Veelgestelde vragen en antwoorden over datadiefstal

Laatste update: 14 juli 2021 

Hier vindt u veelgestelde vragen en de antwoorden over de datadiefstal die in januari 2021 heeft plaatsgevonden uit het systeem CoronIT van de GGD. U kunt uw vraag vinden door te navigeren via de linker kolom.

We kunnen ons voorstellen dat de datadiefstal vragen oproept en mogelijk uw vertrouwen in ons heeft geschaad. Wij doen er alles aan om dit vertrouwen te herstellen onder andere door u zo goed mogelijk te informeren over wat er precies gebeurd is en welke maatregelen we getroffen hebben.

Er loopt een politieonderzoek. Uit dit onderzoek is tot nu toe gebleken dat de gegevens van circa 1.250 personen onbevoegd zijn ingezien, gestolen en mogelijk verkocht. Het gaat om gegevens van personen die bij de GGD een coronatest hebben laten doen of zich bij de GGD hebben laten vaccineren. Deze persoonsgegevens betreffen onder meer naam, adres, telefoonnummer(s), e-mailadres, Burgerservicenummer (BSN), nationaliteit en geboortedatum. De personen om wie het gaat zijn of worden via een brief door ons geïnformeerd.

Heeft u een vraag die hier niet bij staat of bent u op zoek naar meer informatie? Bel dan met ons speciale nummer: 085 – 13 08 22 6, dat elke werkdag bereikbaar is van 9:00 uur tot 17.00 uur. Op basis van de vragen die onder andere via dit nummer binnenkomen, passen wij onderstaande informatie aan om u goed en zo volledig als mogelijk te informeren.

De meest gestelde vragen

Kunnen mijn gegevens ook verwijderd worden uit jullie systemen nadat ik getest of gevaccineerd ben of bron- en contact onderzoek heeft plaatsgevonden? 
Wij hebben hier op 12 februari jl. een bericht over gepubliceerd. Dat bericht vindt u hier.

Er bestaan verschillende websites die (tegen betaling) helpen om mijn persoonsgegevens bij jullie te verwijderen. Raden jullie het mij aan daarvan gebruik te maken?
Het klopt dat er verschillende websites zijn die aanbieden u te helpen met het verwijderen van persoonsgegevens bij de GGD. Dit zijn particuliere initiatieven die hier soms ook geld voor vragen. Wij raden u aan om uw verzoek kosteloos en rechtstreeks bij de GGD indienen.

Zijn mijn gegevens gestolen?
Tot op heden is uit het lopende politieonderzoek gebleken dat de gegevens van circa 1.250 personen onbevoegd zijn ingezien, gestolen en mogelijk verkocht. Het gaat om gegevens van personen die bij de GGD een coronatest hebben laten doen of zich bij de GGD hebben laten vaccineren. Deze persoonsgegevens betreffen onder meer naam, adres, telefoonnummer(s), e-mailadres, Burgerservicenummer (BSN), nationaliteit en geboortedatum. De personen van wie deze data zijn gestolen, zijn of worden via een brief door ons geïnformeerd. Het is nu nog niet duidelijk wanneer de politie het onderzoek afrondt en of er nog meer gedupeerden zijn.

Wat zijn de mogelijke gevolgen? Welk risico loop ik als criminelen mijn persoonsgegevens hebben? En waarop moet ik letten?

  • U loopt het risico slachtoffer te worden van oplichting. Criminelen bellen of mailen u bijvoorbeeld uit naam van een voor u geloofwaardige instantie zoals uw bank. Ze zouden uw vertrouwen kunnen winnen, omdat ze persoonlijke informatie noemen (zoals uw BSN of woonadres). Voordat u het weet, heeft u een betaling voor iets gedaan – maar feitelijk op een phishinglink geklikt.

Een ander risico is identiteitsfraude. De fraudeur gebruikt uw persoonsgegevens bijvoorbeeld om producten en diensten te krijgen op uw naam. Of om een bankrekening te openen of een creditcard aan te vragen.

Doe altijd aangifte als u slachtoffer wordt van cybercrime. Van een aantal vormen van cybercriminaliteit kunt u ook online aangifte doen op deze website.

