nieuws

Twaalf en zes maanden geëist voor datalekken GGD

Ze deden het uit ‘nieuwsgierigheid’, zeiden de twee verdachten van datalekken uit het coronatestsysteem van de GGD dinsdag tegen de rechter. Maar de officier van justitie rekende het ze zwaar aan dat ze persoonsgegevens uit het systeem lichtten en verspreidden, waaronder die van de bedreigde misdaadjournalisten Peter R. de Vries en John van den Heuvel.

Rechtbanktekening van verdachte Amin L. uit Alblasserdam voor de rechter in Utrecht. Samen met Mohammed Z. uit Heiloo stond hij dinsdag terecht voor het stelen van persoonsgegevens uit CoronIT, het registratiesysteem van de GGD voor het testen op covid-19.  Beeld ANP
Rechtbanktekening van verdachte Amin L. uit Alblasserdam voor de rechter in Utrecht. Samen met Mohammed Z. uit Heiloo stond hij dinsdag terecht voor het stelen van persoonsgegevens uit CoronIT, het registratiesysteem van de GGD voor het testen op covid-19.Beeld ANP

Ruim honderd dossiers met persoonsgegevens opende Mourad Z. (21) uit Heiloo als medewerker van het GGD-callcenter voor coronatests, onder wie die van de bedreigde misdaadjournalisten Peter R. de Vries en John van den Heuvel. Gegevens hieruit bood hij te koop aan op onder meer Telegram.

Ook GGD-medewerker Amin L. (24) uit Alblasserdam opende in januari de dossiers met persoonsgegevens van de twee misdaadjournalisten; en ook die van kickbokser Badr Hari, rapper Lil’ Kleine, politicus Jesse Klaver en een paar exen. In totaal twaalf, hij verhandelde de gegevens niet.

Juist vanwege het inzien van de dossiers van de twee bedreigde journalisten werden Z. en L. op 23 januari gearresteerd. Dinsdag hoorden zij voor de Utrechtse rechtbank straffen van respectievelijk 12 en 6 maanden tegen zich eisen, waarvan een deel voorwaardelijk.

Het datalek kwam aan het licht na persvragen aan de GGD van een journalist van RTL Nieuws: hij had gezien dat namen, adressen, telefoonnummers en andere persoonsgegevens uit het corona-ict-systeem van onder meer Peter R. de Vries op Telegram werden aangeboden. Uit intern onderzoek bleek dat deze twee medewerkers het dossier van de misdaadjournalist hadden geopend. ‘Ik hoef u nu niet meer uit te leggen waarom dat gevaarlijk was’, zegt de rechter tegen L.

Daarna werd duidelijk dat van duizenden personen onrechtmatig persoonsgegevens uit de GGD-systemen zijn gehaald: justitie heeft inmiddels zeven verdachten in beeld. De GGD en minister Hugo de Jonge (Volksgezondheid) kregen de kritiek dat zij veel te laks omgingen met de privégegevens.

‘Ik deed het uit nieuwsgierigheid’, zegt L. dinsdag tegen de Utrechtse rechter. ‘Ik had geen slechte bedoelingen.’

Z. probeerde daarentegen ook een slaatje te slaan uit de privégegevens door ze voor 50 euro per stuk aan te bieden. Dit leidde tot één transactie, van gegevens van een overigens niet bekende Nederlander. Ook verstrekte hij informatie aan een vriend over diens exen. ‘Nu begrijp ik dat het delen van gegevens heel ernstige gevolgen kan hebben.’

Volgens de officier van justitie is door dit datalek niet alleen het vertrouwen geschaad in de GGD en de overheid. Ook zou het hebben geleid tot een lagere bereidheid de teststraat te bezoeken, toen bleek dat voor coronatests verstrekte privégegevens zomaar verspreid konden worden.

De GGD beloofde beterschap. Maar L. zegt dat hij nu nog steeds van medewerkers hoort dat ze toegang hebben tot veel dossiers. ‘Toen ik werd gearresteerd, knepen veel collega’s hem, omdat zij ook in gegevens hadden zitten neuzen.’

Vrij als een vogeltje

Hij had er geen idee van dat hij daarmee iets strafbaars deed, houdt L. vol tijdens de behandeling van zijn strafzaak. ‘Ik heb toegang tot die systemen gekregen, het was allemaal zo losjes, er waren geen duidelijke protocollen. Ik voelde me vrij als een vogeltje. Het is me nooit duidelijk gemaakt dat ik mensen niet mocht opzoeken.’

De rechter vindt dat moeilijk om te geloven. ‘U bent student fiscaal recht aan de universiteit. Wat denkt u dat u met de privégegevens mag doen?’

L. gooit het op de gebrekkige opleiding voordat hij in de zomer van 2020 aan de slag kon met het inplannen van coronatestafspraken. In die periode waren er plotsklaps honderden nieuwe callcentermedewerkers nodig. Allemaal kregen zij toegang tot de gegevensdatabank van alle Nederlanders die een teststraat hadden bezocht. ‘Het was chaotisch, er was toen personeelsgebrek. Ze wilden dat je snel aan het werk ging’, zegt L..

Maar de GGD en het callcenterbedrijf Teleperformance zeggen dat de privacyregels wel degelijk nadrukkelijk aan bod zijn gekomen in de trainingen vooraf. Bovendien hebben L. en Z. een geheimhoudingsverklaring getekend: dat het niet is toegestaan om de gegevens te kopiëren, delen en verspreiden. ‘Ook uw teamleiders zeggen dat ze er voortdurend op hamerden dat medewerkers geen informatie mochten delen’, zegt de rechter.

Volgens L.’s advocaat Kim Kuster was er nauwelijks controle op het volgen van de trainingen. De advocaten van beide verdachten leggen de verantwoordelijkheid voor het datalek dan ook bij de GGD. Die heeft het die kersverse gebruikers gemakkelijk gemaakt om in de systemen te neuzen. ‘De overheid heeft de fiets niet op slot gezet’, zegt Z.’s advocaat Nancy Dekens. Beide advocaten vinden de geopperde strafmaat veel te hoog. De uitspraak is over twee weken.

Meer over