laatste contactmoment
o Mogelijkheid isolatie
o Minimale datum einde quarantaine voor huisgenoten/gezin
o Datum PCR-test
• Xxx xxxxx contacten
o Voor- en achternaam
o Geboortedatum
o BSN
o Telefoonnummer
o E-mailadres
o Datum & aard laatste contact
o Datum einde quarantaine voor contact
o Datum PCR-test
o Beroep
3.4 Omvang
140. Het GGD-datalek is van ongekende omvang. Ten tijde van de berichtgeving door RTL Nieuws in januari 2021 stonden volgens GGD GHOR persoonsgegevens van circa 5,5 miljoen personen in CoronIT en van circa 1 miljoen personen in HPZone (productie F.15). Van al deze personen zijn zeer gevoelige, risicovolle en deels bijzondere persoonsgegevens gecompromitteerd geweest. Al deze 6,5 miljoen mensen leven in onzekerheid of hun gegevens zijn gestolen en mogelijk zelfs zijn verhandeld in het criminele circuit. Zeer waarschijnlijk worden grote databestanden met gegevens uit het GGD-datalek aangeboden op het darkweb en niemand weet zeker of zijn of haar gegevens daarin zijn opgenomen.
141. Na afronding van het politieonderzoek berichtte GGD GHOR dat is vastgesteld dat de gegevens van circa 1.250 personen uit CoronIT zijn gestolen en mogelijk verkocht. XXX XXXX schreef op 5 april 2022 op haar website: “Eind januari 2021 werden de GGD’en opgeschrikt doordat RTL het bericht naar buiten bracht dat grote databestanden uit de coronasystemen in omloop zouden zijn. De politie heeft hier echter geen aanwijzingen voor gevonden. De politie heeft wel kunnen vaststellen dat door de verdachten screenshots zijn gemaakt met daarop persoonsgegevens van zo’n 1250 personen.”(productie F.19).
142. Uit deze bewoordingen volgt dat de Staat c.s. kennelijk niet sluitend kunnen vaststellen van hoeveel personen daadwerkelijk gegevens zijn ontvreemd en/of verkocht.
143. Ten eerste verklaart GGD GHOR slechts dat de politie “geen aanwijzingen” heeft gevonden dat grote databestanden in omloop zijn. De politie heeft kennelijk echter ook niet vast kunnen stellen dat geen grote databestanden in omloop zijn. Dat daarvoor geen aanwijzingen zijn gevonden, sluit de mogelijkheid echter niet uit. Als die mogelijkheid wel zou kunnen worden uitgesloten, of als de kans daarop heel klein zou zijn, dan zou te verwachten zijn dat GGD GHOR hierover explicieter zou zijn.
144. GGD GHOR heeft in het overleg met Stichting ICAM aangegeven dat zij naar aanleiding van het GGD-datalek forensisch onderzoek heeft laten doen en het forensisch rapport aan de politie heeft verstrekt. Zij weigert het rapport echter te verstrekken aan Stichting ICAM en onduidelijk
is of de politie het forensisch onderzoek heeft betrokken in haar eigen onderzoek. Ook heeft GGD GHOR in het overleg met Stichting ICAM geen antwoord willen geven op de vraag of er logfiles zijn van het gebruik van de exportmogelijkheid in HPZone Lite (hetgeen waarschijnlijk de bron is van de grote databestanden waarover RTL Nieuws heeft bericht (paragraaf 3.1.3)) of op de vraag of er in het forensisch onderzoek en/of in het politieonderzoek logfiles zijn onderzocht. Hoogstwaarschijnlijk willen de Staat c.s. hierover geen openheid van zaken geven omdat uit het forensisch rapport blijkt dat er niet goed is gelogd en/of dat er geen logfiles (beschikbaar) zijn. Als die logfiles er wel zouden zijn, en als die zouden zijn onderzocht naar aanleiding van het GGD- datalek, dan zou GGD GHOR met meer zekerheid moeten kunnen vaststellen dat geen grote databestanden zijn geëxporteerd uit HPZone Lite. Uit het feit dat er gebrekkig of helemaal niet is gelogd, kan uiteraard niet de conclusie worden getrokken dat er geen grote databestanden zijn gestolen. De Staat c.s. kunnen dit simpelweg niet vaststellen.
145. Ten tweede is de vaststelling dat gegevens van 1.250 personen zijn gestolen en mogelijk verkocht, kennelijk uitsluitend gebaseerd op screenshots die door de verdachten zijn gemaakt. Het lijkt er sterk op dat de politie haar conclusies heeft gebaseerd op bij de verdachten inbeslaggenomen gegevensdragers waarop de screenshots zijn aangetroffen (producties J.1 t/m J.5). RTL Nieuws berichtte echter dat er tientallen accounts waren op onder andere Telegram en Wickr: ‘’andere accounts bieden grote datasets aan met daarin de privégegevens van vele tienduizenden Nederlanders. Criminelen vragen hier duizenden euro’s voor omdat het relatief uniek is dat er op zo’n grote schaal Burgerservicenummers worden verkocht. Een Burgerservicenummer is zeer gevoelig en kan worden misbruikt voor identiteitsfraude.’’ (productie C.6 en C.14). Onduidelijk is of al deze accounts werden beheerd door de acht verdachten die de politie heeft aangehouden. Het is goed mogelijk dat de politie niet alle daders in beeld heeft kunnen brengen en er dus mogelijk meer gegevens zijn ontvreemd en/of verkocht.
146. De omstandigheid dat RTL Nieuws wel grote databestanden heeft aangetroffen en verkregen (paragraaf 3.1.3) wijst er op dat er wel degelijk misbruik is gemaakt van de exportmogelijkheid in HPZone Lite.
147. Stichting ICAM heeft aanwijzingen dat op het darkweb daadwerkelijk grote databestanden uit het GGD-Datalek voorhanden zijn. Zij heeft dat momenteel nog in onderzoek.
148. Naar overtuiging van Stichting ICAM c.s. is de groep van personen van wie gegevens zijn ontvreemd en/of verkocht dus vele malen groter dan de Staat c.s. stellen. De daadwerkelijke omvang van deze groep personen heeft zij tot op heden echter niet kunnen vaststellen.
3.5 Duur
149. Het GGD-datalek is niet alleen qua omvang ongekend, maar ook qua duur. De grootste risico’s
hebben maar liefst elf maanden bestaan. Voor zover op dit moment bekend, is de beveiliging
echter ook op de datum van dagvaarding – bijna drie na ingebruikname van de GGD-systemen - nog altijd niet op een adequaat niveau.
150. Het GGD-datalek is door RTL Nieuws op 25 januari 2021 in volle omvang bekendgemaakt (paragraaf 3.1.3). Toen bleek dat de beveiliging van de GGD-systemen al sinds de ingebruikname daarvan tekortschoot. HPZone is vanaf maart 2020 ingezet voor BCO bij coronabesmettingen. CoronIT is begin juni 2020 in gebruik genomen.
151. In de periode nadat het GGD-datalek bekend werd hebben de Staat c.s. een aantal maatregelen genomen. Onder andere zijn de printfunctionaliteit in CoronIT en de exportfunctionaliteit in HPZone Lite op 25 januari 2021 uitgezet. De exportfunctionaliteit in HPZone Lite is daarna weer beschikbaar gemaakt voor een beperkt aantal medewerkers. De printfunctionaliteit in HPZone Lite is op 30 januari 2021 uitgezet. Ook zijn na de RTL Nieuws-berichtgeving de toegang en zoekfunctionaliteiten van de GGD-systemen aangepast, hoewel onduidelijk is wat daaraan exact is gewijzigd. Ten slotte zijn de Staat c.s. na de berichtgeving begonnen met het dagelijks controleren op verdachte activiteiten.
152. Door deze eerste maatregelen is het risico op verdere ongeautoriseerde toegang tot persoonsgegevens en het risico op verdere ongeautoriseerde onttrekking van gegevens aan de systemen, waarschijnlijk kleiner geworden. In de periode voordat de maatregelen werden getroffen, waren die risico’s echter zeer groot, en hebben die risico’s zich ook verwezenlijkt.
153. Echter, ook nadat de Staat c.s. eind januari/begin februari 2021 maatregelen hebben genomen, was de beveiliging van de GGD-systemen nog altijd niet op orde, zo concludeerde de AP in november 2021 (paragraaf 3.1.9). Of de GGD-systemen momenteel wel voldoen aan alle wettelijke vereisten, is Stichting ICAM niet bekend. De Staat c.s. hebben de voortgangsrapportage die zij aan de AP hebben verstrekt (paragraaf 3.1.9 en productie 26), niet openbaargemaakt of aan Stichting ICAM verstrekt. Stichting ICAM kan dus niet vaststellen of de beveiliging sindsdien voldoende is.
3.6 Conclusie: beveiligingsgebreken
154. Samenvattend volgt uit het voorgaande dat de GGD-systemen de volgende feitelijke beveiligingsgebreken kennen althans kenden:
a) Medewerkers konden via eigen apparatuur en buiten een beveiligde omgeving inloggen op de GGD-systemen;
b) Ongeveer 35.000 (deels extern ingehuurde) GGD-medewerkers hadden in CoronIT toegang tot veel meer gevoelige en bijzondere persoonsgegevens dan waar zij toegang tot nodig hadden voor hun werkzaamheden, van in totaal ten minste 5,5 miljoen mensen;
c) Ongeveer 20.000 (deels extern ingehuurde) GGD-medewerkers hadden in HPZone Lite toegang tot veel meer gevoelige en bijzondere persoonsgegevens dan waar zij toegang tot nodig hadden voor hun werkzaamheden, van in totaal ten minste 1 miljoen mensen;
d) HPZone Lite bevatte een niet-noodzakelijke exportfunctionaliteit waarmee grote datasets konden worden gedownload. Deze functionaliteit was ten onrechte beschikbaar voor alle (deels extern ingehuurde) GGD-medewerkers;
e) CoronIT bevatte een niet-noodzakelijke printfunctionaliteit, met als gevolg dat grote datasets geprint konden worden. Deze functie was niet alleen onnodig voor de uitvoering van de opgelegde taak, maar tevens kon een onnodig grote groep medewerkers hiervan gebruik maken. Dit samen heeft geleid tot een situatie waarin het niet alleen lastig is om de (geprinte) data controleerbaar te houden, maar ook om eenmaal geprinte gegevens veilig te stellen (en te houden);
f) Beide GGD-systemen bevatten zoekfunctionaliteiten waarmee veel specifieker en veel breder persoonsgegevens konden worden opgezocht dan noodzakelijk was;
g) Niet alle relevante gebruikershandelingen werden (afdoende) gelogd en logbestanden werden niet systematisch en consistent gecontroleerd;
h) Verplichte NEN-normen werden niet toegepast;
i) Persoonsgegevens waren niet gepseudonimiseerd;
j) Gebruikers konden toegang krijgen tot systemen zonder de vereiste verklaring van goed gedrag te overleggen;
k) Gebruikers waren niet voldoende getraind en geïnstrueerd; en
l) Gebruikers hadden na beëindiging van hun dienstverband nog toegang tot systemen.
155. De gebreken zullen verder worden uitgewerkt in hoofdstuk 4. Dat de beveiliging niet voldeed aan de AVG is reeds geconstateerd door de AP en erkend door de minister en XXX XXXX (mede namens de GGD’en), maar volgt, zoals hierna zal blijken, ook uit de Woo-stukken.
4 SCHENDINGEN VAN HET RECHT
156. In dit hoofdstuk zal Stichting ICAM uiteenzetten op welke wijze de Staat c.s. het recht hebben geschonden. In paragraaf 4.1 behandelt zij de schending van fundamentele (verdrags)rechten, in paragraaf 4.2 de (omvangrijke) AVG-schendingen en in paragraaf 4.3 de schending van enkele zorgspecifieke wettelijke bepalingen.
4.1 Schending van fundamentele rechten
157. Met meer dan 6,5 miljoen Gedupeerden is het GGD-datalek het grootste datalek in de Nederlandse geschiedenis. Van deze Gedupeerden zijn niet alleen gewone persoonsgegevens opgeslagen in de systemen, maar ook bijzondere (medische) persoonsgegevens. Juist met bijzondere persoonsgegevens dient extra zorgvuldig te worden omgegaan.
158. De Staat c.s. hebben hun taak veronachtzaamd om (bijzondere) persoonsgegevens, opgeslagen in de systemen van publieke instellingen, adequaat te beveiligen. Door na te laten adequate (beveiligings)maatregelen te treffen, hebben de Staat c.s. een risico op een grootschalig datalek doen ontstaan, welk risico zich vervolgens ook heeft verwezenlijkt. Bovendien hebben de Staat
c.s. onvoldoende inspanningen geleverd om de omvang van het datalek vast te stellen. Deze handelswijze van de Staat c.s. vormt niet alleen een inbreuk op de AVG, maar ook een ernstige inmenging in de fundamentele rechten van de Gedupeerden. In het bijzonder maakt zij inbreuk op het recht op eerbiediging van het privéleven, neergelegd in respectievelijk artikel 8 EVRM en artikel 7 Handvest, en het recht op gegevensbescherming, neergelegd in artikel 8 Handvest.
159. Het recht op privacy en gegevensbescherming is een grondrecht, zo bevestigt overweging 1 van de AVG onder verwijzing naar artikel 8 Handvest. Deze grondrechtelijke context moet worden meegenomen in de beoordeling van de onderhavige zaak.
160. Het Handvest is gericht op lidstaten wanneer zij Unierecht, zoals de AVG, ten uitvoer leggen.34 Voor zover het Handvest rechten bevat die corresponderen met rechten die door het EVRM gegarandeerd worden, zoals het recht op eerbiediging van het privéleven, is de inhoud en reikwijdte daarvan op grond van artikel 52 lid 3 Handvest hetzelfde. Artikel 7 en 8 Handvest zijn bovendien gebaseerd op artikel 8 van het EVRM en moeten om die reden eenduidig geïnterpreteerd worden.35
161. Het recht op eerbiediging van het privéleven uit artikel 8 EVRM kent een ruime uitleg en omvat ook het recht op gegevensbescherming.36 Artikel 8 Handvest bevat ook een zelfstandig recht op gegevensbescherming. Eerbiediging van dat recht hangt sterk samen met het recht op eerbiediging van het privéleven uit artikel 7 Handvest, zo bevestigt het HvJEU.37 Immers, een inbreuk op het recht op gegevensbescherming kan ook (significante) gevolgen met zich meebrengen voor het privéleven. Dat is in het bijzonder het geval als het gezondheidsgegevens betreft. Het EHRM heeft met betrekking tot deze categorie van persoonsgegevens expliciet geoordeeld dat zij een essentieel onderdeel vormt van het privéleven.38 Bovendien is het
34 Artikel 51 lid 1 Handvest.
35 S. Peers e.a., The EU Charter of Fundamental Rights: A Commentary, Oxford: Hart Publishing 2014, p. 155.
36 EHRM 8 december 2008, ECLI:CE:ECHR:2008:1204JUD003056204 (S. en Marper/Verenigd Koninkrijk), r.o. 41.
37 HvJEU 8 april 2014, ECLI:EU:C:2014:238, (Digital Rights Ireland), r.o. 53.
38 Zie onder meer: EHRM 10 oktober 2006, ECLI:CE:ECHR:2006:1010JUD000750802 (L.L./Frankrijk), r.o. 44.
respecteren van de vertrouwelijkheid van deze gegevens cruciaal omdat burgers moeten kunnen vertrouwen op gezondheidsdiensten.39
162. Op lidstaten rust een positieve verplichting om de effectieve uitoefening van het recht op privéleven en het recht op gegevensbescherming te garanderen.40 Dat houdt in dat lidstaten actief maatregelen moeten nemen om voornoemde verdragsrechten te waarborgen. Doordat de Staat c.s. hebben nagelaten adequate maatregelen te treffen om het GGD-datalek te voorkomen, heeft zij de fundamentele rechten van de Gedupeerden en haar positieve verplichting om de effectieve uitoefening van die rechten te garanderen geschonden.
4.2 Inbreuken op de AVG
163. Om de veiligheid van Betrokkenen te waarborgen en te voorkomen dat een verwerking van persoonsgegevens inbreuk maakt op de AVG, dient een verwerkingsverantwoordelijke de aan de verwerking inherente risico’s te beoordelen en maatregelen te treffen om deze risico’s te beperken. Die maatregelen dienen een passend niveau van beveiliging te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten, afgezet tegen de risico’s en de aard van de te beschermen persoonsgegevens. Gezondheidsgegevens behoren vanwege de gevoeligheid ervan tot een bijzondere categorie van persoonsgegevens. Om deze reden gelden voor de bescherming van die gegevens zeer hoge eisen.
164. Met passende beveiligingsmaatregelen wordt bijgedragen aan het behoud van vertrouwen van Xxxxxxxxxxx in de Staat c.s. bij de omgang met persoonsgegevens. Om te bepalen of beveiligingsmaatregelen passend zijn, wordt, onder andere door de AP, aangesloten bij algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging. In dit geval is dat de praktijk in de zorg.
165. Dat de AVG zowel materieel, territoriaal als temporeel van toepassing is op deze zaak staat niet ter discussie.
4.2.1 Verwerkingsverantwoordelijken
166. In artikel 4 aanhef en onder 7 AVG wordt het begrip verwerkingsverantwoordelijke gedefinieerd als volgt:
“een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking
39 Zie onder meer: EHRM 25 februari 1997, ECLI:CE:ECHR:1997:0225JUD002200993 (Z/Finland), r.o. 95.
40 EHRM 13 juni 1979, ECLI:CE:ECHR:1979:0613JUD000683374 (Marckx/België), r.o. 31.
in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de
verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.“
167. Een verwerkingsverantwoordelijke is een orgaan dat beslist over bepaalde belangrijke elementen van de verwerking. Deze verantwoordelijkheid kan bij wet worden vastgesteld of kan voortvloeien uit een analyse van de feitelijke elementen of omstandigheden van het geval. In dat verband dienen de volgende vragen in overweging te worden genomen:41
a) Waarom vindt deze verwerking plaats? Dat wil zeggen “met welk doel” of “waarvoor”;
b) Wie heeft besloten dat de verwerking voor een bepaald doel moet plaatsvinden en hoe vindt de verwerking plaats? Welke middelen worden ingezet om het doel te bereiken?.
168. Volgens de EDPB kunnen in veel gevallen de contractuele afspraken tussen de verschillende betrokken partijen een aanwijzing zijn om vast te stellen welke partij als verwerkingsverantwoordelijke optreedt. Zelfs indien in een overeenkomst niet wordt vermeld wie de verwerkingsverantwoordelijke is, kan deze voldoende elementen bevatten om uit te maken wie een besluitvormende rol vervult met betrekking tot het doel en de middelen van de verwerking.42
169. Wat de vaststelling van de middelen betreft, kan een onderscheid worden gemaakt tussen wezenlijke en niet-wezenlijke middelen. “Wezenlijke middelen” worden gewoonlijk voorbehouden aan de verwerkingsverantwoordelijke. “Wezenlijke middelen” zijn middelen die nauw verband houden met het doel en de reikwijdte van de verwerking, zoals het soort persoonsgegevens dat wordt verwerkt (“welke gegevens worden verwerkt?”), de duur van de verwerking (“hoelang worden zij verwerkt?”), de categorieën ontvangers (“wie heeft daartoe toegang?”) en de categorieën betrokkenen (“van wie worden persoonsgegevens worden verwerkt?”).43
170. Wie het doel van de verwerking vaststelt, wordt tegen deze achtergrond dan in ieder geval als voor de verwerking verantwoordelijk aangemerkt, terwijl bij het vaststellen van de middelen alleen van verantwoordelijkheid sprake is wanneer die vaststelling betrekking heeft op de wezenlijke aspecten van de middelen.