Vragen over de datadiefstal

Wat is er precies gebeurd?
Er zijn persoonsgegevens gestolen. Uit het politieonderzoek dat loopt is gebleken dat de gegevens van circa 1.250 personen onbevoegd zijn ingezien, gestolen en mogelijk verkocht. Het gaat om gegevens van personen die bij de GGD een afspraak hebben gemaakt voor een coronatest of vaccinatie, gestolen tussen augustus 2020 en de eerste maanden van 2021. Deze gegevens bevatten onder meer naam, geboortedatum, adres, telefoon, e-mailadres, Burgerservicenummer (BSN) en nationaliteit. De personen om wie het gaat zijn of worden via een brief door ons geïnformeerd. De politie heeft 7 verdachten aangehouden, waarvan er op dit moment twee zijn voorgeleid bij de rechter.

Wat hebben jullie gedaan na de ontdekking van de diefstal?
We hebben meteen onderzoek ingesteld. Vervolgens contact opgenomen met de politie, aangifte gedaan en een melding gedaan bij de Autoriteit Persoonsgegevens. Ook hebben wij zelf controles uitgevoerd in onze systemen én volledige toegang verstrekt aan de politie om de opsporing zo goed mogelijk plaats te kunnen laten vinden. Wij controleren op verschillende manieren hoe onze medewerkers omgaan met de informatie in onze systemen. Indien we daar onregelmatigheden in zien, nemen we maatregelen. Ook beschermen we ons tegen aanvallen op onze systemen van buitenaf. Deze diefstal is in onze controles niet naar voren gekomen en is aanleiding geweest om onze controles verder te intensiveren. De gedupeerden zijn allemaal via een brief geïnformeerd volgens de AP-richtlijnen.

Welke privégegevens worden via welk medium/platform aangeboden?
Hierover kunnen wij voor nu geen uitspraken doen, dit is onderdeel van het onderzoek van politie en justitie. Wij hebben daar ook nog geen informatie van de politie over ontvangen.

Van hoeveel mensen zijn privégegevens verkocht?  In welke periode?
Uit het politieonderzoek is gebleken dat de gegevens van circa 1.250 personen onbevoegd zijn ingezien, gestolen en mogelijk verkocht. Het is niet duidelijk wanneer de politie het onderzoek afrondt en of er nog meer gedupeerden zijn. Ook is voor ons niet duidelijk in welke periode de gegevens zijn gestolen en in welke gevallen ze zijn verkocht.

Hoeveel GGD-medewerkers hebben in deze privégegevens gehandeld?
De politie heeft tot nu toe zeven verdachten aangehouden.

Als blijkt dat mijn gegevens doorverkocht zijn nemen jullie dan contact op? Wie doet dat?
Uit het politieonderzoek is gebleken dat de gegevens van circa 1.250 personen onbevoegd zijn ingezien, gestolen en mogelijk verkocht. De personen om wie het gaat zijn of worden via een brief door ons geïnformeerd.

Vragen over systemen

Uit welke systemen is er sprake geweest van datadiefstal?
Tot nu toe is uit politie onderzoek alleen gebleken dat er uit CoronIT gegevens gestolen zijn. Dit is het administratiesysteem voor het testen en vaccineren en de communicatie hierover. Dus wanneer u een afspraak maakt voor een COVID-19-test via het callcenter, de COVID-19-test website of een arts, komen uw persoonsgegevens in CoronIT. Ook wanneer u een afspraak maakt voor een vaccinatie.

Zijn mijn gegevens wel veilig bij jullie?
Geen enkel IT-systeem is onfeilbaar. Wij doen alles wat in ons vermogen ligt om ervoor te zorgen dat gegevens van mensen die zich laten testen of vaccineren in veilige handen zijn. Daarom hebben we ook na dit incident maatregelen genomen om dit soort incidenten in de toekomst te voorkomen. Het gaat om de volgende maatregelen:

  • Wij hebben maatregelen genomen om te voorkomen dat GGD-medewerkers gegevens makkelijk uit de systemen kunnen halen zonder daartoe bevoegd te zijn;
  • Wij hebben de politie de noodzakelijke toegang gegeven tot onze systemen om de daders op te sporen;
  • Wij hebben onderzoek gedaan op internet naar mogelijk te koop aangeboden persoonsgegevens;
  • Wij hebben een specialistisch team samengesteld en extra controlemaatregelen genomen. Zo kunnen we continu nagaan of onze medewerkers op een zorgvuldige manier omgaan met de persoonsgegevens.

