Verdachten datadiefstal GGD: 'Niet van bewust dat het heel ernstig was'

Twee verdachten in de strafzaak rond het 'GGD-lek' zeggen dat ze zich niet realiseerden dat rondneuzen in persoonsdossiers niet mocht. Hun advocaten vinden dat ze te weinig begeleiding hebben gehad en dat het hen te makkelijk werd gemaakt om vertrouwelijke gegevens te lekken.

Vandaag diende in de rechtbank in Utrecht een eerste zitting over de datadiefstal bij de GGD in januari. Volgens de instantie zijn van zo'n duizend mensen persoonsgegevens gestolen en mogelijk verkocht.

Het gaat onder meer om namen, adressen, telefoonnummers en burgerservicenummers van mensen die een afspraak hebben gemaakt bij de GGD voor een coronatest. De politie pakte zeven mensen op, van wie er twee voor het eerst moesten voorkomen. De twintigers kenden elkaar niet.

200 advertenties op sociale media

"Ik heb stomme en domme dingen gedaan, maar ik was me er niet van bewust dat het heel ernstig was", zei een 21-jarige callcentermedewerker uit Heiloo. Het nieuws dat meerdere GGD-medewerkers de gegevens van de Rotterdamse burgemeester Aboutaleb hadden bekeken, wekte zijn nieuwsgierigheid. "Toen drong pas tot me door dat je zomaar mensen kon opzoeken."

Zijn advocaat zegt dat hij een paar keer bekende Nederlanders heeft opgezocht en eenmalig voor 50 euro een adres verkocht. Volgens het Openbaar Ministerie staat daartegenover dat hij meer dan 200 keer op sociale media adverteerde dat hij aan persoonsgegevens kon komen.

De andere verdachte, een 23-jarige man uit Alblasserdam, stuurde foto's van persoonsdossiers door aan iemand anders. "Ik dacht dat ik gewoon op dossiers mocht klikken, Er werd nooit iets over gezegd. Die foto's heb ik gestuurd naar iemand die ook bij de GGD werkt. Ik dacht dat het mocht als ik het binnen de GGD hield."

Doorklikken en afvinken

Hun advocaten willen nader onderzoek naar de werkinstructies van de callcentermedewerkers. Zij vinden dat hun cliënten zonder deugdelijke training aan het werk zijn gezet, waardoor ze zich niet bewust waren van de risico's van het lekken van vertrouwelijke gegevens.

Ze werkten vanuit huis en moesten twee online trainingen volgen. De verdachten zeiden dat het vooral een kwestie van 'doorklikken en afvinken' was om zo snel mogelijk aan het werk te kunnen.

De verdediging wilde André Rouvoet, de voorzitter van de branchevereniging van GGD's, en teamleiders van het callcenter horen. Het Openbaar Ministerie vond dat onnodig en zei dat de verdachten hoe dan ook hadden moeten weten dat ze geen persoonsgegevens mochten doorspelen. De rechtbank wees het horen van Rouvoet af, maar bepaalde dat wel uitgezocht moet worden welke trainingen de verdachten hebben gehad en hoe ze precies zijn geïnstrueerd.

Tientallen mensen ontslagen

De GGD zegt dat medewerkers inmiddels worden gecontroleerd op het gebruik van gegevens en verdacht gedrag. Enkele tientallen mensen zijn ontslagen omdat ze onbevoegd gegevens hebben bekeken.

De datadiefstal in januari leidde tot kritiek op zowel de GGD als demissionair minister van Volksgezondheid Hugo de Jonge, die te laks zouden zijn omgesprongen met de veiligheid van de GGD-systemen. In september meldde Nieuwsuur al dat honderden callcentermedewerkers bij veel meer gegevens konden dan zou moeten.

Na de datadiefstal werd ook nog eens duidelijk dat het voor medewerkers mogelijk was om grote hoeveelheden persoonsgegevens tegelijk uit de systemen te halen en op te slaan. Dit privacy-risico bleek al driekwart jaar bekend bij de GGD.

Op het moment van de diefstal stonden 6,5 miljoen mensen in de systemen. In totaal hebben 26.000 medewerkers van verschillende bedrijven toegang tot de gegevens.

De rechtszaak tegen de twee verdachten gaat in augustus verder. Een van hen zat de afgelopen drie maanden in voorarrest, maar mag van de rechtbank weer naar huis.