171. De kwalificatie “gezamenlijke verwerkingsverantwoordelijken” doet zich voor wanneer met betrekking tot een specifieke verwerkingsactiviteit verschillende partijen gezamenlijk het doel en de middelen van deze verwerkingsactiviteit bepalen. Het feit dat één van de partijen geen
41 EDPB, ‘Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG’,
Vastgesteld op 7 juli 2021, p. 12.
42 EDPB, ‘Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG’,
Vastgesteld op 7 juli 2021, p. 15.
43 EDPB, ‘Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG’,
Vastgesteld op 7 juli 2021, p. 17.
toegang heeft tot verwerkte persoonsgegevens, volstaat volgens de EDPB niet om de gezamenlijke verantwoordelijkheid voor de verwerking uit te sluiten.44
172. Iedere verwerkingsverantwoordelijke dient er onder andere voor in te staan dat persoonsgegevens worden verwerkt op een wijze die rechtmatig, behoorlijk en transparant is (artikel 5 lid 1 onderdeel a AVG), dat de persoonsgegevens toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (artikel 5 lid 1 onderdeel c AVG) en dat de integriteit en vertrouwelijkheid gewaarborgd blijven (artikel 5 lid 1 onderdeel f AVG). De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van deze beginselen en moet ook kunnen aantonen dat een verwerking van persoonsgegevens aan deze beginselen voldoet (de verantwoordingsplicht). Concreet dient de verwerkingsverantwoordelijke hiertoe onder meer voorafgaand aan risicovolle verwerkingsactiviteiten een gegevensbeschermingseffectbeoordeling uit te voeren (artikel 35 AVG), bij het inrichten van verwerkingen rekening te houden met de principes van privacy door ontwerp en door standaardinstellingen (privacy by design en privacy by default; artikel 25 AVG) en passende beveiligingsmaatregelen te treffen met het oog op de bescherming van persoonsgegevens (artikel 32 AVG).
4.2.1.1 Primair: De Staat (ministerie van VWS)
173. Stichting ICAM stelt zich primair op het standpunt dat de Staat (het ministerie van VWS) is aan te merken als zelfstandig verwerkingsverantwoordelijke.
174. Ten eerste heeft de Staat het doel van de gegevensverwerkingen door de GGD’en bepaald. De minister heeft op grond van artikel 3 Wpg de taak om de kwaliteit en doelmatigheid van de publieke gezondheidszorg te bevorderen en zorg te dragen voor de instandhouding en verbetering van de landelijke ondersteuningsstructuur.
175. Het testen op corona en het uitvoeren van BCO bij corona is geen wettelijke taak van de GGD’en. De besturen van de veiligheidsregio’s zijn, ingevolge artikel 6 lid 2 Wpg, in geval van een epidemie behorend tot groep A, zoals corona, verantwoordelijk voor de voorbereiding van de bestrijding hiervan. De voorzitters van de veiligheidsregio’s zijn, ingevolge artikel 6 lid 4 Wpg, verantwoordelijk voor de bestrijding van een dergelijke epidemie. De leiding ligt, ingevolge artikel 7 lid 1 Wpg, echter bij de minister, die in dat verband de voorzitters van de veiligheidsregio’s kan opdragen hoe de bestrijding ter hand te nemen.
176. De Staat heeft bij de uitbraak van de corona-pandemie in Nederland aan de GGD’en gevraagd om in aanvulling op hun wettelijke taken inzake de infectieziektebestrijding, het testen en
44 C-210/16, ECLI:EU:C:2018:388 (Wirtschaftsakademie), punt 38
xxxxxxxx van mensen met klachten die passen bij corona uit te voeren. Dit ondanks het feit dat zij niet voorbereid waren op een taak van deze omvang:
“Bij de uitbraak van de covid-19 pandemie in Nederland, heb ik de GGD’en gevraagd om aanvullend op, maar passend bij hun reguliere, wettelijke taken inzake de infectieziektebestrijding, het testen (en traceren) van mensen met klachten die passen bij covid-19 uit te voeren. Het testen op covid- 19 is geen wettelijke taak van de GGD’en, maar is wel een taak die logischerwijs bij de GGD’en belegd is. Het afnemen van diagnostiek is bijvoorbeeld wel een standaard onderdeel van het generieke draaiboek voor grootschalige infectieziektebestrijding van de Landelijke Coördinatie Infectieziektebestrijding (LCI). De GGD’en zijn daarom de meest aangewezen organisaties om deze noodzakelijke taak uit te voeren, ondanks dat zij niet voorbereid waren op een taak van deze omvang.”45
177. Ten tweede heeft de Staat wezenlijke aspecten van de middelen voor gegevensverwerking vastgesteld:
a) De Staat heeft in april/mei 2020 GGD GHOR de opdracht gegeven om CoronIT te ontwikkelen.46 In dat kader heeft de Staat GGD GHOR specifieke aanwijzingen en instructies gegeven met betrekking tot de (door)ontwikkeling en inrichting van CoronIT, waaronder met betrekking tot het aansluiten van alle GGD’en, het geautomatiseerd bevestigen van afspraken, het delen van testuitslagen met betrokkenen, het doorsturen van gegevens naar de systemen Infectieziektebestrijding van de GGD'en (o.a. HPZone (Lite)) in het geval van een positieve test en het ontwikkelen van een koppelplatform gericht op gegevensuitwisseling met andere betrokken stakeholders (productie K.5). Voorts heeft de Staat GGD GHOR opdracht gegeven een klantcontactcentrum op te richten om testafspraken te kunnen inplannen (productie K.6);
b) Uit de gang van zaken rondom de ontwikkeling van een vervanging voor HPZone (Lite) blijkt dat de Staat ook bij de keuze voor dat systeem een beslissende rol heeft vervuld. Ook uit het feit dat de Staat naar aanleiding van het GGD-datalek opdracht heeft gegeven om HPZone te vervangen, blijkt dat hij beslissende zeggenschap had over de inzet van HPZone voor BCO ten behoeve van de bestrijding van de coronapandemie.47 Voorgaande blijkt ook uit de DPIA die is opgesteld ten behoeve van de ontwikkeling van GGD Contact (productie G.33, zie o.a. p. 18), de applicatie die HPZone gaat vervangen:
“• Sinds maart 2020 heeft Nederland te maken met de infectieziekte COVID-19. Gelet op de grootschaligheid van deze infectieziekte en de noodzaak van het snel en efficiënt handelen ter voorkoming of beperking van de verspreiding ervan is door de ‘Begeleidingscommissie Digitale Ondersteuning Bestrijding Covid-19’ van VWS gekeken naar digitale verbetermogelijkheden die
45 Kamerstukken II 2020-2021, 27 529, nr. 235 (productie D.3).
46 Feitenrelaas inzake gebeurtenissen omtrent coronatest-IT-systeem van de GGD, bijlage bij Kamerstukken II
2020-2021, 27 529, nr. 236 (productie D.6).
47 Zie ook: Ministerie van Volksgezondheid, Welzijn en Sport, ‘Kamerbrief over stand van zaken digitale ondersteuning pandemiebestrijding,’ 12 februari 2021, p.1 (productie D.7).
ondersteunend hiervoor kunnen zijn. Medio april 2020 heeft VWS ten aanzien van de digitale mogelijkheden ter bestrijding van COVID-19 een marktconsultatie gedaan. Vanuit de wens van GGD’en heeft de brancheorganisatie GGD GHOR Nederland VWS gevraagd om ondersteuning te bieden in de realisatie van GGD Contact, waarbij de minister een wettelijke verantwoordelijkheid heeft met betrekking tot het bestrijden van infectieziektebestrijding [sic.]. De realisatie van GGD Contact (release 1.0) heeft plaatsgevonden binnen het VWS-programma Realisatie Digitale Ondersteuning (RDO).
• In opdracht van de minister van VWS dient HPZone vervangen te worden.4 Op 12 februari 2021 heeft de DPG-raad besloten om HPZone Lite te vervangen op korte termijn. Het gekozen scenario voor de vervanging op korte termijn en de functionaliteiten die deze bevat wordt aangemerkt als release 1.1. De keuze en afweging voor GGD Contact is nader in de daarvoor uitgewerkte beslisnotities uitgewerkt.”
c) De Staat had beslissende zeggenschap over het aannemen van medewerkers voor testen, vaccineren en BCO (productie G.29);
d) Voor zowel CoronIT als HPZone (Lite) geldt dat de Staat “uiteindelijk bepaalde” of functies
werden aan-of uitgezet, waaronder de exportfunctie in HPZone (Lite) (productie G.28);
e) XXX XXXX-voorzitter Xxxxx Xxxxxxx heeft bevestigd dat “het de rol is van VWS om een balans te zoeken tussen de virusbestrijding enerzijds, en de eisen die je stelt aan o.a. beveiliging anderzijds. Die beleidskeuze liggen bij de minister.” (productie G.28);
f) XXX XXXX-voorzitter Xxxxx Xxxxxxx heeft – in de context van een update over de stand van zaken rondom het GGD-datalek - aangegeven dat er “voor A-ziekten oekazes komen van de minister, die verantwoordelijk is.” (productie G.28);
g) De Staat acht zichzelf ook verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens in de corona notificatieapp, die bedoeld is om de GGD’en te ondersteunen bij BCO (productie G.31, overweging (d));
h) Het ministerie had een “centrale regierol die voortvloeit uit de toepassing van art. 6 en 7 Wpg”. (productie G.32);
i) In een e-mailwisseling van de gemeente Rotterdam wordt vermeld dat “de minister de prioriteiten bepaalt (eerst bv. Beveiligen of eerst de registratie op orde).” (productie G.34);
j) In een advies van Dirkzwager aan de GGD Noord- en Oost-Gelderland, adviseert Dirkzwager weliswaar niet over de vraag of de Staat mogelijk als verwerkingsverantwoordelijke moet worden aangemerkt, maar signaleert het advocatenkantoor wel enkele aanknopingspunten die tot die conclusie leiden: “Eind mei heeft VWS besloten dat er [sic.] de GGD’en zouden gaan werken met een landelijke pool van zogeheten BCO-medewerkers en daarnaast tot onderlinge personele ondersteuning
tussen GGD’en. HPZone fungeert hierbij als het deel waarin de volledige dataset van alle infectieziekten per GGD is ondergebracht.” (p. 1 en p. 14), “Daarnaast is HPZone-Lite ontwikkeld, HPZone-Lite vormt een zogenaamde ‘landelijke schil’.” (p. 2). In wiens opdracht HPZone Lite is ontwikkeld, heeft Xxxxxxxxxx niet kunnen achterhalen (p. 14), maar evident is dat de Staat hiertoe opdracht heeft gegeven, nu de landelijke coördinatie door het ministerie plaatsvond (productie G.47);
k) In een bijlage bij een adviesnota van het dagelijks bestuur van de GGD Noord- en Oost- Gelderland wordt opgesomd welke opdrachten de minister naar aanleiding va het GGD- datalek aan GGD GHOR en de GGD’en heeft gegeven: gebruik van HPZone Lite te beperken tot een selecte groep specialisten, van HPZone Lite over te stappen op een ander systeem, de print- en exportfuncties uit te schakelen, de toegangs-en zoekmogelijkheden te beperken, het monitoren van verdachte patronen en verdacht gedrag van medewerkers, het laten doorlichten van de systemen door externe IT-deskundigen, de VOG- administratie op orde brengen en het vormen van een kernteam om de GGD bij het implementeren van de maatregelen te ondersteunen (productie G.49).
178. Gelet op het bovenstaande stelt de Staat doel en middelen vast van de verwerking van persoonsgegevens in de systemen CoronIT en HPZone (Lite). De Staat dient derhalve als verwerkingsverantwoordelijke zoals bedoeld in artikel 4, onderdeel 7 van de AVG te worden aangemerkt. Of de Staat al dan niet feitelijke toegang tot persoonsgegevens heeft gehad, is daarvoor niet relevant.48
4.2.1.2 Subsidiair: (gezamenlijke) verantwoordelijkheid Staat met GGD GHOR en de GGD’en
179. Voor zover de Staat niet als zelfstandig verwerkingsverantwoordelijke wordt aangemerkt, stelt Stichting ICAM zich subsidiair op het standpunt dat GGD GHOR en de GGD’en als (gezamenlijk) verwerkingsverantwoordelijken moeten worden aangemerkt, naast de Staat.
180. Ten eerste is GGD GHOR aan te merken als (gezamenlijk) verwerkingsverantwoordelijke, onder andere omdat zij CoronIT heeft ontwikkeld en verantwoordelijk is voor het verstrekken van gebruiksrechten aan de GGD’en,49 en omdat zij het beheer heeft gevoerd over de inrichting van HPZone Lite. Ook heeft GGD GHOR HPZone Lite zodanig ingericht dat de GGD'en elkaar konden ondersteunen bij BCO. GGD GHOR presenteert zich bovendien als verwerkingsverantwoordelijke in haar communicatie, onder andere doordat zij een eigen privacyverklaring heeft en een deel van de Gedupeerden uit haar naam heeft geïnformeerd over het GDD-datalek (producties F.16 t/m F.21).
48 EDPB, ‘Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG’,
Vastgesteld op 7 juli 2021.
49 Kamerstukken II 2020-2021, 27529, nr. 234, vraag 158 (productie D.2).
181. Ten tweede kwalificeren de 25 GGD’en als (gezamenlijk) verwerkingsverantwoordelijken, zoals ook wordt erkend door het ministerie, de GGD GHOR en de GGD’en zelf. De GGD’en zijn ingesteld door de colleges van burgermeester en wethouders ter uitvoering van specifieke taken voortvloeiend uit de Wpg, waaronder het verzamelen en verwerken van persoonsgegevens in het kader van infectieziektebestrijding. Naast de Wpg biedt ook de WGBO een grondslag voor de kwalificatie van de GGD’en als (gezamenlijk) verwerkingsverantwoordelijken. De GGD’en treden immers op als zorgverleners waar het gaat om testen en vaccineren. Uit dien hoofde bestaat een behandelovereenkomst tussen de GGD en de Betrokkenen in de zin van de WGBO. Die behandelovereenkomst vormt de basis voor de verwerking van persoonsgegevens. De GGD’en hanteren tot slot ieder een eigen privacyverklaring waarin zij zichzelf als verwerkingsverantwoordelijke kwalificeren en GGD GHOR heeft privacyverklaringen gepubliceerd waarin zij de GGD’en aanwijst als verwerkingsverantwoordelijken (productie F.16 t/m F.18).
182. Ten derde gaan GGD GHOR en de GGD’en er zelf van uit dat zij gezamenlijk verwerkingsverantwoordelijken zijn. Dat blijkt onder andere uit het Convenant gegevensuitwisseling gezamenlijk verantwoordelijken, dat ziet op CoronIT (productie G.30), en het Convenant landelijke inzet BCO, dat mede ziet op HPZone Lite (productie G.53).
183. Ten vierde blijkt de gezamenlijke verantwoordelijkheid van GGD GHOR en de GGD’en uit een juridische analyse en documentenonderzoek dat advocatenkantoor Xxxxxxxxxx heeft uitgevoerd in opdracht van de GGD Noord- en Oost-Gelderland (productie G.47). Dirkzwager concludeert met betrekking tot CoronIT dat GGD GHOR “overwegend heeft te gelden als verwerkingsverantwoordelijke” en dat “de GGD’en die er gebruik van maken in beperkte mate verwerkingsverantwoordelijke zijn, en wel voornamelijk met betrekking tot de individuele verwerkingen die door de eigen GGD plaatsvinden” (p. 12). Alle betrokken verwerkingsverantwoordelijken kunnen volgens Xxxxxxxxxx “hoofdelijk aansprakelijk gesteld worden” (zie p. 13). Met betrekking tot HPZone Lite concludeert Xxxxxxxxxx dat GGD GHOR in ieder geval verwerkingsverantwoordelijke is. Weliswaar geschiedde het daadwerkelijk toegang verschaffen tot persoonsgegevens in HPZone Lite door de GGD’en, maar “zij lijken er echter feitelijk weinig invloed op te hebben aan wie zij de toegang verschaffen”. Selectie van de medewerkers die toegang moesten krijgen, geschiedde door de door XXX XXXX ingehuurde callcenters en de GGD’en moesten hieraan noodgedwongen meewerken (p. 17 en 18). Xxxxxxxxxx concludeert overigens dat er geen overeenstemming lijkt te bestaan tussen hetgeen is opgenomen in het Convenant gegevensuitwisseling tussen GGD GHOR en de GGD’en (productie G.30) en de feitelijke gang van zaken. Ook concludeert Xxxxxxxxxx dat hetgeen GGD GHOR aan de AP heeft gecommuniceerd over de verdeling van verantwoordelijkheden, niet in overeenstemming lijkt te zijn met de werkelijkheid (p. 19). In een opvolgend advies reageert Xxxxxxxxxx op een ander advies, van privacy-consultants Xxxxxxxxxxxx & Partners (dat advies is, voor zover op dit moment bekend, door geen van de Gedaagden openbaargemaakt). Daarin zou zijn geadviseerd dat GGD GHOR eigenlijk geen verwerkingsverantwoordelijke zou moeten
zijn, omdat zowel zij als de GGD’en in die situatie in strijd met de AVG zouden handelen
(productie G.48).
4.2.1.3 Meer-subsidiair: (gezamenlijke) verantwoordelijkheid GGD GHOR, GGD’en, Gemeenten en Veiligheidsregio’s
184. Voor zover geen sprake is van zelfstandige verwerkingsverantwoordelijkheid van de Staat, en GGD GHOR en de GGD’en niet als gezamenlijk verwerkingsverantwoordelijken moeten worden aangemerkt naast de Staat, stelt Stichting ICAM zich meer-subsidiair op het standpunt dat GGD GHOR en de GGD’en op grond van het bovenstaande als gezamenlijk verwerkingsverantwoordelijken moeten worden aangemerkt, samen met de Gemeenten en de Veiligheidsregio’s.
185. De colleges van burgemeester en wethouders van de Gemeenten zijn op grond van de Wpg belast met het uitvoeren van taken ter bevorderingen en continuering van de publieke gezondheidszorg (zie paragraaf 2.2.5). Zij zorgen onder meer voor de instelling en instandhouding van GGD’en, financiering van die GGD’en en het houden van toezicht. Gemeenten bepalen in die hoedanigheid dan ook samen met GGD GHOR, de GGD’en zelf en de Veiligheidsregio’s het doel en de middelen van de verwerking van persoonsgegevens door de GGD’en. Uit een interne mailwisseling binnen de Gemeente Rotterdam blijkt ook dat de gemeente zichzelf als verwerkingsverantwoordelijke ziet (productie G.54).