Zijn de systemen voor testen, bron- en contact onderzoek en vaccineren strikt gescheiden?
Gegevens van testen en vaccineren bevinden zich in CoronIT. De medische gegevens die bij vaccinaties worden vastgelegd zijn afgeschermd en niet zichtbaar voor medewerkers die zich met testen bezighouden. Wel is er een koppeling waardoor een testuitslag altijd te zien is, wanneer iemand in het systeem kijkt bij een vaccinatie afspraak. Dit is zo ingericht omdat het nodig kan zijn om te bepalen of iemand gevaccineerd kan worden.

De gegevens van het Bron- en contactonderzoek bevinden zich in HPZone.

Hoeveel Nederlanders staan er in CoronIT en HPzone?
Op het moment dat de datadiefstal werd geconstateerd (januari 2021) stonden in CoronIT gegevens van circa ca. 5,5 miljoen mensen en in HPZone gegevens van circa 1 miljoen personen.

Hoeveel medewerkers hebben toegang tot CoronIT?
In totaal gaat dit om ca. 26.000 medewerkers. Zowel bij de GGD’en als bij bedrijven die gecontracteerd zijn voor de COVID-19-bestrijding.

Wat doen de medewerkers in CoronIT en HPZone?
Medewerkers van het callcenter die telefoontjes ontvangen kunnen via CoronIT testafspraken en vaccinatieafspraken maken. Verder kunnen de medewerkers die uitgaande telefoontjes plegen de testuitslagen zien, zodat ze die kunnen meedelen. Bron- en contactonderzoekers leggen alle gegevens rondom een besmetting vast in HPZone.

CoronIT

Wat is er precies gestolen uit CoronIT?
Uit politieonderzoek is gebleken dat de gegevens van circa 1.250 personen onbevoegd zijn ingezien, gestolen en mogelijk verkocht. Uit het onderzoek blijkt dat het gaat om gegevens van personen die bij de GGD een coronatest hebben laten doen of zich bij de GGD hebben laten vaccineren. Deze gegevens bevatten onder meer naam, geboortedatum, adres, telefoon, e-mailadres, Burgerservicenummer (BSN) en nationaliteit. De personen om wie het gaat zijn of worden via een brief door ons geïnformeerd.

Is het normaal dat zoveel medewerkers toegang hebben tot deze gegevens? En waarom is dit nodig?
Wij willen het coronavirus zo goed mogelijk bestrijden. Daarbij zijn veel medewerkers betrokken. Elke callcenter medewerker die telefoontjes aanneemt (inbound) moet afspraken kunnen maken. En iedere callcenter medewerker die mensen belt (outbound) moet uitslagen door kunnen geven als deze binnen zijn.

Wat doen we aan extra controles in CoronIT?
We verbeteren onze systemen continue. Aan de hand van dit incident zijn verdere aanscherpingen gedaan. Het gaat om de volgende maatregelen:

  • Wij hebben maatregelen genomen om te voorkomen dat GGD-medewerkers gegevens makkelijk uit de systemen kunnen halen zonder daartoe bevoegd te zijn;
  • Wij hebben de politie de noodzakelijke toegang gegeven tot onze systemen om de daders op te sporen;
  • Wij hebben onderzoek gedaan op internet naar mogelijk te koop aangeboden persoonsgegevens;
  • Wij hebben een specialistisch team samengesteld en extra controlemaatregelen genomen. Zo kunnen we continu nagaan of onze medewerkers op een zorgvuldige manier omgaan met de persoonsgegevens.

Wat betekent het beperken van de snelheid waarmee testen en bron- en contactonderzoek kan worden uitgevoerd?
Het testen en bron- en contactonderzoek loopt onverminderd door. Dat is immers nodig om de pandemie te bestrijden. Wel hebben we een aantal extra waarborgen ingebouwd om datadiefstal te voorkomen. Deze waarborgen zijn echter niet van invloed op de doorlooptijd om een test- of vaccinatieafspraak te maken of de testuitslag te krijgen, noch op de doorlooptijd van het bron- en contactonderzoek.

HPZone

Waarom werken jullie (nog) met HPZone?
HPZone was het enige systeem dat voorhanden was om in maart 2020 in vliegende vaart aan de slag te gaan. We hebben aan het begin geconstateerd dat HPZone niet aan de eisen van deze tijd voldoet, hebben aanpassingen gepleegd, maar wisten ook dat een nieuw systeem nodig was. We waren al bezig om over te gaan naar een nieuw, beter systeem. Dat zal versneld gaan gebeuren. Het exacte moment dat we overgaan kunnen wij nog niet noemen.

Wie heeft er allemaal toegang tot HPZone?
In HPZone hebben de eigen GGD-artsen en verpleegkundigen toegang en alle (tijdelijke) medewerkers die bron- en contactonderzoek doen.

Klopt het dat er datasets uit HPZone zijn aangeboden?
We hebben vernomen dat datasets worden aangeboden, maar hebben nog niet kunnen vaststellen dat ze feitelijk verhandeld zijn. Dat is onderwerp van het onderzoek dat de politie doet.

Hoe kan het dat er sprake is van het exporteren van een dataset?
Voor CoronIT geldt hier het volgende: CoronIT beschikte niet over een exportfunctie, maar wel over een printfunctie om een lijst met personen die een afspraak had af te drukken. Die functie werd, afhankelijk van de locatie, voor verschillende doeleinden gebruikt. Onder andere door de portier/verkeersregelaar om te controleren of mensen die aankomen een afspraak hebben. Zo kon voorkomen worden dat mensen zonder afspraak in de keten kwamen en voor vertraging zorgen. Ook werd deze functie gebruikt om een noodlijst aan te leggen zodat in geval van uitval van het systeem testgegevens op de lijst konden worden vastgelegd, zodat die na de storing geregistreerd konden worden.

Er zijn geen indicaties dat deze functie is misbruikt. Echter omdat de kans bestond dat met het bekend worden van deze printfunctie het risico’s op misbruik toe zou kunnen nemen, hebben we de printfunctie in CoronIT op maandag 25 januari 2021 uitgeschakeld. GGD’en kunnen als ze dat willen nu lijsten maken vanuit een beveiligde omgeving.

De exportfunctie van HP Zone maakte het mogelijk om een selectie van de gegevens in HP Zone te downloaden als lijst in bijvoorbeeld Microsoft Excel. De persoon die de export uitvoerde, kon variabelen selecteren (voorbeelden: leeftijd, postcode, testuitslag) en criteria toepassen om benodigde analyses te kunnen uitvoeren (voorbeeld: leeftijd >65). Deze lijsten werden gebruikt ten behoeve van de werkverdeling (door de supervisoren van het bron- en contactonderzoek), om analyses te doen en om rapportages te maken om zicht te houden op het virus (voorbeeld: clusteranalyse). Ook werden dergelijke lijsten gebruikt om de prestaties van de organisatie te monitoren (voorbeeld: analyse tijdigheid bron- en contactonderzoek ten behoeve van artsen, epidemiologen en data-analisten).

Klopt het dat die functie nu is uitgezet?
Ja, de belangrijkste exportmogelijkheden zijn uitgezet. En er zijn aanpassingen doorgevoerd in de overige exportmogelijkheden. De rechten voor gebruik van de resterende, benodigde exportfunctionaliteit zijn aan minder mensen toegekend op basis van beperktere rollen. Op 30 januari 2021 is de printfunctionaliteit in HPZone en HP Zone Lite uitgezet. Dit geldt voor zowel ‘overzichten’ als de individuele dossiers.

Wat betekent het afsluiten van deze exportfunctie voor het werk van BCO-mensen?
Door het afsluiten van de exportfunctie is met name het verdelen van het werk lastiger geworden.