186. Het bestuur van de Veiligheidsregio draagt uit hoofde van artikel 6 lid 2 Wpg zorg voor de voorbereiding op de bestrijding van een epidemie die behoort tot groep A, zoals het coronavirus. De voorzitter van de Veiligheidsregio moet op grond van datzelfde artikel zorgdragen voor de bestrijding zelf. De minister kan voorzitters van de veiligheidsregio’s op grond van artikel 7 Wpg instructies geven over hoe zij de bestrijding ter hand moeten nemen. De voorzitters van de 25 veiligheidsregio’s maken samen het Veiligheidsberaad uit. In de eerste fase van de coronacrisis kwam het Veiligheidsberaad wekelijks samen, onder meer om te bespreken hoe invulling moest worden gegeven aan de maatregelen die het kabinet afkondigde. Het Veiligheidsberaad fungeerde als gesprekpartner voor het kabinet om van gedachten te wisselen over de benodigde maatregelen.
4.2.2 Bewijslast m.b.t. AVG-overtredingen
187. Artikel 5 lid 2 AVG bepaalt dat de verwerkingsverantwoordelijke verantwoordelijk is voor de naleving van de beginselen uit artikel 5 lid 1 AVG, waaronder de beginselen van rechtmatigheid, transparantie, minimale gegevensverwerking en integriteit en vertrouwelijkheid. De verwerkingsverantwoordelijke moet kunnen aantonen dat hij voldoet aan deze beginselen. Dit wordt de verantwoordingsplicht genoemd. De beginselen worden in de overige artikelen van de AVG uitgewerkt, waarmee de verantwoordingsplicht in wezen voor alle verplichtingen uit de AVG geldt. Dit wordt bevestigd in artikel 24 AVG, waaruit volgt dat de verwerkingsverantwoordelijke
moet kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd. Uit overweging 74 en 79 AVG volgt dat voor iedere verwerking vastgesteld moet worden wie de verwerkingsverantwoordelijke is en dat deze partij moet kunnen aantonen dat hij aan de AVG voldoet. Voorgaande heeft tot gevolg dat op de Staat c.s. de bewijslast rust om aan te tonen dat zij hebben voldaan aan hun verplichtingen op grond van de AVG en dat op Stichting ICAM dus geen bewijslast rust om aan te tonen dat dat niet het geval is.
4.2.3 Inbreuk in verband met persoonsgegevens / strijd met artikel 34 AVG
4.2.3.1 Inbreuk in verband met persoonsgegevens
188. De incidenten zoals beschreven in hoofdstuk 3 leveren een “inbreuk in verband met
persoonsgegevens” op zoals beschreven in artikel 4, onderdeel 12 AVG en artikel 33 en 34 AVG.
189. In artikel 4, onderdeel 12 AVG wordt een inbreuk in verband met persoonsgegevens (ook wel: “datalek”) omschreven als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens."
190. Er is sprake geweest van een inbreuk op de beveiliging die op onrechtmatige wijze heeft geleid tot ongeoorloofde verstrekking van en toegang tot opgeslagen persoonsgegevens. Ook de Staat
c.s. en de AP (productie D.3, o.a. p. 46 en p. 68 en productie K.1) kwalificeren de reeks incidenten als datalek.
4.2.3.2 Geen mededeling aan (alle) Betrokkenen
191. Wanneer er een datalek heeft plaatsgevonden dat waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moet een verwerkingsverantwoordelijke dat op grond van artikel 34 AVG onverwijld aan de Betrokkenen meedelen. Of er sprake is van een hoog risico moet aan de hand van de omstandigheden van het geval worden bepaald. Bij die beoordeling moet in ieder geval rekening worden gehouden met (i) de aard van de inbreuk, (ii) de aard, gevoeligheid en omvang van de persoonsgegevens, (iii) het gemak waarmee personen kunnen worden geïdentificeerd, (iv) de ernst van de gevolgen voor personen, (v) bijzondere kenmerken van de persoon, (vi) bijzondere kenmerken van de verwerkingsverantwoordelijke en
(vii) het aantal getroffen personen.50
192. Mededeling van een datalek is niet verplicht indien (i) er passende technische en organisatorische maatregelen zijn toegepast op de persoonsgegevens (bijvoorbeeld versleuteling), (ii) de verwerkingsverantwoordelijke achteraf maatregelen heeft genomen zodat
50 Groep gegevensbescherming artikel 29, Richtsnoeren voor de melding in verband met persoonsgegevens krachtens Verordening 2016/679, laatstelijk herzien en goedgekeurd op 6 februari 2018, p. 28-30.
het hoge risico zich niet meer zal voordoen of (iii) de mededeling onevenredige inspanning zou vergen. In dat laatste geval dient er een openbare mededeling te volgen waarmee betrokkenen even doeltreffend worden geïnformeerd. Van de situatie onder (iii) is bijvoorbeeld sprake als de contactgegevens van betrokkenen verloren zijn gegaan als gevolg van de inbreuk of als deze gegevens niet bekend zijn.51
193. Wanneer uit logbestanden met zekerheid kan worden vastgesteld dat geen sprake is geweest van exfiltratie van persoonsgegevens, kan een melding mogelijk achterwege blijven. In de Richtsnoeren 01/2021 over de voorbeelden betreffende de melding van inbreuken in verband met persoonsgegevens beschrijft de EDPB bijvoorbeeld de volgende situatie:
“Er zijn logbestanden beschikbaar waarin alle gegevensstromen worden geregistreerd die het bedrijf verlaten (waaronder uitgaande e-mail). Nadat de logboeken en de door de detectiesystemen van het bedrijf verzamelde gegevens waren geanalyseerd, werd bij een door het externe cyberbeveiligingsbedrijf ondersteund intern onderzoek met zekerheid vastgesteld dat de dader alleen gegevens had versleuteld, zonder deze te exfiltreren. De logboeken laten geen uitgaande gegevensstroom tijdens de aanval zien.” [“met zekerheid” is in de originele versie gecursiveerd, advocaat.]52
194. De verwerkingsverantwoordelijke dient er volgens de EDPB echter rekening mee te houden dat er gegevens geëxfiltreerd kunnen zijn zonder dat daarvan een spoor is achtergelaten in de logbestanden van betrokken systemen. De verwerkingsverantwoordelijke mag zelf niet zomaar berusten bij logbestanden die in orde lijken:
“De gegevensverwerker mag niet uit het oog verliezen dat als de aanval meer geavanceerd is, de malware de functionaliteit heeft om logbestanden te bewerken en het spoor te verwijderen. Aangezien logbestanden niet naar een centrale logserver worden doorgezonden of gerepliceerd, kan de verwerkingsverantwoordelijke zelfs na een grondig onderzoek waarbij is vastgesteld dat de persoonsgegevens door de aanvaller niet zijn geëxfiltreerd dus niet verklaren dat de afwezigheid van een vermelding in de logbestanden bewijst dat er geen exfiltratie heeft plaatsgevonden. Daarom kan een inbreuk op de vertrouwelijkheid niet geheel worden uitgesloten.” 53
195. Als voornoemde factoren voor het bepalen van het risico van een datalek worden toegepast op het GGD-datalek, blijkt evident dat het gaat om een datalek dat zeer hoge risico’s met zich meebrengt voor de rechten en vrijheden van betrokkenen.
196. Voor wat betreft de aard van de inbreuk gaat het om een inbreuk waarbij (bijzondere) persoonsgegevens onbegrensd toegankelijk waren voor alle GGD-medewerkers. Bovendien
51 Groep gegevensbescherming artikel 29, Richtsnoeren voor de melding in verband met persoonsgegevens krachtens Verordening 2016/679, laatstelijk herzien en goedgekeurd op 6 februari 2018, p. 25.
52 EDPB, Richtsnoeren 01/2021 over de voorbeelden betreffende de melding van inbreuken in verband met persoonsgegevens, vastgesteld op 14 december 2021, par. 16.
53 EDPB, Richtsnoeren 01/2021 over de voorbeelden betreffende de melding van inbreuken in verband met persoonsgegevens, vastgesteld op 14 december 2021, par.19 en 28.
konden de medewerkers alle gegevens downloaden en zijn deze persoonsgegevens aan onbevoegde derden verstrekt. De aard, gevoeligheid en omvang van de bij de inbreuk betrokken persoonsgegevens is eveneens een ongunstige factor voor de Gedupeerden. Het gaat immers om een combinatie van BSN en medische gegevens:
“Inbreuken waarbij gezondheidsgegevens, identiteitsdocumenten of financiële gegevens (bijv. creditcardgegevens) betrokken zijn, kunnen elk op zich schade veroorzaken, maar als die gegevens worden gecombineerd, kunnen ze worden gebruikt voor identiteitsdiefstal. Een combinatie van persoonsgegevens is doorgaans gevoeliger dan een enkel persoonsgegeven.”54
197. Bovendien gaat het om NAW-gegevens, contactgegevens en BSN-nummers, waardoor een specifiek persoon direct te identificeren is voor iemand die toegang heeft tot de gecompromitteerde gegevens.
198. Het GGD-datalek heeft geleid en kan leiden tot ernstige gevolgen voor de Gedupeerden, die samenhangen met de aard van de gegevens die gelekt zijn. In de Richtsnoeren wordt daarover gemeld:
“Afhankelijk van de aard van de bij een inbreuk betrokken persoonsgegevens, bijvoorbeeld speciale gegevenscategorieën, kan de schade voor personen die daaruit zou kunnen voortvloeien bijzonder ernstig zijn, met name als de inbreuk zou kunnen leiden tot identiteitsdiefstal of -fraude, lichamelijk letsel, psychisch leed, vernedering of reputatieschade. […] Of de verwerkingsverantwoordelijke zich er al dan niet van bewust is dat persoonsgegevens in handen zijn van personen van wie de intenties onbekend of mogelijk kwaadwillig zijn, kan van invloed zijn op het niveau van het potentiële risico.”55
199. In het geval van het GGD-datalek ging het onder meer om gezondheidsgegevens en BSN, en zijn de kwade intenties van de mensen die de persoonsgegevens te koop aanbieden duidelijk. Er is geen sprake van een zogenaamde “betrouwbare ontvanger”, zoals bijvoorbeeld een zakelijke partner waarmee een geheimhoudingsverplichting is overeengekomen, aan wie de persoonsgegevens abusievelijk zijn toegestuurd. In het geval van het GGD-datalek werden persoonsgegevens willens en wetens te koop aangeboden aan wie er maar geld voor over had.
200. De Groep gegevensbescherming artikel 29 merkt op dat wat betreft de ernst en de gevolgen ook rekening moet worden gehouden met het blijvende karakter van de gevolgen voor personen, waarbij de gevolgen als groter kunnen worden beschouwd indien het langetermijneffecten betreft. Nu sprake is van exfiltratie van persoonsgegevens die vervolgens te kwader trouw zijn aangeboden en nu circuleren op het internet, ondervinden Gedupeerden daar nog steeds de gevolgen van zoals ook beschreven in paragraaf 5.3.1.3. Het verlies van controle dat Gedupeerden hebben geleden, is naar zijn aard blijvend. Er is geen manier waarop Gedupeerden
54 Groep gegevensbescherming artikel 29, Richtsnoeren voor de melding in verband met persoonsgegevens krachtens Verordening 2016/679, laatstelijk herzien en goedgekeurd op 6 februari 2018, p. 28.
55 Groep gegevensbescherming artikel 29, Richtsnoeren voor de melding in verband met persoonsgegevens krachtens Verordening 2016/679, laatstelijk herzien en goedgekeurd op 6 februari 2018, p. 29.
deze controle kunnen heroveren. De indringende combinatie van persoonsgegevens maakt dat mitigerende maatregelen een zeer beperkt effect hebben.
201. De bijzondere kenmerken van Betrokkenen kunnen maken dat een inbreuk grotere risico’s en/of gevaren met zich meebrengt. Daarbij kan gedacht worden aan kinderen of andere kwetsbare personen. In de GGD-systemen zitten ook veel gegevens van kwetsbare personen zoals ouderen en mensen met een verzwakte gezondheid. Bovendien zien veel gegevens op specifiek de verzwakte gezondheid. Zo bevatte CoronIT bijvoorbeeld, zoals geschetst in paragraaf 3.3.1, “medische gegevens, om te bepalen of u een vaccinatie kunt krijgen (contra-indicaties en medische triage).” HPZone (Lite) bevatte, zoals beschreven in paragraaf 3.3.2, gegevens als “behoren tot medische risicogroep”, “Sprake van gestoorde afweer”, “huidige verblijfplaats (e.g. zorginstelling, asielzoekerscentrum […]”, “Medische voorgeschiedenis [welke ziektes heeft index gehad of momenteel]”.
202. Verder zijn ook de bijzondere kenmerken van de verwerkingsverantwoordelijke relevant voor het bepalen van het risico welke een inbreuk met zich meebrengt:
“Zo zal een medische organisatie speciale categorieën van persoonsgegevens verwerken, wat betekent dat er een grotere bedreiging is voor personen als hun persoonsgegevens zijn geschonden dan bij een mailinglijst van een krant.”56
203. In het geval van het GGD-datalek gaat het om de overheid als verwerkingsverantwoordelijke. De overheid verwerkt op grote schaal persoonsgegevens van burgers, waar zij veelal verplicht mee akkoord dienen te gaan. Burgers moeten dan ook in het bijzonder op de overheid kunnen vertrouwen om persoonsgegevens adequaat te beveiligen. Daarnaast gaat het in onderhavige zaak om medische organisaties die bijzondere persoonsgegevens verwerken.
204. Wat betreft het aantal personen dat is getroffen merkt de Groep gegevensbescherming artikel 29 op:
“Een inbreuk kan slechts één persoon treffen of kan een paar personen, enkele duizenden personen of nog veel meer personen treffen. Over het algemeen kan een inbreuk grotere gevolgen hebben naarmate er meer personen bij betrokken zijn.”57
205. In dit geval zijn er zeker 6,5 miljoen Gedupeerden.
206. Uit voorgaande volgt dat de Staat c.s. het datalek ten onrechte niet rechtstreeks aan alle Gedupeerden hebben gemeld. Ook de FAQ op de website van GGD GHOR geeft er blijk van dat de Staat c.s. artikel 34 AVG hebben geschonden. Daarin staat bijvoorbeeld: “Tot nu toe is uit
56 Groep gegevensbescherming artikel 29, Richtsnoeren voor de melding in verband met persoonsgegevens krachtens Verordening 2016/679, laatstelijk herzien en goedgekeurd op 6 februari 2018, p. 29.
57 Groep gegevensbescherming artikel 29, Richtsnoeren voor de melding in verband met persoonsgegevens krachtens Verordening 2016/679, laatstelijk herzien en goedgekeurd op 6 februari 2018, p. 30.
politieonderzoek alleen gebleken dat er uit CoronIT gegevens gestolen zijn” en “We hebben vernomen dat datasets worden aangeboden, maar hebben nog niet kunnen vaststellen dat deze feitelijk verhandeld zijn.”. Uit de uitleg van de EDPB blijkt echter dat in het geval een inbreuk heeft plaatsgevonden die waarschijnlijk een hoog risico inhoudt, melding aan betrokkenen slechts dan mogelijk achterwege kan blijven als exfiltratie van gegevens met zekerheid uitgesloten kan worden. Als dat niet het geval is, moeten alle Betrokkenen rechtstreeks geïnformeerd worden.
207. Nu volledige logbestanden ontbreken (paragraaf 4.2.4.4), hadden de Staat c.s. niet slechts die beperkte groep moeten informeren die na onderzoek door de politie zijn geïdentificeerd, maar alle Gedupeerden, per brief of e-mail, en onverwijld. Nu uit de loggegevens niet met zekerheid is af te leiden welke gegevens daadwerkelijk onrechtmatig zijn geëxporteerd (zie paragraaf 3.4), bestaat de groep Gedupeerden aan wie een melding had moeten worden gedaan uit zeker 6,5 miljoen personen en niet uit 1.250.
208. Bovendien hebben de Staat c.s. geen tijdige melding gedaan aan de 1.250 Gedupeerden die wel zijn geïnformeerd. Zoals blijkt uit hoofdstuk 3, kwamen al in september 2020 de eerste berichten in de pers over een datalek bij de GGD´en. Het callcenterbedrijf Teleperformance heeft omstreeks die periode al een melding gedaan bij de AP ten aanzien van te ruime autorisaties van callcentermedewerkers die na uitdiensttreding nog steeds toegang hadden tot de systemen (productie C.3). In november 2020 werd door de Volkskrant naar buiten gebracht dat GGD GHOR er al in juni 2020 mee bekend was dat HPZone niet geschikt was voor gebruik voor grootschalige epidemieën (productie C.5). Op 25 januari 2021 berichtte RTL Nieuws over chatdiensten waarop al maanden persoonsgegevens te koop waren aangeboden. Een paar dagen daarvoor, op 22 januari 2021 is, zoals blijkt uit het onderzoek van de AP, het datalek pas door GGD GHOR gemeld aan de AP.
209. Uit de brief van de AP volgt dat er tussen 25 januari en 29 januari 2021 meermaals contact is geweest tussen de AP en GGD GHOR over de kennisgeving richting Betrokkenen op grond van artikel 34 AVG. De GGD heeft op 28 januari 2021 op haar website informatie verstrekt over het datalek (producties F.5). Vanaf 16 april 2021 zijn de 1.250 Gedupeerden waarvan de politie heeft vastgesteld dat daadwerkelijk persoonsgegevens zijn gestolen per brief geïnformeerd over het datalek (productie F.20). Dat is dus geruime tijd na de melding die GGD GHOR aan de AP gedaan heeft. Dat terwijl artikel 34 AVG vereist dat de verwerkingsverantwoordelijke, wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, die inbreuk onverwijld aan de Betrokkenen meldt.
210. Voor zover de AP op grond van artikel 34 lid 4 AVG heeft besloten dat de melding die GGD GHOR op de website heeft geplaatst voldoende was in de zin van artikel 34 lid 3 is dit lastig te volgen in het licht van het voorbeeld van de voorganger van de EDPB over het ondergelopen magazijn van het bureau voor de statistiek dat enkel persoonsgegevens bevatte op papier. De Staat c.s. hadden juist de contactgegevens van alle Gedupeerden goed in kaart, omdat met hen gecommuniceerd
werd over testuitslagen etc. Het GGD-datalek heeft nooit de beschikbaarheid van gegevens aangetast.
4.2.4 Schending van de beveiligingsplicht (artikel 5 lid 1 sub f AVG en artikel 32 AVG)
211. Gezien de grootschalige verwerking van gevoelige en bijzondere persoonsgegevens was de beveiliging door de Staat c.s. niet passend, zoals bedoeld in artikel 32 AVG. Gegevens waren toegankelijk voor onbevoegde personen. (Ex-)medewerkers van GGD’en en landelijke partners hebben zonder dat dit werd gesignaleerd of kon worden gesignaleerd persoonsgegevens kunnen exporteren en voor eigen (criminele) doeleinden kunnen gebruiken. Reeds het enkele feit dat dit plaats kon vinden, geeft blijk van onvoldoende beveiliging. De maatregelen die de Staat c.s. daartegen hadden kunnen en moeten nemen waren bovendien basaal en eenvoudig voorhanden, ook in ogenschouw nemende de stand van de techniek en de uitvoeringskosten. Het gebrek aan deze maatregelen heeft geleid tot een groot, ernstig en gerealiseerd risico voor de rechten en vrijheden van Betrokkenen. De Staat c.s. hebben het daadwerkelijk ongeoorloofd doorzoeken, exporteren en printen van persoonsgegevens uit de systemen niet weten te voorkomen.
212. In deze paragraaf zal uitgebreider worden beschreven hoe de algemene norm van artikel 5 lid 1 sub f en artikel 32 AVG wordt uitgelegd (paragraaf 4.2.4.1) en op welke punten de Staat c.s. deze hebben geschonden. De Staat c.s. hebben in het bijzonder onvoldoende maatregelen genomen op het gebied van toegangsbeveiliging (paragraaf 4.2.4.2), autorisaties (paragraaf 4.2.4.3), logging en monitoring (paragraaf 4.2.4.4) en screening en toezicht (paragraaf 4.2.4.5). Hierbij wordt zoveel mogelijk de structuur gehanteerd van de brief van de AP naar aanleiding van haar onderzoek bij GGD GHOR en twee GGD’en (productie K.1). Hier wordt herhaald dat het onderzoek van de AP slechts heel beperkt is geweest (zie verder paragraaf 3.1.9).
4.2.4.1 Algemeen toetsingskader
213. Artikel 5 lid 1 sub f AVG bevat het beginsel van vertrouwelijkheid en integriteit van persoonsgegevens. Het beginsel omvat bescherming tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, door middel van passende technische en organisatorische maatregelen.
214. Artikel 32 lid 1 AVG werkt dit beginsel uit en verplicht de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen te treffen om een op het risico voor betrokkenen afgestemd beveiligingsniveau te waarborgen, “rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen”. Ingevolge het tweede lid wordt bij de beoordeling van het passende beveiligingsniveau met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de
ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
215. Een op het risico afgestemd beveiligingsniveau omvat onder meer het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen (artikel 32 lid 1 sub b AVG) en een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking (artikel 32 lid 1 sub d AVG).
216. De AP heeft herhaaldelijk aangegeven dat NEN 7510, 7512 en 7513 als algemeen geaccepteerde beveiligingsstandaarden onder het AVG-regime een belangrijke norm voor informatiebeveiliging in de zorg zijn en dat deze richtlijnen gevolgd moeten worden, zoals in de Richtsnoeren Beveiliging van Persoonsgegevens,58 op haar website (productie K.21) en in handhavingstrajecten.59 De AP gebruikt NEN 7510, 7512 en 7513 dan ook als norm bij de toetsing van de door artikel 32 AVG voorgeschreven passende technische en organisatorische maatregelen”60 De AP bevestigde ook in haar brief van 8 november 2021 dat deze normen van toepassing zijn op de verwerking van persoonsgegevens in de GGD-systemen (productie K.1).61
217. In een zaak tussen het Haga-ziekenhuis en de AP bevestigde de rechtbank Den Haag dat NEN- normen algemeen geaccepteerde beveiligingsstandaarden zijn binnen de praktijk van de informatiebeveiliging in de zorg. Dat blijkt ook uit de vastlegging daarvan in het Begz. NEN- normen kunnen dan ook gebruikt worden ter invulling van de open norm van artikel 32 AVG, waaronder ten aanzien van de verplichting tot (controle op) logging.62 Recent heeft ook de rechtbank Zeeland-West-Brabant in een zaak tegen het Bravis-ziekenhuis bevestigd dat de invulling van artikel 32 AVG plaatsvindt aan de hand van de NEN 7510 en 7513.63
218. Een algemene beveiligingsnorm waarbij de AP aansluit voor de beoordeling of sprake is van passende technische en organisatorische beveiligingsmaatregelen is de Code voor Informatiebeveiliging (NEN-ISO/IEC 27002:2017), waarin internationaal geldende maatregelen voor informatiebeveiliging zijn uitgewerkt. Deze norm ziet niet specifiek op de zorg. De normen
58 CBP Richtsnoeren: Beveiliging van persoonsgegevens, Stcrt. 2013, 5174. Hoewel de richtsnoeren nog uit 2013 dateren, zijn deze onder de AVG nog steeds relevant aangezien er geen (wezenlijke) wijzigingen zijn ten aanzien van de beveiligingsplicht onder de AVG ten opzichte van de Wet bescherming persoonsgegevens. De richtsnoeren zijn grotendeels gebaseerd op nog steeds geldende beveiligingsstandaarden binnen het vakgebied informatiebeveiliging.
59 Autoriteit Persoonsgegevens, ‘Toegang tot digitale patiëntdossiers door medewerkers van het HagaZiekenhuis’,
Onderzoeksrapport maart 2019, p. 6.
60 Autoriteit Persoonsgegevens, ‘Besluit tot het opleggen van een bestuurlijke boete aan OLVG’, 26 november
2020.
61 Zie verder paragraaf 4.3.2 ten aanzien van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en het Besluit elektronische gegevensverwerking door zorgaanbieders.
62 Rechtbank Den Haag 31 maart 2021, ECLI:NL:RBDHA:2021:3090 (Haga-ziekenhuis/AP).
63 Rechtbank Zeeland-West-Brabant, 21 september 2022, ECLI:NL:RBZWB:2022:5457 (X/Bravis Ziekenhuis), r.o. 4.14.
in de Code voor Informatiebeveiliging zijn echter voor het grootste deel gelijk van inhoud aan de normen in de NEN-normen. Tenzij anders vermeld, worden in het onderstaande telkens slechts de NEN-normen besproken, waarbij dus wordt opgemerkt dat hetzelfde geldt onder de Code voor Informatiebeveiliging.
219. Gezien de omvang en algemene bekendheid van de NEN-normen en de Code voor Informatiebeveiliging heeft Stichting ICAM ervoor gekozen deze niet in het geding te brengen, maar hieruit te citeren. Zij biedt echter hierbij aan deze stukken alsnog in het geding te brengen indien de rechtbank dat wenst.
4.2.4.2 Toegangsbeveiliging: authenticatie, toegang en thuiswerken
220. Het voorkomen van ongeoorloofde toegang en het implementeren en uitvoeren van een goed authenticatieproces zijn essentiële aspecten van de beveiliging van persoonsgegevens en het waarborgen van een passend beschermingsniveau. Ook de wijze waarop door geoorloofde gebruikers toegang wordt verkregen tot persoonsgegevens dient te voldoen aan bepaalde standaarden. Wanneer gebruikers bijvoorbeeld via onbeveiligde of ongecontroleerde verbindingen toegang kunnen verkrijgen, kunnen daarmee bepaalde beveiligingsmaatregelen worden omzeild of kunnen ongezien ongeoorloofde handelingen worden verricht.
221. De NEN 7510 omschrijft welke beheers- en implementatiemaatregelen genomen moeten worden in het kader van authenticatie, toegang en telewerken, waaronder de volgende:
a) Ten eerste dient een beleid voor toegangsbeveiliging en -controle te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs‐ en informatiebeveiligingseisen dat aan bepaalde eisen dient te voldoen. Organisaties die persoonlijke gezondheidsinformatie verwerken, behoren de toegang tot die informatie te controleren. In het algemeen behoren gebruikers van gezondheidsinformatiesystemen de toegang tot persoonlijke gezondheidsinformatie te beperken tot situaties waarin er een zorgrelatie bestaat tussen de gebruiker en de betrokkene, waarin de gebruiker een activiteit uitvoert namens de betrokkene en waarin specifieke gegevens nodig zijn om deze activiteit te ondersteunen. De organisatie behoort alle partijen te identificeren en documenteren waarmee gegevens worden uitgewisseld, en met deze partijen behoren contractuele afspraken over toegang en rechten te worden gemaakt, alvorens gegevens uit te wisselen;64
b) Ten tweede dienen bij telewerken (thuiswerken) beleid en ondersteunende beveiligingsmaatregelen te worden vastgesteld en geïmplementeerd ter beveiliging van gegevens die worden verwerkt vanaf telewerklocaties, zoals ten aanzien van het voorkomen van de opslag van gegevens op privéapparatuur en het voorkomen van onbevoegde toegang, zoals door bijvoorbeeld familie en vrienden. Daarbij dient onder
64 NEN 7510‐2:2017, paragraaf 9.1.1, p. 44 e.v.
andere rekening te worden gehouden met de gevoeligheid van de informatie en de vraag of informatie opgeslagen moet kunnen worden op eigen apparatuur;65
c) Ten derde dienen beveiligingsmaatregelen in acht te worden genomen ten aanzien van apparatuur die zich buiten het bedrijfsterrein bevindt en waarop gegevens worden verwerkt. Gebruik van dergelijke apparatuur dient onder andere door de directie te worden goedgekeurd. Ook dienen er afspraken te worden vastgelegd over de fysieke beveiliging van dergelijke apparatuur. Verder dient onderwerpspecifiek beleid te worden vastgesteld ter zake beveiligde configuratie en beveiligd gebruik daarvan. Het beleid dient onder andere in aanmerking te nemen: de registratie van de eindapparatuur, beperkingen van de installatie van software, regels voor updates, toegangsbeveiliging, versleuteling, analyse van het gedrag van de eindgebruiker en het gebruik van externe opslagapparaten zoals USB-sticks. Wanneer wordt gewerkt met zeer gevoelige gegevens, dient te worden overwogen om het onmogelijk te maken om gegevens op te slaan op de eindapparatuur zelf. Wanneer gebruikt wordt toegestaan van eigen apparatuur, gelden nog aanvullende vereisten, zoals regels over scheiding van zakelijk en privégebruik en het bevestigen door de gebruikers van hun verplichtingen. Er dient bij dit alles rekening te worden gehouden met de vraag of de apparatuur alleen binnen de beveiligde omgeving van de organisatie wordt gebruikt of ook daarbuiten.66
222. De AP heeft op 8 november 2021 geconcludeerd dat de toegangsbeveiliging op de GGD-systemen onvoldoende was (productie K.1). De GGD-systemen konden vanaf eigen apparatuur rechtstreeks worden benaderd via een URL buiten de beveiligde werkomgeving. Ook is gebleken dat laptops werden verstrekt aan een deel van de medewerkers, terwijl een andere groep medewerkers, waaronder medewerkers van de landelijke partners, op eigen apparatuur werkte. Hiervoor is geen eenduidig beleid aangetroffen. Bovendien heeft GGD GHOR aangegeven met de landelijke partners geen afspraken te hebben vastgelegd over het werken op eigen apparatuur.
223. De AP heeft opgemerkt dat het gebruik van eigen apparatuur in combinatie met de mogelijkheid om op de onderzochte systemen in te loggen buiten een beveiligde werkomgeving, kan leiden tot beveiligingsrisico’s. Omdat de eigen apparatuur niet in beheer is bij de werkgever, is niet bekend of de apparatuur aan bepaalde beveiligingseisen voldoet en is het niet mogelijk om bepaalde technische beveiligingsmaatregelen te implementeren.
224. Er bestond dus geen beleid ten aanzien van het opslaan van persoonsgegevens op eigen apparatuur, zoals omvangrijke databestanden die konden worden geëxporteerd vanuit HPZone Lite.
65 NEN 7510‐2:2017, paragraaf 6.2.2, p. 22 e.v.
66 NEN 7510‐2:2017, paragraaf 11.2.6, p. 77 e.v. en Code voor Informatiebeveiliging, paragraaf 8.1, p. 112 e.v.
225. De risico’s ten aanzien van thuiswerken op eigen apparatuur werden al geconstateerd in de BCO- DPIA van november 2020, maar zijn vervolgens dus niet opgelost (productie G.15):
“Medewerkers werken thuis, wat betekent dat andere personen aanwezig kunnen zijn en gebruik kunnen maken van het thuisnetwerk. Dit betekent dat huisgenoten onrechtmatig gegevens kunnen horen of zien, indien de medewerker werkt op een locatie waar andere aanwezig zijn. Daarnaast kunnen mensen die op hetzelfde netwerk werken, toegang krijgen tot de gegevens die via dat netwerk worden verstuurd. Hierdoor kan onrechtmatige inzage van gegevens mogelijk zijn. Ten slotte gebruiken medewerkers eigen apparatuur om de werkzaamheden op uit te voeren. Medewerkers kunnen bestanden met vertrouwelijke informatie downloaden uit de beveiligde omgeving en niet/niet tijdig verwijderen. Indien deze apparatuur niet goed is beveiligd, kan worden meegekeken in de systemen van de medewerker of kunnen inloggegevens worden gestolen. Dit betekent dat fraude kan worden gepleegd met deze gegevens.
• De kans dat het risico zich manifesteert is hoog. Medewerkers werken thuis, maar vaak ook de huisgenoten. Dit betekent dat de medewerker zich altijd zal moeten afzonderen, wat voor sommige medewerkers niet mogelijk is. Ook kan een huisgenoot binnenlopen bij een gesprek. Vaak wordt door huisgenoten ook hetzelfde wifi-netwerk gebruikt, waardoor deze toegang kunnen krijgen tot de data-uitwisseling van de medewerker met het netwerk.
• De impact van het risico is hoog. Hoewel het gaat om huisgenoten, kunnen zij de persoonsgegevens opvangen. Hierdoor bestaat de kans dat wordt gesproken over de casus. Als een huisgenoot de data-uitwisseling kan volgen, betekent dat dat hij met de persoonsgegevens kan doen wat hij wenst, terwijl het hier gaat om gegevens die gevoelig zijn en die gebruikt/verkocht kunnen worden om fraude mee te plegen.”
226. In een planbeschrijving van GGD Haaglanden dat ziet op de veiligheid van de GGD-systemen wordt opgemerkt dat toegang tot HPZone (Lite) slecht is bewaakt en zwakke toegangsbeveiliging kent en dat er bij CoronaIT sprake is van “Toegang tot grootschalige data- alles voor iedereen inzichtelijk” (productie G.9).
227. Uit voorgaande volgt dat de Staat c.s. ten aanzien van het onderwerp toegangsbeveiliging geen passend beschermingsniveau hebben geboden, in strijd met artikel 5 lid 1 sub f AVG en artikel 32 AVG.
4.2.4.3 Toegangsbeveiliging: autorisaties en toegangsrechten
228. Autorisatie is het proces waarin een persoon bepaalde aan hem of haar toegekende rechten krijgt binnen een systeem. Het doel hiervan is dat medewerkers enkel toegang hebben tot persoonsgegevens of functionaliteiten die noodzakelijk zijn voor de uitvoering van hun werk, en dat zij die toegang weer verliezen op het moment dat zij die niet langer nodig hebben. Autorisaties en het juiste beheer daarvan dragen bij aan een passend beveiligingsbeleid binnen een organisatie.
229. De NEN 7510 omschrijft welke beheers- en implementatiemaatregelen genomen moeten worden in het kader van autorisaties, waaronder de volgende:
a) Ten eerste behoren passende regels voor toegangsbeveiliging, toegangsrechten en toegangsbeperkingen voor specifieke gebruikersrollen te worden vastgesteld, waarbij de details en striktheid een afspiegeling zijn van de gerelateerde beveiligingsrisico’s. Het beleid dient onder andere rekening te houden met de specifieke beveiligingseisen en de beleidsregels voor informatieautorisaties, zoals de “need-to-know” en “need-to-use” principes, met eisen voor het periodiek beoordelen van toegangsrechten, met het intrekken van toegangsrechten en met rollen met specifieke toegangsrechten. Toegangsrechten dienen te worden vastgesteld op basis van vooraf gedefinieerde rollen met bijbehorende bevoegdheden, passend bij de behoeften van die rollen. Ook dienen toegangsregels te worden vastgesteld op basis van het principe “alles is in principe verboden tenzij het uitdrukkelijk is toegestaan”;67
b) Ten tweede behoren gebruikers alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn. Het daarvoor vereiste beleid dient autorisatieprocedures te omvatten om vast te stellen wie toegang krijgt en een procedure voor het monitoren van netwerkdiensten;68
c) Ten derde dient er een formele registratie- en afmeldingsprocedure te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken. De gebruikersregistratiegegevens behoren regelmatig te worden beoordeeld om te garanderen dat ze volledig en juist zijn en dat toegang nog altijd vereist is. De procedure behoort te omvatten: het gebruik van unieke gebruikersidentificaties zodat gebruikers kunnen worden gekoppeld aan en verantwoordelijk kunnen worden gehouden voor hun acties (het gebruik van groepsidentificaties behoort alleen te worden toegelaten als deze om bedrijfs- of operationele redenen noodzakelijk zijn), het onmiddellijk ongeldig maken of verwijderen van gebruikersidentificaties van gebruikers die de organisatie hebben verlaten en het periodiek identificeren en verwijderen van overbodige gebruikersidentificaties, het ervoor zorgen dat overtollige gebruiksidentificaties niet aan andere gebruikers worden uitgegeven en het nauwkeurig vastleggen van de identiteit en beroepsgegevens van de gebruikers;69
d) Ten vierde dient er een formele gebruikerstoegangsverleningsprocedure te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken. De procedure voor het toewijzen of intrekken van toegangsrechten behoort te omvatten: het verkrijgen van autorisatie van de eigenaar van het informatiesysteem, het verifiëren dat het verleende toegangsniveau in overeenstemming is met de beleidsregels voor toegang, het waarborgen dat toegangsrechten niet worden geactiveerd voordat de autorisatieprocedures zijn afgerond, het bijhouden van een centraal overzicht van toegangsrechten die aan
67 NEN 7510‐2:2017, paragraaf 9.1.1, p. 45 e.v.
68 NEN 7510‐2:2017, paragraaf 9.1.2, p. 47 e.v.
69 NEN 7510‐2:2017, paragraaf 9.2.1, p. 48 e.v.
gebruikers zijn toegekend, het aanpassen van toegangsrechten van gebruikers wiens rollen of functies zijn gewijzigd en het onmiddellijk verwijderen of blokkeren van toegangsrechten van gebruikers die de organisatie hebben verlaten. In de procedures dient voorts duidelijk te worden vastgesteld of gebruikers al dan niet toegang krijgen tot persoonlijke gezondheidsinformatie;70
e) Ten vijfde behoren eigenaren van bedrijfsmiddelen de toegangsrechten van gebruikers regelmatig te beoordelen. Daarbij dient onder andere in overweging te worden genomen dat toegangsrechten regelmatig behoren te worden beoordeeld na wijzigingen, zoals beëindiging van het dienstverband;71
f) Ten zesde behoren de toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatieverwerkende faciliteiten bij beëindiging van hun dienstverband, contract of overeenkomst te worden verwijderd, en bij wijzigingen te worden aangepast;72
g) Ten zevende behoren toegang tot informatie en systeemfuncties van toepassingen te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging. De systemen behoren de identiteit van de gebruiker vast te stellen door middel van twee- factor-authenticatie. Ook dienen de volgende aspecten in overweging te worden genomen: er moet worden beheerst welke gegevens voor een bepaalde gebruiker toegankelijk zijn, de toegangsrechten van gebruikers moeten worden beheerst, bijv. lezen schrijven, verwijderen en uitvoeren, en de informatie in output dient te worden beperkt.73
Geen (adequaat) toegangs- en autorisatiebeleid
230. Op basis van NEN 7510 hadden de Staat c.s. een autorisatieproces moeten hebben op basis waarvan medewerkers enkel toegang kregen tot persoonsgegevens die noodzakelijk waren voor de uitvoering van hun taken. De Staat c.s. hadden passende regels voor toegangsbeveiliging, ‐ rechten en -beperkingen voor specifieke gebruikersrollen vast moeten stellen, waarbij de details en de striktheid van de beheersmaatregelen een afspiegeling zijn van de gerelateerde informatiebeveiligingsrisico’s. Concreet betekent dit dat de Staat c.s. rollen met bijbehorende autorisaties hadden moeten vaststellen en toepassen. Die autorisaties behoren “passend” te zijn. Dat betekent dat (de noodzaak voor) de toegang tot persoonsgegevens en de beperkingen van de toegang afhankelijk zijn van de rol van de medewerker en de relatie tot de Betrokkene, waarbij
70 NEN 7510‐2:2017, paragraaf 9.2.3, p. 49 e.v.
71 NEN 7510‐2:2017, paragraaf 9.2.5, p. 53 e.v.
72 NEN 7510‐2:2017, paragraaf 9.2.6, p. 54 e.v.
73 NEN 7510‐2:2017, paragraaf 9.4.1, p. 57 e.v.
de goede uitvoering van de taken die worden uitgevoerd door de medewerker in aanmerking worden genomen.74
231. De AP heeft tijdens haar onderzoek in 2021 geen toereikende documentatie aangetroffen die ten aanzien van HPZone (Lite) inzichtelijk maakt welke specifieke rechten en functionaliteiten aan verschillende rollen waren gekoppeld (productie K.1).
232. In een concept-DPIA vaccinaties van 15 januari 2021 staat echter ook ten aanzien van CoronIT beschreven dat er geen adequaat autorisatiebeleid is opgesteld (productie G.16):
“12. Toegang tot persoonsgegevens onvoldoende geregeld
In CoronIT worden veel gegevens verwerkt en veel medewerkers met verschillende rollen hebben toegang tot (delen van) deze gegevens. De rollen moeten duidelijk zijn en wanneer bepaalde personen geen toegang nodig hebben tot bepaalde gegevens voor de uitvoering van de werkzaamheden, moet toegang tot deze gegevens worden afgeschermd. Op dit moment is daarvoor geen adequaat autorisatiebeleid opgesteld. Daarnaast lijkt de in- en uitstroom van medewerkers bij de GGD'en en verwerkers erg hoog te zijn, waardoor medewerkers wel worden aangemeld, maar niet direct worden afgemeld, waardoor ze toegang behouden tot de (medische) gegevens in CoronIT. Toegang tot persoonsgegevens lijkt onvoldoende te zijn geregeld, waardoor onbevoegden gegevens in kunnen zien. Dit leidt tot imagoschade, negatieve publiciteit en financiële schade in de vorm van boetes/sancties.”
233. In de Woo-stukken heeft Stichting ICAM eveneens geen autorisatiematrixen of -procedures aangetroffen die enige betekenisvolle informatie geven, niet voor HPZone (Lite) en niet voor CoronIT. De matrixen die wel openbaar zijn gemaakt, zijn bovendien ofwel niet gedateerd ofwel van een datum na 25 januari 2021. De eerste opzet van een beleid- en procesbeschrijving voor toegangsbeveiliging van GGD Gelderland-Zuid dateert pas van 30 januari 2021, aldus van na bekendwording van het GGD-datalek (productie G.20). Ten aanzien van GGD IJsselland dateert de eerste versie van het Beleid Logische Toegangsbeveiliging pas van 26 november 2021 (productie G.22). Een Protocol Toegangs- en autorisatiebeheer Applicaties Coronaketen werd door GGD IJsselland pas definitief vastgesteld op 9 september 2021 (productie G.23).
234. In een memo van 30 april 2021 over het opstellen van autorisatiematrices voor HPZone (Lite) staat beschreven dat HPZone (Lite) diverse rollen kent met daaraan gekoppelde functionaliteiten, maar dat de beschrijving van die functionaliteiten niet of slechts in geringe mate beschikbaar is (productie G.4). Ook was er helemaal geen autorisatiematrix vanuit de leverancier of vanuit GGD GHOR bekend. Deze situatie was volgens het memo in februari 2021 aanleiding om het opstellen van een autorisatiematrix voor HPZone (Lite) op de agenda te zetten. Vanwege de vervanging van HPZone (Lite) door GGD Contact en het BCO-portaal, wordt in het memo uiteindelijk geconcludeerd dat een autorisatiematrix voor HPZone (Lite) “op dit moment niets meer toe
74 Zie ook: Autoriteit Persoonsgegevens, ‘Onderzoeksrapport Toegang tot digitale patiëntdossiers door medewerkers van het HagaZiekenhuis’, maart 2019, p. 9.
[voegt] op het gebied van privacy, security”. De GGD Haaglanden “werkt immers al jaren met HPZone zonder al te grote incidenten” (productie G.4).
235. Stichting ICAM kan daardoor niet anders concluderen dan dat er geen (afdoende) autorisatiematrixen bestaan, en dat die in ieder geval niet bestonden voorafgaand aan de berichtgeving door RTL Nieuws in januari 2021.
Toekenning van rechten was te ruim
236. De toekenning van toegangs- en gebruiksrechten binnen CoronIT en HPZone Lite was te ruim. GGD-medewerkers hadden toegang tot gegevens in de GGD-systemen (ook van andere GGD- regio's) waar zij geen toegang tot zouden moeten hebben. Ook hadden alle tienduizenden GGD- medewerkers toegang tot zowel de zoekfunctionaliteiten als de print- en exportfunctionaliteiten en hadden ongelimiteerde mogelijkheden om gegevens op te zoeken, te downloaden en te printen. Voor de uitvoering van de werkzaamheden was het niet noodzakelijk dat de betreffende functionaliteiten binnen CoronIT en HPZone Lite algemeen toegankelijk waren voor alle medewerkers. Slechts een handvol personen had die toegang nodig.
237. GGD-medewerkers hebben bevestigd dat zij toegang hadden tot gegevens in de GGD-systemen (van andere GGD-regio's) waar zij geen toegang tot zouden moeten hebben (productie C.8).
238. Volgens GGD GHOR hebben in CoronIT medewerkers inderdaad landelijk toegang tot alle dossiers.75 Dat de toekenning van rechten in de GGD-systemen te ruim was, is ook door de minister erkend.76 De AP heeft bij de twee door haar onderzochte GGD’en ook geconstateerd dat medewerkers over autorisaties beschikten die zij voor hun werkzaamheden niet of niet langer nodig hadden. Zo was de exportfunctionaliteit in HPZone Lite, waarmee grote hoeveelheden persoonsgegevens in bulk konden worden gedownload, toegankelijk voor alle reguliere rollen77 en dus voor alle circa 20.000 (deels extern ingehuurde) GGD-medewerkers.78
239. Dat de rechtenverlening te ruim was, blijkt ook uit verschillende Woo-stukken.
240. In de CoronIT-referentie-DPIA is vastgesteld dat er in CoronIT geen scheiding is aangebracht van toegang tussen GGD’en, hetgeen als hoog risico wordt geclassificeerd (productie G.1):
“3. Geen scheiding van toegang tussen regio’s
Voor medewerkers van GGD’en is geen scheiding aangebracht tussen de regio’s in CoronIT. Dit betekent dat medewerkers van de ene regio gegevens van betrokkenen in een andere regio kunnen opzoeken. Deze keuze is gemaakt op vraag van een aantal GGD’en, omdat mensen zich buiten hun regio kunnen laten testen en voor toegang tot die gegevens dan telkens een aanvraag moet worden
75 Kamerstukken II 2020/21, 27529, nr. 234, p. 9 (productie D.2).
76 Kamerstukken II 2020/21, 27529, nr. 234, p. 17 (productie D.2).
77 Kamerstukken II 2020/21, 27529, nr. 234, p. 9 (productie D.2).
78 Kamerstukken II 2020/21, 27529, nr. 234, p. 39 (productie D.2).
ingediend, wat het proces vertraagd. Hierdoor is het echter mogelijk om onrechtmatig inzage te verkrijgen in de gegevens van alle inwoners van Nederland.
- De kans dat het risico zich manifesteert is groot. Er zijn veel medewerkers van GGD’en en ingehuurd personeel die gehele of beperkte toegang hebben tot CoronIT. De kans dat een van deze medewerkers zich, kwaadwillend of niet, toegang verschaft tot de gegevens.
- De impact van het risico is hoog. In CoronIT zijn medische gegevens en het BSN opgenomen, alsook contactgegevens. Hier kan op verschillende wijze misbruik van worden gemaakt.
Geadviseerd wordt om de volgende maatregelen te nemen:
- Besloten is dat het niet mogelijk is om CoronIT enkel voor de regio beschikbaar te stellen, omdat mensen zich ook regelmatig buiten de regio laten testen. Regel daarom dat, indien een dossier van iemand buiten de regio wordt geopend, breaking-the-glass is ingevoerd waarbij een reden moet worden ingegeven waarom de medewerker zich toegang wil verschaffen tot het dossier.
- Stel logging in op de breaking-the-glass inzages en controle elke toegang die via breaking- the-glass is verkregen. Op deze wijze kan worden beoordeeld of een medewerker rechtmatig inzage heeft gehad in de gegevens.
- Indien wordt gekozen breaking-the-glass niet in te stellen, dient strenge logging te worden toegepast op de verwerkingen in CoronIT.
Het restrisico na genomen maatregelen is dat als breaking-the-glass of een andere vorm van scheiding tussen regio’s niet wordt aangezet en gecontroleerd, medewerkers toch onrechtmatig dossiers inzien uit andere regio’s en de gegevens misbruiken. De medewerkers werken in een groot deel van de gevallen thuis (in het geval van het callcenter. Medewerkers van de GGD en in de teststraten werken vaker op locatie), waardoor ook geen onderling toezicht op de werkvloer bestaat. Logging kan daarbij niet iedere medewerker en iedere toegang tot de gegevens controleren.”
241. Ten aanzien van CoronIT heeft GGD GHOR wel een toelichting bij de verschillende rollen opgesteld (productie G.24). Dit document dateert van 18 mei 2020. Daaruit blijkt dat GGD- medewerkers nagenoeg onbeperkte toegangsrechten hadden:
“De GGD-medewerker kan een aantal rollen toebedeeld krijgen. Voor alle rollen uitgezonderd roosterplanner geldt:
• Inzicht in dossier client. Zoekfuncties naar het dossier van cliënten o.b.v. patiëntnummer, BSN, of een combinatie van twee andere persoonscriteria. Bij het openen van een dossier dat aan een andere GGD is gekoppeld wordt een ‘breaking the glass’-methode toegepast, waarbij de gebruiker een reden op moet geven voordat het dossier wordt geopend.
• Inzicht in afsprakenoverzicht. Omdat GGD’en elkaar ondersteunen en werk uitwisselen (in het kader van hun WPG-taken) kunnen afspraken van andere afnamelocaties worden ingezien. Dat is nodig omdat mensen ook buiten hun woongebied getest worden. In de werkinstructies wordt duidelijk aangegeven, welke filters het best gebruikt kunnen worden om de voor de gebruiker optimale selectie zichtbaar te maken.”
242. De genoemde “breaking the glass”-methode is echter volgens een e-mailwisseling van de gemeente Rotterdam van 1 februari 2021 nooit toegepast (productie G.41).
243. Uit een e-mailwisseling van 25 mei 2020 waarin een overleg tussen GGD GHOR en GGD Rotterdam-Rijnmond over privacy ten aanzien van CoronIT wordt samengevat, blijkt dat al op dat moment het bewustzijn bestond dat sprake was van te ruime toegang. Eerder zou de toegang van GGD-medewerkers tot de systemen beperkt zijn geweest tot de betreffende regio waarvoor de betreffende medewerker werkzaam is. Ten tijde van deze e-mailwisseling was de toegang, eenmaal toegekend, echter landelijk. Opgemerkt wordt dat men de “huidige brede toegang niet proportioneel [vindt] aan het gestelde doel” (productie G.25).
244. Uit de e-mailwisseling van de gemeente Rotterdam van 1 februari 2021 blijkt eveneens dat de toegang tot de GGD-systemen veel te ruim was (productie G.41):
“Iedereen die toegang heeft [tot CoronIT, advocaat], heeft toegang tot de data over heel Nederland. [zwartgelakt]
op verzoek werden gegevens opgezocht en doorgespeeld. Dit werd erg gemakkelijk gemaakt doordat de medewerkers letterlijk iedereen konden opzoeken. […]
HP Zone kent een query functie die het mogelijk maakt om bestanden eruit te trekken. Iedereen die
toegang had kon ook hierbij. Er werd niet gemonitord wie wat deed. […]
met behulp van de query functie zijn grote aantallen data aan het systeem [HPZone, advocaat]
onttrokken en te koop aangeboden.”
245. In een memo van 8 maart 2021 van GGD Haaglanden wordt nader ingegaan op het toekennen van rechten binnen HPZone (Lite) (productie G.5):
“Binnen de applicatie zijn een tweetal rollen (Administrative-Officer en HPZoneNL Admin) waarmee gebruikers kunnen worden opgevoerd en rechten en autorisaties kunnen worden toegekend aan medewerkers die gebruik moeten maken van HPZone (Lite). De Administrative-Officer moet gekoppeld worden aan de HPZoneNL-Admin rol en vormt als zodanig een twee-eenheid. Gebruikelijk is dat dit soort rollen met verregaande rechtentoekenning, worden voorbehouden aan beheerders op het hoogste niveau die functioneel geautoriseerd zijn deze activiteiten uit te voeren. De situatie is echter nog iets complexer. Aan genoemde rollen zijn ook functionaliteiten ondergebracht die niet voorkomen in andere rollen maar wel noodzakelijk zijn voor een aantal medewerkers.
Dit geldt ook voor het geven van meerdere accounts aan een landelijke BCO-medewerker. Hierdoor hebben landelijke BCO-medewerkers toegang tot de omgevingen van meerdere GGD’en, wat betekend [sic.] dat ze altijd in al deze omgevingen in kunnen loggen. Dit verhoogt de kans op onrechtmatige toegang en fraude, en verkleint die [sic.] kans op detectie van deze onrechtmatige toegang en fraude."
246. Geconcludeerd wordt dat een situatie is ontstaan waardoor meerdere medewerkers rollen hebben ontvangen waarmee zij hun werk kunnen uitvoeren maar daarnaast ook functionaliteiten kunnen gebruiken “die kunnen leiden tot onrechtmatig handelen”. Blijkens een verslag van de GGD Haaglanden was deze situatie in april 2021 nog niet opgelost. Er bestonden op dat moment
nog steeds geen autorisatiematrixen omdat voor zowel CoronIT als HPZone de functionele beschrijvingen ontbraken (productie G.52).
247. Uit e-mailwisselingen van begin februari 2021 tussen GGD Drenthe en de Veiligheidsregio Drenthe blijkt dat naar aanleiding van de “dataperikelen” het toegangsproces tot HPZone is aangescherpt (productie G.14). Uit een notitie van 23 juni 2021 blijkt echter dat voor de corona- organisatie van GGD Flevoland “het onterecht hebben van rechten” nog steeds het hoogste risico is binnen het risicocluster “Gebruik (regio)” (productie G.19). Ook uit de DPIA Bron- en Contactonderzoek van GGD Rotterdam-Rijnmond blijkt dat (productie G.27):
“Een aandachtspunt blijft dat de personen binnen HPZone nog steeds te open staat en dat iedereen nog te veel kan zien, zodra men binnen HPZone een rol heeft toegewezen”.
248. Het gebrek aan (adequate) autorisatieprocedures heeft er ook daadwerkelijk toe geleid dat GGD- medewerkers toegang hadden tot veel meer gegevens dan zij nodig hadden.
249. In een groei- en voortgangsdocument van 25 juni 2021 van GGD Haaglanden wordt geconstateerd dat ten onrechte gebruikers van partnerorganisaties zijn geautoriseerd. Als gevolg daarvan is pas in februari 2021 een groot aantal gebruikers gedeactiveerd (productie G.2 en productie G.8):
i. Rode Kruis: 03-02-2021 alle 703; ii. VHD: 16-02-2021 alle 102;
iii. ANWB: 16-02-2021 alle 154;
iv. SOS international (@XXX.xx en @XXXxxxxxxxxxxxxx.xx): totaal 1952 18-02-2021: medewerkers: 1095 gedeactiveerd
v. Eurocross: totaal 403 medewerkers
250. In het document wordt daarnaast geconstateerd dat binnen HPZone Lite rollen met de mogelijkheid tot het verstrekken van rechten aan medewerkers (intern of van partnerorganisaties) “direct” moeten worden beperkt (productie G.2).
251. Een ander intern document van GGD Haaglanden onderschrijft de gebrekkige maatregelen op het gebied van autorisaties (productie G.10):
“Vanaf augustus 2020 is het aantal gebruikers dat rechten heeft om de CORONA map op de G: schijf in te zien en te wijzigen enorm toegenomen. Momenteel zijn er ongeveer 900 verschillende user accounts met volledige wijzigrechten op de gehele map CORONA. Het voordeel van deze situatie is dat een medewerker, zonder verdere tussenkomst van ICT, direct kan schakelen in verschillende rollen en werkzaamheden. Dit maakt de organisatie op dat gebied erg wendbaar. Er zijn echter ook erg veel nadelen en risico’s, zoals:
- geen zicht op wie waar rechten of toegang op heeft en zou moeten hebben
- aanwezige data kan onaangekondigd gewijzigd, verplaatst of verwijderd worden
- het doorvoeren van aanpassingen wordt bemoeilijkt door technische issues
- medewerkers kunnen hun werk baseren op verouderde instructies of gegevens
[…]
Uit navraag bij de verschillende teams binnen het Coronaprogramma blijkt dat meer dan 80% van het totaal aantal accounts geen wijzigrechten nodig heeft. Deze 80% willen we graag omzetten naar ‘alleen-lezen’ om de kans op een aantal van de eerder genoemde risico’s te verminderen.”
Niet of te laat aanpassen en intrekken van rechten
252. Ook bestond op de accounts die werden aangemaakt en vervolgens toegang hadden tot de systemen nauwelijks toezicht. Zo verklaarde een werknemer al “tientallen keren” een account aan te hebben laten aanmaken zonder enige controle (productie C.8). In een planbeschrijving van GGD Haaglanden die ziet op de veiligheid van de GGD-systemen wordt als risico van CoronIT en HPZone Lite geconstateerd dat er onvoldoende zicht bestaat op toegang tot en gebruik van gegevens. Erkend wordt dat dit risico kan leiden tot misbruik van gegevens door eigen of ingehuurde medewerkers (productie G.9).
253. Bovendien werden rechten niet of te laat aangepast of ingetrokken en zijn er tussen betrokken partijen onvoldoende afspraken gemaakt. Uit de stukken blijkt dat dit geen sporadische incidenten waren, maar dat sprake was van systematisch falen, mede veroorzaakt doordat er geen adequate procedures waren ingeregeld.
254. De risico’s ten aanzien van het intrekken van autorisaties werden - voor zover Stichting ICAM kan nagaan: voor het eerst - geadresseerd in de BCO-DPIA van november 2020. Daaruit blijkt dat er een hoog risico bestond dat het vergeten van het intrekken van rechten van een BCO- medewerker, leidt tot onrechtmatige verwerking van persoonsgegevens (productie G.15):
“Applicatiebeheerders bij GGD’en moeten medewerkers van de landelijke schil rechten geven om in de systemen van de GGD te kunnen werken. Dit wordt vaak wel gedaan, maar door de drukte wordt vergeten de rechten in te trekken als de medewerker niet meer werkt voor die GGD. Daarnaast wordt vergeten de rechten op inactief te zetten als de medewerker bij een andere GGD wordt ingezet, waardoor de medewerker actieve inloggegevens heeft bij meerdere GGD’en, terwijl deze maar bij een GGD werkt op dat moment. Ook blijken medewerkers met gegevens van een andere GGD voor een GGD te werken. Hierdoor wordt het moeilijk na te gaan voor welke GGD is gewerkt en of de verwerkingen die de medewerker heeft uitgevoerd rechtmatig zijn, waardoor de kans op onder andere fraude toeneemt en fouten minder snel kunnen worden opgespoord.
Dit geldt ook voor het geven van meerdere accounts aan een landelijke BCO-medewerker. Hierdoor hebben landelijke BCO-medewerkers toegang tot de omgevingen van meerdere GGD’en, wat betekend [sic.] dat ze altijd in al deze omgevingen in kunnen loggen. Dit verhoogt de kans op onrechtmatige toegang en fraude, en verkleint die [sic.] kans op detectie van deze onrechtmatige toegang en fraude."
• De kans dat het risico zich manifesteert is hoog. De medewerkers kunnen gewoon bij de gegevens tot het account wordt verwijderd of op inactief wordt gezet. Dit in combinatie met slechte tot geen monitoring van de logging, zorgt ervoor dat niet kan worden achterhaald dat er iets fout gaat en de kans op fraude die door blijft gaan groot is.
Met de multiples accounts kunnen medewerkers gelijktijdig toegang krijgen tot de verschillende omgeving waarbij deze medewerkers toegang krijgen tot een groot aantal persoonsgegevens.
• De impact is hoog. Met de gegevens kan onrechtmatige inzage worden gegeven en fraude worden gepleegd. Hier kan de betrokkene grote gevolgen van ondervinden.”
255. Al eerder uitten oud-GGD-medewerkers hun zorgen over het te laat intrekken van rechten. Zo kon een GGD-medewerker die wegens een gemiste training niet in dienst kon treden een maand later nog steeds in zijn account. In september 2020 vertelde hij RTV Oost: “Je zou denken dat het account inmiddels geblokkeerd is. Ik heb vorige week eens geprobeerd in te loggen. En je raadt het al: dat lukte” (productie C.1).
256. Door GGD Haaglanden wordt in een groei- en voortgangsdocument vastgesteld dat GGD- medewerkers daadwerkelijk niet of te laat werden afgemeld. Dit heeft ertoe geleid dat op 2 februari 2021 180 medewerkers van Randstad zijn gedeactiveerd en op 17 februari 2021 nog eens 194 GGD-medewerkers. Externe gebruikers van HPZone Lite werden bovendien ten onrechte ook opgevoerd in CoronIT en andersom. Verder wordt als risico genoemd dat het afnemen van autorisaties bij off-boarding niet technisch of organisatorisch is afgedwongen in HPZone Lite en CoronIT (productie G.2).
257. Dat het afmelden van externe gebruikers niet of te laat gebeurde, blijkt ook uit een interne e- mail van GGD Drenthe van 19 februari 2021 (productie G.12):
“Ik heb vandaag een mogelijkheid in Hpzone ontdekt, die wij tot voor kort als niet mogelijk hebben geacht. Doormiddel van het combineren van 2 lijsten, is het mogelijk om alle gebruikers van webhelp die inactief zijn (in 2021 niet ingelogd) in beeld te krijgen. Ik schat dat het opschonen van deze lijst van 1723 externe gebruikers circa 8 uur zal kosten. Het sterke vermoeden bestaat dat daarmee het aantal gebruikers met toegang gehalveerd kan worden. Ik heb dit stuk met [zwartgelakt] besproken en die staat achter het houden van deze opschoonactie.
Echter speelt er ook een nieuwe route vanuit landelijk (zie bijlage) die mogelijk op korte termijn definitief wordt. Bij ingaan van dit voorstel zal er een harde reset volgen waarbij alle externe gebruikers verwijderd zullen worden en daarna met nieuwe lijsten zullen de actieve gebruikers weer toegevoegd worden. De grote vraag is wanneer dit voorstel definitief wordt en wij deze harde reset kunnen gaan uitvoeren. Tot dat moment zitten de externe inactieve gebruikers nog in ons systeem.”
258. Pas op 25 februari 2021 heeft GGD GHOR een procesvoorstel gedaan voor het opschonen van de autorisaties voor externe (landelijke) medewerkers in HPZone Lite, waarbij GGD’en bij ingang van het voorstel alle landelijke medewerkers moesten afmelden en daarna opnieuw actieve medewerkers moesten toevoegen (productie G.13). Uit het procesvoorstel blijkt bovendien dat niet iedere dag medewerkers bij de GGD aanwezig hoeven zijn met de juiste rechten om mensen aan en af te melden in HPZone Lite (productie G.17). Medewerkers die vanuit de flexibele landelijke capaciteit voor een GGD werken, worden niet doorlopend maar “op gezette tijden” afgemeld. In het Beleid Logische Toegangsbeveiliging van GGD IJsselland staat zelfs dat het uitgangspunt is dat controles van autorisaties slechts elke 6 maanden dienen te worden
uitgevoerd ten aanzien van informatiesystemen en applicaties waarin persoonlijke gezondheidsinformatie met de hoogste risico’s is opgeslagen (productie G.22).
259. Dat de processen bij uitdiensttreding ook na het projectvoorstel van GGD GHOR nog niet goed waren ingeregeld, blijkt uit een intern document van de GGD Hollands-Noorden van 22 juni 2021. Bij uitdiensttreding wordt slechts per e-mail gevraagd of BCO-medewerkers alle data van de GGD hebben verwijderd. In dat document wordt bovendien als risico van het gebruik van eigen apparatuur benoemd dat medewerkers data lokaal downloaden waardoor bestanden “rondslingeren” met daarbij “als direct gevolg het gevaar op een datalek of mogelijke handel in gegevens” (productie G.21).
260. Ook na het datalek heeft de AP bij de onderzochte GGD’en geconstateerd dat medewerkers over autorisaties beschikten die zij voor hun werkzaamheden niet of niet langer nodig hadden. Het proces rond het tijdig aanpassen of intrekken van autorisaties verliep nog altijd niet goed. Duidelijke afspraken tussen de betrokken partijen zijn niet aangetroffen, ook niet naar aanleiding van het datalek (productie K.1).
Gebrek aan afspraken tussen betrokken partijen
261. De AP heeft tijdens haar onderzoek geconcludeerd dat duidelijke afspraken tussen de betrokken organisaties over bepaalde beveiligingsaspecten rondom de systemen die voor BCO worden gebruikt, ontbreken. Dit geldt bijvoorbeeld ten aanzien van het autorisatiebeheer en de controle van logbestanden. Hierdoor is onvoldoende duidelijk wie waarvoor verantwoordelijk is en wie welke maatregelen in dit verband dient te treffen. Dat vergroot de kans op nieuwe tekortkomingen in de beveiliging van persoonsgegevens. Daarnaast heeft XXX XXXX zelf aangegeven met de landelijke partners geen afspraken te hebben vastgelegd over het werken op eigen apparatuur. De AP concludeert met de opdracht aan GGD GHOR en de GGD’en om onderling en met de overige betrokken partijen per direct duidelijke afspraken op het vlak van informatiebeveiliging te maken, vast te leggen en actueel te houden. Voor partijen dient immers duidelijk te zijn wie voor welke technische en/of organisatorische maatregelen verantwoordelijk is. Dat was onvoldoende geregeld. Uit de gesprekken is namelijk het beeld naar voren gekomen dat met name ten aanzien van HPZone Lite onduidelijkheid bestaat over de verantwoordelijkheidsverdeling (productie K.1).
262. Voorgaande terwijl in de CoronIT-referentie-DPIA al is vastgesteld dat het gebrek aan afspraken tussen betrokken partijen een wezenlijk risico vormt voor de bescherming van de persoonlijke levenssfeer van betrokkenen (productie G.1):
“6. Uitwisseling van gegevens met verschillende partijen kan leiden tot onrechtmatige uitwisseling van gegevens en gebrek aan overzicht van de uitwisselingen
De gegevens uit CoronIT zijn voor verschillende partijen interessant of van belang. Daarom vinden verschillende uitwisselingen plaats en worden vragen gesteld om uitwisselingen te starten. Sommigen daarvan zijn in de wet bepaald, voor anderen wordt een grondslag gezocht. De snelle
ontwikkelingen en drukte kan leiden tot onzorgvuldige afweging van de uitwisseling, waardoor gegevens onrechtmatig kunnen worden uitgewisseld.
- De kans dat dit risico zich manifesteert is hoog. Over het algemeen worden de uitwisselingen op landelijk niveau aangevraagd, omdat dit voordelen oplevert. Binnen organisaties is vaak ook een lijn afgesproken om te beoordelen of de uitwisseling rechtmatig is. Er kunnen echter, door de drukte of door een medewerker die niet op de hoogte is dat een toetsing nodig is, gegevens worden uitgewisseld waar geen toetsing op is uitgevoerd.
- De impact van het risico is hoog. Vaak worden veel gegevens opgevraagd en daarbij ook de medische gegevens. Hier wordt vaak geen naam bij gegeven, maar sets kunnen naar personen worden herleid. Hoe meer informatie wordt gegeven, hoe sneller iemand kan worden herleid.
Geadviseerd wordt om de volgende maatregelen te treffen:
- Stel duidelijke richtlijnen op over de uitwisseling van data en neem daarin op dat eerst een toetsing moet plaatsvinden door iemand die daar in het kader van privacy een advies op kan geven.
- Wissel niet meer uit dan in het advies van de privacyspecialist is opgenomen. Het uitwisselen van (extra) gegevens kunnen namelijk leiden tot een ander advies.
7. Wisselingen in partijen en verwerkingen kan leiden tot het niet maken van de juiste afspraken of onvoldoende grondslag
CoronIT is gemaakt om te ondersteunen in het bestrijden van de coronapandemie. Dit betekent dat de verspreiding sneller of trager kan gaan, waardoor veranderingen in het beleid, de verwerking en de partijen die meewerken ontstaan. Deze veranderingen kunnen snel gaan. Voor nieuwe partijen kan dit betekenen dat ze snel gaan meewerken, maar dat daardoor geen afspraken worden gemaakt over de verwerking van de persoonsgegevens. Wijzigingen in het beleid en/of de verwerking kunnen leiden dat snel gehandeld moet worden, waardoor een onjuiste of geen grondslag bestaat voor de verwerking.
- De kans dat het risico zich manifesteert is hoog. Continue verandering is vaak onder tijdsdruk, waardoor niet altijd kan worden nagedacht over de gevolgen van de veranderingen. Daarnaast is het snel aansluiten van partijen om het proces vlot te kunnen laten verlopen vaak belangrijk. Het opstellen van de juiste documenten en de onderhandeling daarover, vooral met betrekking tot privacy, kan daardoor worden vergeten.
- De impact van het risico is hoog. Onjuiste afspraken en geen of onvoldoende grondslag kan leiden tot onrechtmatige verwerking en/of het uitlekken van (medische) gegevens.
Geadviseerd wordt om de volgende maatregelen te treffen:
- Stel een duidelijke communicatielijn in over uitwisselingen en het aansluiten van nieuwe partijen, zodat kan worden of een grondslag bestaat of kan worden bekeken of, en zo ja welke, afspraken moeten worden gemaakt.
- Controleer periodiek of er wijzigingen zijn in partijen, de verwerking of nieuw beleid/nieuwe inzichten.
10. Een overzicht van alle partijen, datastromen en uitwisselingen is niet opgesteld, waardoor gegevensstromen niet in kaart zijn, persoonsgegevens onrechtmatig worden verwerkt en uitlekken.
CoronIT is gelinkt met veel systemen. Daarnaast lopen nog processen langs CoronIT. Binnen GGD GHOR is geen totaaloverzicht van waar alle data wordt verwerkt en waar dat naar wordt uitgewisseld. Dit kan leiden tot het missen van stromen en onrechtmatige uitwisselingen, maar ook van het ontbreken van afspraken met partijen die de persoonsgegevens verwerken.
- De kans dat het risico zich voordoet is hoog. Er is geen totaal overzicht en daarom kan niet worden gezegd of alles is getoetst en of alles rechtmatig wordt uitgewisseld.
- Het impact van het risico is hoog. Gevoelige persoonsgegevens kunnen uitlekken, wat grote gevolgen heeft voor de betrokkene van wie de data is gelekt.
Geadviseerd wordt om de volgende maatregelen te nemen:
- Breng de datastromen en afhankelijkheden rond de corona-applicaties in kaart.
- Toets na het in kaart brengen alle uitwisselingen en controleer of alle koppelingen zijn getoetst op beveiliging.
263. Ten aanzien van het gebrek aan onderlinge afspraken wordt in de BCO-DPIA gewezen op het risico dat snelle ontwikkelingen vanwege de snelgroeiende vraag naar capaciteit, leiden tot verlies van overzicht en het niet (adequaat) maken van afspraken (productie G.15):
“Binnen BCO is er een snelgroeiende vraag naar capaciteit, zodat GGD’en BCO adequaat kunnen uitvoeren. Deze vraag stijgt continu, waardoor nieuwe partijen, zowel verwerkers als subverwerkers, worden aangesloten. Hiervoor is geen centraal overzicht welke partijen exact meewerken en met wie wel en niet afspraken zijn gemaakt. Ook veranderd [sic] de werkwijze. Hierdoor kunnen verwerkersovereenkomsten achterlopen op de praktijk en dus niet de volledige verwerking bevatten. Dit betekent dat afspraken niet adequaat of volledig zijn gemaakt en dat persoonsgegevens onrechtmatig worden verwerkt, zowel in de wijze van verwerken, als de partij die deze persoonsgegevens verwerkt. […]”
264. Het gebrek aan afspraken, onder andere met betrekking tot de rolverdeling, tussen regionale en landelijke partners kan leiden tot onduidelijkheid in de verwerking van persoonsgegevens (productie G.15):
“Voor het landelijke BCO traject heeft de intentie bestaan een convenant te sluiten tussen GGD GHOR en de GGD’en om duidelijke afspraken te maken over de taken van GGD GHOR en de GGD’en. De optie van het convenant is afgewezen, waardoor nu geen afspraken zijn gemaakt. Dit heeft een aantal nadelen. Zo is het niet duidelijk wie welke rollen heeft, maar bestaan er voor GGD GHOR ook problemen met de grondslag om contracten voor BCO te sluiten, omdat ze daar in eigen titel geen bevoegdheid en grondslag voor heeft.”
265. Als gevolg van de inzet van verschillende callcenters, die elk eigen handelswijzen kennen, bestaat er een verhoogd risico op fraude, onrechtmatige verwerking en datalekken (productie G.15):
“De inzet van verschillende callcentra bij verschillende GGD´en resulteert in verschillende methoden van aanmelding van landelijke BCO-werknemers volgens verschillende methodes. Dit kan leiden tot verwarring bij de aanvraag van autorisaties en daardoor kunnen mensen onrechtmatig toegang krijgen tot het systeem.
Daarnaast werken callcentra vanuit hun eigen mailsystemen en met hun eigen telefoonnummers. Dit kan leiden tot verwarring bij betrokkenen, maar ook tot fraude. Mensen kunnen zich namelijk een e-mailadres aanmaken dat lijkt op het e-mailadres van het callcenter of bellen met een nummer en zich voordoen als een medewerker van het callcenter. Het is moeilijker te onderscheiden of het echt een landelijke BCO-medewerker is, of een fraudeur, omdat er geen centraal e-mailadres of telefoonnummer is.
• De kans dat het risico zich manifesteert is midden. De GGD’en zijn op de hoogte van de contactgegevens van de landelijke partners. Daarnaast worden burgers steeds waakzamer op vreemde mails en verzoeken aan de telefoon.
• De impact van het risico is hoog. Als een persoon onrechtmatige toegang krijgt, kan deze onrechtmatig gegevens verwerken. Dit geldt ook indien een persoon een vals nummer of emailadres aanmaakt. In dat geval kan er sprake zijn van fraude met de gegevens.
Geadviseerd wordt om de volgende maatregelen te nemen:
• Xxxx een uniforme werkwijze op zodat GGD’en weten dat de aanmelding van een landelijke BCO-medewerker echt door een landelijke partner wordt gedaan en stel een eenduidige werkwijze voor verificatie vast.
• Communiceer de e-mailadressen en telefoonnummers van waaruit kan worden gebeld en zorg dat betrokkenen op de hoogte zijn wat deze mailadressen en telefoonnummers zijn. Xxxx betrokkenen ook op de hoogte van de vragen die ze mogen verwachten en wat zeker niet wordt gevraagd.
266. Uit voorgaande volgt dat de Staat c.s. onvoldoende maatregelen hebben getroffen op het gebied van autorisatie en daarmee in strijd gehandeld met artikel 5 lid 1 sub f en artikel 32 AVG.
267. Het vastleggen van gebeurtenissen op IT-systemen in logbestanden en regelmatige controle daarvan vormt een belangrijk onderdeel van informatiebeveiliging. Aan de hand van de logbestanden kan worden nagegaan wie bepaalde gegevens heeft bekeken of aangepast. Ook kunnen uit logbestanden pogingen om ongeautoriseerd toegang te krijgen worden
geïdentificeerd. Ten aanzien van CoronIT en HPZone Lite is gebleken dat een deugdelijke en effectieve logging en controle ontbrak.
268. De NEN 7510 omschrijft welke beheers- en implementatiemaatregelen genomen moeten worden in het kader van logging en monitoring. Logbestanden die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren dienen te worden gemaakt, bewaard en regelmatig te worden beoordeeld. Logbestanden dienen het volgende te bevatten:79
a) Gebruikersidentificaties;
b) Systeemactiviteiten;
c) Data, tijdstippen en details van belangrijke gebeurtenissen, bijv. in en uitloggen;
d) Identiteit of indien mogelijk de locatie van de apparatuur en de systeemidentificatie;
e) Registratie van geslaagde en geweigerde pogingen om toegang te verkrijgen tot het systeem;
f) Registratie van goedgekeurde en geweigerde gegevens en overige pogingen om toegang te verkrijgen tot bronnen van informatie;
g) Systeemconfiguratieveranderingen;
h) Gebruik van speciale bevoegdheden;
i) Gebruik van systeemhulpmiddelen- en toepassingen;
j) Bestanden die zijn geopend en het type toegang dat is verkregen;
k) Netwerkadressen en –protocollen;
l) Alarmen die worden afgegeven door het toegangsbeveiligingssysteem;
m) Activering en deactivering van beschermingssystemen, zoals antivirussystemen en inbraakdetectiesystemen;
n) Verslaglegging van transacties die door gebruikers in toepassingen zijn uitgevoerd.
269. Verder dienen gezondheidsinformatiesystemen een beveiligd auditverslag (lees: een logbestand) aan te maken telkens wanneer een gebruiker toegang neemt tot gegevens of gegevens
79 NEN 7510‐2:2017, paragraaf 12.4.1, p. 89 e.v.
aanmaakt, bijwerkt of archiveert. Het auditverslag behoort op unieke wijze de gebruiker en de betrokkene te identificeren, de functie te identificeren die wordt uitgevoerd en het tijdstip en de datum te vermelden waarop de functie werd uitgevoerd. De faciliteit voor deze auditverslagen dient te allen tijde operationeel te zijn. Verder behoren berichtensystemen die worden gebruikt voor het overdragen van berichten met gegevens, een registratie bij te houden van die overdracht.80 Ook schrijft de NEN 7510 uitgebreid voor dat en hoe logbestanden moeten worden beveiligd tegen vervalsing en onbevoegde toegang.81
270. Het belang van logging is gelegen in de bescherming van de persoonlijke levenssfeer. De NEN 7510 vermeldt daarover:
“De eisen met betrekking tot het registreren en auditen behoren tot de belangrijkste van alle beveiligingseisen voor het beschermen van persoonlijke gezondheidsinformatie. Deze eisen garanderen rekenschap voor cliënten die hun informatie toevertrouwen aan elektronische registratiesystemen voor medische dossiers en zijn tevens een krachtige stimulans voor de gebruikers van dergelijke systemen om het beleid inzake het acceptabele gebruik van deze systemen na te leven. Doeltreffend auditen en registreren kan bijdragen aan het aantonen van misbruik van gezondheidsinformatiesystemen of van persoonlijke gezondheidsinformatie. Deze processen kunnen organisaties en cliënten ook helpen om schadeloosstelling te krijgen van gebruikers die hun toegangsrechten misbruiken. Eisen voor het registreren van gebeurtenissen worden in detail in NEN 7513 besproken.”82
271. Specifiek voor logging bestaat dus een afzonderlijk NEN-norm, de NEN 7513. Daaruit volgt dat logging het in het algemeen mogelijk moet maken om achteraf onweerlegbaar vast te stellen welke gebeurtenissen hebben plaatsgevonden op een patiëntdossier.83 Alle gebeurtenissen waarbij acties plaatsvinden die betrekking hebben op een patiëntdossier, moeten worden gelogd. Hiertoe behoren onder andere:84
a) Toegang tot dossiers;
b) Xxxxxxxx verwijderen, al dan niet op verzoek van de cliënt;
c) Gegevens lezen;
d) Gegevens kopiëren of afdrukken;
e) Overdragen van gegevens vanuit of naar een ander systeem of informatiedomein, met inbegrip van kopiëren op draagbare media;
80 NEN 7510‐2:2017, paragraaf 12.4.1, p. 90 e.v
81 NEN 7510‐2:2017, paragraaf 12.4.2, p. 91.
82 NEN 7510‐2:2017, paragraaf 12.4.1, p. 91.
83 NEN 7513-2018, paragraaf 5.1, p. 15.
84 NEN 7513-2018, paragraaf 6.1, p. 17-18.
f) Zoekacties.
272. Voor een betrouwbare logging moeten niet alleen de operationele gebeurtenissen in het gebruik van een informatiesysteem worden gelogd, maar ook de gebeurtenissen die van belang zijn voor de betekenis van de loggegevens en de gebeurtenissen die het loggen en de logging kunnen beïnvloeden, zoals de toegang tot de logging.85 In- of uitschakelen van logging zelf dient altijd te worden gelogd.86 Voorts behoort onder andere informatie te worden gelogd over toegangsregelingen87 en over de toegang tot de logbestanden zelf.88 Wijzigen of verwijderen van loggegevens behoort in beginsel niet voor te komen.89
273. Hoofdstuk 8 van de NEN 7513 bevat zekerheidseisen, zoals ten aanzien van de verantwoordelijkheid voor logging, de beschikbaarheid van logging en de bewaartermijn van loggegevens. Onder andere schrijft de NEN 7513 voor dat iedere zorginstelling zich dient te kunnen verantwoorden en daarom betrouwbare logging dient te hanteren. Daarom dient de zorginstelling een logbeheerder aan te wijzen.90 Ook schrijft de NEN 7513 voor dat de logging zodanig beschikbaar moet zijn dat redelijkerwijze aan alle informatiebehoeften en wettelijke eisen kan worden voldaan. Daarbij wordt expliciet verwezen naar artikel 12 AVG.91 Ten slotte dienen loggegevens, tenzij anders bepaald, minimaal 2 jaar en maximaal 15 jaar te worden bewaard.92
274. Ten aanzien van logging en monitoring is het uitgangspunt van de AP dat controle van de logging systematisch en consequent moet plaatsvinden. Een steekproefsgewijze controle en/of controle op basis van klachten is niet voldoende.93 Bij willekeurig, steekproefsgewijs controleren is er volgens de AP geen sprake van een systematiek gericht op onrechtmatig gebruik en risico’s. Zo heeft de AP geoordeeld dat met controle van de logging door aselecte steekproef van jaarlijks zes patiëntdossiers, het HagaZiekenhuis geen beleid had ten aanzien van systematische, risicogerichte c.q. intelligente controle van de logging.94 Ook in de praktijk had volgens de AP geen systematische controle van de logging plaatsgevonden, want de controles die wel hadden plaatsgevonden waren naar aanleiding van enkele klachten en verzoeken maar niet risicogericht en waren in omvang onvoldoende, gelet op de schaal van de verwerking van het ziekenhuis. Dat betekende volgens de AP dat het HagaZiekenhuis niet voldeed aan norm 12.4.1 van de NEN 7510. Daarmee was geen sprake van passende maatregelen ten aanzien van controle van de logging
85 NEN 7513-2018, paragraaf 6.1, p. 17.
86 NEN 7513-2018, paragraaf 6.4.1, p. 19.
87 NEN 7513-2018, paragraaf 6.3.2, p. 19.
88 NEN 7513-2018, paragraaf 6.4.2, p. 19.
89 NEN 7513-2018, paragraaf 6.4.3, p. 19.
90 NEN 7513-2018, paragraaf 8.2, p. 38.
91 NEN 7513-2018, paragraaf 8.3, p. 38.
92 NEN 7513-2018, paragraaf 8.5, p. 40.
93 AP, ‘Toegang tot digitale patiëntdossiers door medewerkers van het HagaZiekenhuis’, 26 maart 2019, p. 13.
94 AP, ‘Toegang tot digitale patiëntdossiers door medewerkers van het HagaZiekenhuis’, 26 maart 2019, p. 14.
zoals vereist ingevolge artikel 32 lid 1 AVG. De AP legde een boete op van € 460.000,- (waarbij ook meewoog dat het HagaZiekenhuis geen tweefactor-authenticatie had ingevoerd).95
275. Ook was volgens de AP in een zaak tegen het OLVG-ziekenhuis het doen van slechts acht incidentele controles en twee proactieve steekproeven in een periode van 15,5 maanden ruimschoots en evident onvoldoende om te kunnen spreken van een passend beveiligingsniveau dat ziet op het signaleren van onbevoegde toegang tot patiëntgegevens en het treffen van maatregelen naar aanleiding van onbevoegde toegang. Daarbij achtte de AP van belang de schaal van de verwerking van gezondheidsgegevens door het ziekenhuis, de gevoelige aard van de gegevens en de risico’s voor de persoonlijke levenssfeer van betrokkenen. De AP legde een boete op van € 440.000,- (waarbij ook meewoog dat het OLVG-ziekenhuis geen tweefactor- authenticatie had ingevoerd).96
276. Volgens GGD GHOR is bij de bouw van HPZone en CoronIT bewust de keuze gemaakt om wel te loggen, maar om niet automatisch en continu logs te monitoren.97 In plaats van automatische controles, heeft slechts steekproefsgewijze controle van de logging plaatsgevonden.98 Medewerkers van de GGD’en bevestigen dat het om niet-automatische, willekeurige checks ging. Het aantal steekproeven is pas na de uitzending van Nieuwsuur opgeschroefd (paragraaf 3.1.1).99
277. In september 2020 heeft GGD GHOR, in antwoord op vragen van de AP naar aanleiding van een eerdere datalekmelding, aangegeven dat in het vierde kwartaal van 2020 geautomatiseerde controle van de logbestanden zou worden ingericht. Op basis van deze informatie besloot de AP destijds de datalekmelding af te sluiten. In januari 2021 bleek deze geautomatiseerde controle nog niet te zijn ingericht. Na de berichtgeving door RTL Nieuws van januari 2021 gaf GGD GHOR aan de geautomatiseerde controle in de vorm van een SIEM-oplossing (Security Information & Event Management) versneld te zullen implementeren. Deze zou eind maart 2021 gereed zijn. Ook deze planning is niet gehaald. De AP constateert dat de SIEM-oplossing in ieder geval ten tijde van het afronden van de onderzoeksfase in juni 2021 nog steeds niet was geïmplementeerd (productie K.1).
278. Door GGD GHOR zou zijn aangegeven dat toegang en zoekopdrachten werden gelogd.100 Voor een groot aantal handelingen zou volgens GGD GHOR achterhaald moeten kunnen worden welke persoon deze heeft uitgevoerd.101
95 AP, ‘Besluit tot het opleggen van een bestuurlijke boete en een last onder dwangsom HagaZiekenhuis’, 18 juni 20219. De boete is door de rechtbank Den Haag verlaagd tot € 350.000,- omdat het HagaZiekenhuis wel enkele andere maatregelen had getroffen: Rechtbank Den Haag 31 maart 2021, ECLI:NL:RBDHA:2021:3090 (AP/HagaZiekenhuis).
96 AP, ‘Besluit tot het opleggen van een bestuurlijke boete OLVG’, 26 november 2020, p. 12.
97 Kamerstukken II 2020/21, 27 529, nr. 234, p. 19 (productie D.2).
98 Kamerstukken II 2020/21, 27 529, nr. 234, p. 19 (productie D.2).
99 Kamerstukken II 2020/21, 27 529, nr. 234, p. 24 (productie D.2).
100 Kamerstukken II 2020/21, 27 529, nr. 234, p. 25 (productie D.2).
101 Kamerstukken II 2020/21, 27 529, nr. 234, p. 4 (productie D.2).
279. De AP heeft in haar onderzoek naar aanleiding van het GGD-datalek ten aanzien van twee GGD’en geconcludeerd dat er wel logbestanden werden gemaakt van gebeurtenissen die in de systemen plaatsvonden, maar dat die logbestanden voorafgaand aan het GGD-datalek niet regelmatig zijn gecontroleerd. Daarbij heeft de AP überhaupt niet kunnen vaststellen of en door wie de logbestanden van HPZone (Lite) zijn gecontroleerd. De AP heeft daarnaast geconstateerd dat de logbestanden in CoronIT alleen in geval van een incident of klacht zijn gecontroleerd. Naar aanleiding van het datalek en in afwachting van een SIEM-oplossing, zou GGD GHOR dagelijkse handmatige controle van de logbestanden van CoronIT en HPZone (Lite) hebben ingericht (productie K.1).
280. Hoewel de AP ervan uit lijkt te gaan dat door de Staat c.s. wel logbestanden zijn aangemaakt, is onzeker of dit voor alle GGD’en gold en is geheel onduidelijk van welke gebeurtenissen op de IT- systemen nu wel en niet logbestanden zijn bijgehouden. Ook zijn noch de Staat noch GGD GHOR noch de GGD’en tot op heden in staat geweest sluitend vast te stellen van hoeveel mensen gegevens onbevoegd zijn ingezien en/of ontvreemd, zoals door middel van ongeoorloofde exports (zie paragraaf 3.1.10 en 3.4). Als al logging heeft plaatsgevonden, dan is deze dus zeer gebrekkig geweest en is er geen sprake geweest van (adequate) controle van logging.
281. Volgens de CoronIT-referentie-DPIA zouden op CoronIT twee soorten logging worden bijgehouden (productie G.1):
“Functionele logging (of audit trail).
In deze logging is te zien wat in het dossier is gebeurt [sic]. Dit betekent dat kan worden gezien welke delen van het dossier zijn geopend, door wie en wanneer. Daarnaast is te zien of er wijzingen of andere bewerkingen zijn geweest in de gegevens.
Deze logging kan door GGD GHOR Nederland zelf worden ingezien. Ook het inzien van de logging wordt daarbij gelogd.
Op deze logging worden geen signalen gegeven bij afwijkingen. Er zijn hiervoor geen afwijken [sic.] gedefinieerd.
De functionele logging wordt nooit verwijderd. Technische logging
De techinsche [sic.] logging geeft weer wat de applicatie wegschrijft. In principe worden hier geen persoonsgegevens in opgeslagen. Bij uitzondering kunnen echter wel zaken als een IP-adres worden opgeslagen.
De technische logging is bij Topicus op te vragen indien GGD GHOR Nederland deze in wil zien.
Op de technische logging is signalering ingericht, die in werking treedt als een drempelwaarde wordt bereikt.
Op de logging wordt logging toegepast. Deze wordt beveiligd middels keyhub.”
282. In de CoronIT-referentie-DPIA wordt echter als hoog risico aangemerkt het gebrek aan logging van het afsprakenoverzicht en de controle op logging in het algemeen (productie G.1):
“1. Geen logging van inzage afsprakenoverzicht
Binnen CoronIT is geen logging aangezet op de inzage van het afsprakenoverzicht. In het afsprakenoverzicht is de naam, geboortedatum, geslacht, testlocatie, testdatum en testtijd te zien. Medewerkers kunnen zich hierdoor onrechtmatig inzage verschaffen in afspraakgegevens van betrokkenen.
- De kans dat dit risico zich manifesteert zonder maatregelen is hoog. Immers is het afsprakenoverzicht voor medewerkers toegankelijk en bijvoorbeeld snel worden gecontroleerd wanneer de afspraak van iemand is gepland.
- De impact van dit risico zonder maatregelen is middel. De gegevens bevatten geen medische gegevens, maar wel waar iemand op een exact moment te vinden is.
Geadviseerd wordt om de volgende maatregelen te nemen:
- Activeer logging op het afsprakenoverzicht, zodat duidelijk is wie zich wanneer toegang heeft verschaft tot het afsprakenoverzicht.
2. Geen controle op de logging
Binnen CoronIT is logging ingeregeld, maar de logging wordt niet actief op periodieke wijze en automatisch gecontroleerd. Voor deze controle is geen beleid opgezet, zodat niet is vastgelegd hoe en door wie deze controle zal worden uitgevoerd. Hierdoor is de kans groot dat misbruik wordt gemaakt van de gegevens in CoronIT, maar dat dit niet wordt opgemerkt.
- De kans dat het risico zich manifesteert zonder maatregelen is hoog. Er zijn veel autorisaties uitgegeven voor toegang tot CoronIT, waarbij medewerkers en externen toegang hebben tot (een bepaald deel van) de gegevens. Bij de aantallen medewerkers die in dienst zijn en zijn ingehuurd, is de kans groot dat iemand, kwaadwillend of niet, onrechtmatig dossiers opent.
- De impact van het risico is hoog. In CoronIT zijn medische gegevens en het BSN opgenomen, alsook contactgegevens. Hier kan op verschillende wijze misbruik van worden gemaakt.
Geadviseerd worden om de volgende maatregelen te nemen:
- Stem met de GGD’en af wie verantwoordelijk is voor welke deel van de controle van de
logging. Dit kan worden opgenomen in het convenant/een addendum bij het convenant.
- Stel een beleid/procedure op voor de controle van de logging, dat voldoet aan de toepasselijke norm, de NEN 7513.
- Implementeer het beleid/de procedure in de organisatie en controleer zo snel mogelijk de logging. Indien dit niet met software kan, stel dan medewerkers aan die dit controleren tot de software wel beschikbaar is. Als met software wordt gecontroleerd, moet alsnog een menselijke controle worden uitgevoerd op een steekproef van de door de software gecontroleerde logbestanden.
- Zorg voor een sanctiebeleid waarin is opgenomen wat met de medewerker gebeurt indien hij niet werkt volgens de gestelde regels en zorg dat de medewerkers hiervan op de hoogte zijn.
Het restrisico na genomen maatregelen is dat de controle van logging niet iedere medewerker en iedere inzage van het dossier kan controleren. Hierdoor blijft een risico bestaan dat medewerkers toch onrechtmatig dossiers inzien en de gegevens misbruiken. De medewerkers werken in een groot deel van de gevallen thuis, waardoor ook geen onderling toezicht op de werkvloer bestaat.”
283. Als beveiligingsmaatregel wordt in het kader van logging en monitoring aangegeven dat controle ad hoc plaatsvindt, na een vermoed of vastgesteld incident. Voor de controle van logging is geen procedure opgesteld, maar zouden wel plannen zijn opgesteld voor hoe logging dient te worden gecontroleerd voor ten minste medewerkers van het callcenter (productie E.1).
284. Uit de BCO-DPIA blijkt dat als hoog risico is aangemerkt dat onvoldoende logging en controle op en monitoring van logging leidt tot het niet opsporen van onrechtmatige verwerkingen (productie G.15):
“Voor de uitvoering van de werkzaamheden van de medewerkers is het noodzakelijk dat wordt gelogd wat de medewerkers in de dossiers doen. Dit betekent dat gecontroleerd wordt of de handelingen die zei [sic.] uitvoeren met betrekking tot de persoonsgegevens rechtmatig zijn. Dit kan door controle van de logging. Indien deze controle niet wordt uitgevoerd, kunnen onrechtmatige verwerkingen niet worden opgespoord en afgehandeld.
• De kans dat het risico zich manifesteert is hoog. Medewerkers worden ingezet bij GGD’en, die zelf moeten monitoren. Het is niet bekend of deze logging bij iedere GGD wordt gecontroleerd en of wordt gekeken naar de BCO-medewerkers van de landelijke schil die worden ingezet.
• De impact van het datalek is hoog. Het aantal gegevens waar toegang toe wordt gekregen, bevatten gegevens die gevoelig zijn, zoals medische gegevens, maar ook gegevens die extra beschermd worden, zoals een BSN. Het uitlekken van deze persoonsgegevens kan grote gevolgen hebben, zoals fraude met deze persoonsgegevens.
Geadviseerd wordt om de volgende maatregelen te nemen:
• Zorg dat met iedere verwerker en met de GGD’en wordt afgesproken dat de is [sic.] logging ingeschakeld en periodiek wordt gecontroleerd. Controle van de logging is een verantwoordelijkheid van de GGD’en. Voor de controle is een procedure nodig, waarbij rekening wordt gehouden met de omstandigheden waaronder wordt ±gewerkt [sic.], het aantal mensen dat werkt en het aantal persoonsgegevens dat wordt verwerkt.
• Zorg voor een uniforme werkwijze bij het opsporen van onrechtmatige activiteiten en indien opzettelijk, de sancties die worden gegeven.
Het restrisico is dat door de grote aantallen medewerkers, die constant wisselen en die thuis werken, de kans op fraude en onrechtmatig gebruik blijft bestaan. Er is geen controle op de werkvloer en met periodieke controle kan niet alles worden gecontroleerd. Zo kan iemand gemakkelijk niet worden opgemerkt.”
285. Uit een e-mailwisseling van de gemeente Rotterdam blijkt dat er op HPZone in het geheel niet werd gemonitord op gebruik van de query-functie. In deze e-mail wordt vermeld dat “HP Zone een query functie [kent] die het mogelijk maakt om bestanden eruit te trekken. Iedereen die toegang had kon ook hierbij. Er werd niet gemonitord wie wat deed. […] met behulp van de query functie zijn grote aantallen data aan het systeem [HPZone, adv.] onttrokken en te koop aangeboden.” Ook wordt opgemerkt dat “HP Zone de query functie wel [logt] en het niet moeilijk te zien [is] wie welke query heeft gedraaid”, maar dat deze functie “niet pro actief [is] gebruikt” (productie G.41). In de context van de betreffende e-mail, betekent deze laatste opmerking dat
de logging van de query functie niet heeft plaatsgevonden. Dat volgt ook uit het vervolg van de e-mail:
“Grote groepen nieuwe BCO medewerkers die snel werden opgeleid kregen toegang [tot HPZone Lite, adv.] en werken meestal vanuit huis. Kwaadwillende medewerkers konden gegevens nazien over de regio’s’ tot welke ze toegang kregen. Ze konden allemaal de query functie gebruiken om gegevens over te halen naar Excel. De medewerkers moesten een VOG overleggen bij aantreden en een geheimhoudingsverklaring tekenen. Daarna zijn hun acties op het systeem zijn [sic] niet gevolgd of gecontroleerd.[…]”
286. Ook in het groei- en voortgangsdocument van 25 juni 2021 van GGD Haaglanden wordt ten aanzien van HPZone (Lite) en CoronIT vastgesteld dat controle op onterechte inzage pas achteraf via logging wordt geconstateerd en “die vangt maar heel weinig af”(productie G.2).
287. Uit een notitie van de GGD Noord- en Oost Gelderland d.d. 23 juli 2021 blijkt dat op die datum de “controle op de logging nog onvoldoende plaatsvond” en dat er “nog geen goed uitgewerkte regeling was voor monitoring en logging van gebruikershandelingen” (productie G.43).
288. Gezien de gevoelige aard van de gegevens, de grote omvang van de verwerking en de risico’s voor de persoonlijke levenssfeer van Betrokkenen hadden de Staat c.s. veel ruimer gebruikershandelingen moeten loggen, waaronder in ieder geval het gebruik van export- en printfunctionaliteiten, en de loggegevens systematisch, risicogericht en consequent moeten controleren. Dit is een van de belangrijkste beveiligingseisen voor het beschermen van gezondheidsgegevens.102 Op deze manier had onbevoegde toegang kunnen worden gesignaleerd en hadden maatregelen kunnen worden genomen. Gelet op de schaal van verwerkingen door de GGD’en, had de controle ook in omvang substantieel moeten zijn. De Staat c.s. hebben niet voldaan aan het vereiste van het systematisch, risicogericht en consequent beoordelen van logbestanden, wat in de context van deze verwerking in het kader van artikel 32 van de AVG wel is vereist.
289. Uit voorgaande volgt dat de Staat c.s. geen passend beschermingsniveau heeft geboden, in strijd met artikel 5 lid 1 sub f AVG en artikel 32 AVG.
290. Bij het verwerken van persoonsgegevens, en in het bijzonder wanneer het gaat om grote hoeveelheden gevoelige en bijzondere persoonsgegevens, is het van groot belang dat het personeel dat toegang heeft tot de gegevens, gekwalificeerd en betrouwbaar is. Onderdeel van een passend niveau van beveiliging is dan ook dat medewerkers (zowel eigen medewerkers als medewerkers van contractanten) die toegang hebben tot gegevens, worden gescreend, dat
102 Zie ook: Rb. Zeeland-West-Brabant, 21 september 2022, ECLI:NL:RBZWB:2022:5457 (X/Bravis Ziekenhuis), r.o. 4.31.
wordt beoordeeld in hoeverre zij geschikt zijn voor de werkzaamheden en dat wordt gewaarborgd dat zij hun verantwoordelijkheden begrijpen. Ten aanzien van de tienduizenden GGD-medewerkers die toegang hadden tot de GGD-systemen is gebleken dat screening en toezicht onvoldoende waren.
291. De NEN 7510 omschrijft de volgende beheersmaatregelen die in acht moeten worden genomen ten aanzien van screening en controle:
a) Ten eerste behoort de achtergrond van alle kandidaten te worden geverifieerd voorafgaand aan het dienstverband, op een wijze in verhouding tot de bedrijfseisen, de classificatie van de gegevens waartoe toegang wordt verleend en de vastgestelde risico’s. Minimaal dienen de identiteit, het huidige adres en de vorige werkkring te worden geverifieerd. Indien wettelijk toegestaan, dient verificatie ook een controle op een strafblad te omvatten. Ten aanzien van contractanten geldt dat de overeenkomsten de verantwoordelijkheden voor het uitvoeren van de screening dienen te vermelden en de procedure die gevolgd moet worden als de screening niet is afgemaakt of als de resultaten aanleiding geven tot twijfel of bezorgdheid;103
b) Ten tweede behoort de contractuele overeenkomst met medewerkers en contracten hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie te vermelden. Beveiligingsrollen en –verantwoordelijkheden, zoals vastgelegd in het informatiebeveiligingsbeleid van de organisatie, behoren ook in relevante functieomschrijvingen te worden vastgelegd. Speciale aandacht behoort te worden besteed aan de rollen en verantwoordelijkheden van tijdelijk personeel of personeel met een kort dienstverband. Onder andere dienen alle medewerkers en contractanten een vertrouwelijkheids- of geheimhoudingsovereenkomst te ondertekenen voordat hen toegang wordt verleend tot gegevens en dient hun contract te vermelden welke actie moet worden ondernomen als de medewerkers of contractanten de beveiligingseisen veronachtzamen. Waar van toepassing behoren de verantwoordelijkheden voor een vastgestelde periode na het einde van het dienstverband van kracht te blijven;104
c) Ten derde behoort de directie tijdens het dienstverband van alle medewerkers en contractanten te eisen dat ze informatiebeveiliging toepassen in overeenstemming met de vastgestelde beleidsregels en procedures van de organisatie. Zij dienen op de juiste wijze te worden geïnstrueerd voordat zij toegang krijgen tot gegevens, dienen richtlijnen te ontvangen die de verwachtingen met betrekking tot hun informatiebeveiligingsrol aangeven en dienen continu te beschikken over de juiste vaardigheden en kwalificaties. Alle medewerkers en contractanten dienen een passende en periodieke
103 NEN 7510‐2:2017, paragraaf 7.1.1, p. 24 e.v.
104 NEN 7510‐2:2017, paragraaf 7.1.2, p. 26 e.v.
bewustzijnsopleiding en –training te krijgen en regelmatige bijscholing, welke regelmatig dienen te worden geüpdatet;105
d) Ten vierde behoort er een formele en gecommuniceerde disciplinaire procedure te zijn om actie te ondernemen tegen medewerkers die inbreuk maken op de informatiebeveiliging;106
e) Ten vijfde behoren verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beëindiging of wijziging van het dienstverband, te worden gedefinieerd, gecommuniceerd en ten uitvoer gebracht.107
292. Volgens GGD GHOR moesten medewerkers van de GGD’en en van externe partijen een VOG aanleveren en een geheimhoudingsverklaring ondertekenen.108 Volgens GGD GHOR wordt een VOG verstrekt op basis van een toetsing op het profiel dat voor de betreffende functie is vastgesteld, waardoor het zo kan zijn dat een medewerker veroordeeld is voor strafbare feiten die niet relevant zijn voor de functie waarvoor de VOG is aangevraagd.109
293. Gebleken is echter dat deze maatregelen ten behoeve van screening en toezicht van medewerkers in werkelijkheid niet (volledig en juist) geïmplementeerd zijn. De screening van medewerkers was in veel gevallen nog niet afgerond op het moment dat de betreffende medewerker aan het werk ging. Sommige medewerkers hebben zelfs helemaal geen VOG aangeleverd. Een aantal medewerkers kreeg pas toen het datalek aan het licht kwam het verzoek een VOG aan te leveren (productie C.3). Er hebben zich dus situaties voorgedaan waarin medewerkers wel toegang hadden tot systemen, terwijl zij geen VOG hadden overlegd,110 en terwijl deze VOG volgens GGD GHOR juist werd gebruikt als screeningsmiddel.111 Het exacte aantal is volgens GGD GHOR niet bekend gezien de aantallen en de verschillende arbeidsrelaties.112 Ook heeft GGD GHOR bevestigd dat elk van de ingeschakelde derden zijn eigen controlesystematiek hanteert, hetgeen erop duidt dat een eenduidig beleid dus ontbrak.
294. Zo blijkt uit een mailwisseling van XXX Xxxx voor Brabant van maandag 8 februari 2021, getiteld “RE: SPOED: Gemeenteraadsvragen over AVG” dat medewerkers toegang hadden tot de systemen ondanks dat zij geen VOG hadden. Pas na het bekend worden van het GGD-datalek heeft GGD Hart voor Brabant acties uitgezet om te controleren of dit wel had moeten gebeuren.
105 NEN 7510‐2:2017, paragraaf 7.2.1 en 7.2.2, p. 27 e.v.
106 NEN 7510‐2:2017, paragraaf 7.2.3, p. 30 e.v.
107 NEN 7510‐2:2017, paragraaf 7.3.1, p. 31 e.v.
108 Kamerstukken II 2020/21, 27 529, nr. 234, p. 3 (productie D.2).
109 Kamerstukken II 2020/21, 27 529, nr. 234, p. 3 (productie D.2).
110 Kamerstukken II 2020/21, 27 529, nr. 234, p. 3 (productie D3).
111 Kamerstukken II 2020/21, 27 529, nr. 234, p. 52 (productie D.2).
112 Kamerstukken II 2020/21, 27 529, nr. 234, p. 3 (productie D.2).
295. Uit een oplegnotitie van de GGD Rotterdam-Rijnmond blijkt dat daar het proces zo was ingericht dat de circa 1.600 medewerkers die toegang hadden tot HPZone en CoronIT, reeds aan het werk gingen en toegang kregen tot persoonsgegevens op het moment dat hun VOG nog werd aangevraagd, terwijl op dat moment dus nog niet zeker was dat die aanvraag zou worden goedgekeurd. Dat heeft ertoe geleid dat op de datum van die notitie, 9 februari 2021, meer dan 400 medewerkers werkzaam waren en toegang hadden tot bijzondere persoonsgegevens van miljoenen mensen zonder dat er een VOG was aangevraagd, althans goedgekeurd (productie G.37, p. 5).
296. Zoals uiteengezet bestond ook nauwelijks toezicht op en controle van medewerkers. Zo bestond op de accounts die werden aangemaakt en die vervolgens toegang hadden tot de systemen nauwelijks toezicht en konden werknemers accounts aan aanmaken zonder enige controle (productie C.8). Ook konden medewerkers op verzoek gegevens van bekende personen en bekende Nederlanders opzoeken in de systemen (productie C.4). In de CoronIT-referentie-DPIA wordt in dat kader als restrisico erkend dat medewerkers in een groot deel van de gevallen thuiswerken, waardoor geen onderling toezicht bestaat (productie G.1).
297. Dat er nauwelijks serieuze controles plaatsvonden is, zoals aangegeven, ook door medewerkers verklaard “Enkele werknemers vertellen hoe ze eens in de zoveel maanden hun scherm via Microsoft Teams moeten delen om vervolgens de digitale prullenbak te openen. De manager kijkt dan of daar gestolen gegevens uit de coronasystemen in te vinden waren. “’Een wassen neus’, wordt het genoemd.” (productie C.8).
298. Medewerkers zouden volgens GGD GHOR interne trainingen moeten volgen. De training van de landelijke partners is hetzelfde, per GGD kan echter de training verschillen. Dit betekent dat niet alle medewerkers (dezelfde) training hebben gehad omtrent privacy en gegevensbescherming. Daarbij kwam in februari 2022 aan het licht dat tijdens een training van nieuwe medewerkers in december 2021 klassikaal persoonsgegevens werden getoond van iemand die een vaccinatieafspraak had gemaakt (productie C.17). Ten aanzien van de kwaliteit van deze trainingen kunnen dan ook twijfels worden geuit.
299. Uit een Projectplan Awareness Campagne Xxxxxxxxxxxxxxxxxxxxx 0000 xxx xx XXX Xxxxx- xx Xxxx-Xxxxxxxxxx d.d. 15 februari 2021 blijkt dat het op dat moment nog slechts een doelstelling was ervoor te zorgen dat “voor 1 januari 2022 90% van de medewerkers de (nieuwe) geheimhoudingsverklaring zou hebben ondertekend” en “voor 1 juni 2022 75% van de medewerkers een E-learning zou hebben gevolgd” (productie G.46, p. 12).
300. Uit voorgaande volgt dat de Staat c.s. geen passend beschermingsniveau heeft geboden, in strijd met artikel 5 lid 1 sub f AVG en artikel 32 AVG.
4.2.5 Schending van het beginsel van dataminimalisatie (artikel 5 lid 1 sub c AVG)
301. Uitsluitend persoonsgegevens die toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor het doeleinde, mogen worden verwerkt. Dit brengt volgens de EDPB mee dat de verwerkingsverantwoordelijke vooraf moet bepalen welke kenmerken en parameters van verwerkingssystemen en hun ondersteunende functies toelaatbaar zijn.113 Het beginsel van dataminimalisatie geldt niet alleen voor de hoeveelheid verzamelde persoonsgegevens, maar ook voor de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan.114 De AVG eist in dat verband dat passende technische en organisatorische maatregelen worden getroffen om de inachtneming van het beginsel van gegevensminimalisatie te garanderen.
302. Tienduizenden (deels extern ingehuurde) GGD-medewerkers hadden echter op grote schaal toegang tot CoronIT en HPZone (Lite) en daarmee tot een grote hoeveelheid (bijzondere) persoonsgegevens waarover zij niet hoefden te beschikken. Zij hadden bovendien de mogelijkheid deze gegevens te doorzoeken, te printen en te exporteren. De Staat c.s. hadden op basis van een beoordeling van de noodzaak moeten beperken wie er toegang hadden tot persoonsgegevens en welke soorten toegang er werden verleend. Dat is niet gebeurd, zelfs niet nadat hen dat door de AP werd opgedragen.
303. Ook werden in de GGD-systemen meer persoonsgegevens verwerkt dan strikt noodzakelijk was. Zo blijkt uit een memo van de MT Corona Crisis organisatie van de gemeente Rotterdam dat na het bekend worden van het GGD-datalek, besloten is om bepaalde persoonsgegevens voortaan niet langer op te slaan, althans niet langer toegankelijk te maken voor alle medewerkers. Dat betekent dat deze verwerkingen dus in de eerste plaats al niet noodzakelijk waren. Uit het memo blijkt onder andere dat het niet nodig was om BSN’s te verwerken in HPZone Lite, aangezien ook had kunnen worden volstaan met een combinatie van naam/geboortedatum en postcode (productie G.42).
304. Door een gebrek aan toegangscontrole, autorisaties en autorisatiebeheer, en door meer gegevens te verwerken dan noodzakelijk, hebben de Staat c.s. het beginsel van minimale gegevensverwerking niet kunnen waarborgen en hebben de Staat c.s. niet voldaan aan het beginsel van dataminimalisatie zoals neergelegd in artikel 5 lid 1 onderdeel c AVG.
113 EDPB, ‘Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen’, versie 2.0, vastgesteld op 20 oktober 2020, p. 24.
114 Artikel 25(2) AVG. EDPB, ‘Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen’, versie 2.0, vastgesteld op 20 oktober 2020, p. 14.
4.2.6 Schending van het beginsel van gegevensbescherming door ontwerp en door standaardinstellingen (artikel 25 AVG)
305. Privacy-by-design en privacy-by-default zijn twee verplichte uitgangspunten in artikel 25 AVG. 115 Bij privacy-by-design gaat het om aandacht voor gegevensbescherming in de ontwerpfase van een product of dienst. Privacy-by-default houdt in dat standaardinstellingen zo privacy- vriendelijk mogelijk moeten zijn. Deze verplichtingen gelden gedurende de gehele verwerkingscyclus en ook uitdrukkelijk voor verwerkingssystemen die al bestonden voordat de AVG in werking trad.116
306. Overeenkomstig artikel 25 lid 1 AVG moet de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treffen die zijn ontworpen om de gegevensbeschermingsbeginselen (artikel 5 AVG) op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking inbouwen ter naleving van de voorschriften en ter bescherming van de rechten van de betrokkenen (gegevensbescherming door ontwerp; privacy- by-design). Passend houdt in dat de maatregelen en noodzakelijke waarborgen geschikt moeten zijn voor het beoogde doel, oftewel dat hiermee de gegevensbeschermingsbeginselen op een doeltreffende manier worden uitgevoerd.117
307. Ingevolge artikel 25 lid 2 AVG, treft de verwerkingsverantwoordelijke daarnaast passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking (gegevensbescherming door standaardinstellingen; privacy-by-default). Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. De verwerkingsverantwoordelijke moet op basis van een beoordeling van de noodzaak beperken wie er toegang hebben tot persoonsgegevens en welke soorten toegang er worden verleend. Toegangscontroles moeten tijdens de verwerking worden geëerbiedigd voor de hele gegevensstroom.118
308. Een “standaardinstelling” verwijst volgens de EDPB naar de reeds bestaande of vooraf geselecteerde waarde van een configureerbare instelling die is toegekend aan een applicatie, computerprogramma of apparaat (“voorinstellingen” of “fabrieksinstellingen”). Het is de verantwoordelijkheid van de verwerkingsverantwoordelijke om dusdanige standaardinstellingen
115 De beginselen worden beschreven in artikel 5 en overweging 39 van de AVG.
116 EDPB, ‘Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door
standaardinstellingen’, versie 2.0, vastgesteld op 20 oktober 2020, p. 5.
117 EDPB, ‘Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaard-
instellingen’, versie 2.0, vastgesteld op 20 oktober 2020, p. 6-7.
118 EDPB, ‘Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaard-
instellingen’, versie 2.0, vastgesteld op 20 oktober 2020, p. 15.