HP Zone en HP Zone Lite. Wat is het verschil?
HPZone is een systeem dat wordt gebruikt voor infectiebestrijding van alle typen infectieziekten. Bij de uitbraak van het coronavirus is dit systeem ook hiervoor gebruikt. Met het uitbreiden van het aantal medewerkers, is HPzoneLite ontwikkeld om ervoor te zorgen dat zij alleen toegang hadden tot de COVID-19 data.

Waarom hebben jullie HP Zone Lite geïmplementeerd (in augustus 2020)?
HPZone Lite is bedoeld om grote aantallen medewerkers makkelijk te laten werken aan bron- en contactonderzoek. In de eerste golf liepen GGD-regio’s over en konden andere GGD-regio’s hen niet helpen. Dat hebben we opgelost in HPZone Lite, door het systeem zo in te richten dat GGD’en elkaar wel konden helpen. Hierdoor konden veel meer bron- en contactonderzoeker hun werk doen en kon het bron en contactonderzoek sneller worden opgestart zodat we voorkwamen dat positief geteste mensen en hun directe contacten weer anderen besmetten.

Kan een medewerker van GGD-regio Groningen in een bron-en contactonderzoek casus van GGD-regio Utrecht?
Nee, GGD-medewerkers kunnen alleen bij de gegevens van hun eigen GGD. Het is wel zo dat bron- en contactmedewerkers van een GGD soms tijdelijk toegang krijgen tot gegevens van een andere GGD om te ondersteunen bij hoge druk. Verder is er een landelijke schil van BCO-medewerkers. Deze landelijke BCO-medewerkers werken vaak voor meerdere GGD-en en hebben dus toegang tot de gegevens van deze GGD-en. De procedures voor het toegang geven en -na afronding van werkzaamheden- ontnemen van die toegang is voor landelijke BCO-medewerkers en GGD-medewerkers aangescherpt. Dit is aangescherpt naar aanleiding van de datadiefstal.

Wanneer gaan jullie een ander systeem invoeren voor het bron- en contactonderzoek?
Op dit moment onderzoekt een onafhankelijk onderzoeksbureau de alternatieven voor HPZone in het kader van de COVID-19-bestrijding. Het gaat hier om het meest geschikte ICT-systeem dat voldoet aan alle moderne eisen op het gebied van privacy- en informatiebeveiliging. Maar ook een systeem dat de kwaliteit van de infectieziektebestrijding waarborgt én op korte termijn implementeerbaar is. Begin april is besloten dat er een nieuw ICT-systeem ontwikkeld wordt ter vervanging van HPzoneLite.

Persoonlijke gegevens

Welke informatie van mensen staat in CoronIT en HP Zone?
In CoronIT staan onder andere naam, adres, woonplaats, telefoonnummer/e-mailadres, BSN, geslacht, geboortedatum, test- en/of vaccineerafspraken en testresultaten. Contra-indicaties en COVID-19 klachten.

In HP Zone staan naam, adres, woonplaats, telefoonnummer, geslacht, geboortedatum en BSN van een persoon. Verder wordt in HP Zone ook de informatie uit de bron- en contactonderzoek gesprekken vastgelegd. Dit is onder andere: noodzakelijke medische gegevens (bijvoorbeeld klachten/symptomen en huisarts), waar iemand is geweest en met wie hij/zij in contact is geweest. Ook wordt informatie vastgelegd van bron(nen) en nauwe contacten.

De gegevens zoals geregistreerd in CoronIT zijn opgenomen in de privacyverklaring CoronIT. Hetzelfde geldt voor HP Zone, deze zijn terug te vinden in de privacyverklaring van bron- en contactonderzoek in het kader van COVID-19.

Waarom zijn persoonlijke gegevens zoals BSN, geboortedatum, telefoonnummer en e-mailadres nodig voor het maken van een test- of vaccinatieafspraak?
Volgens de Wet op de geneeskundige behandelovereenkomst (WGBO) zijn we verplicht om een geboortedatum uit te vragen en vast te leggen bij een te testen of te vaccineren persoon. Zo weten we zeker dat wij te maken hebben met de juiste persoon. Het telefoonnummer is nodig om contact op te kunnen nemen in het geval een test- of vaccinatieafspraak niet door kan gaan. Bijvoorbeeld bij slechte weersomstandigheden of als het vaccineren ineens wordt stilgelegd zoals bij AstraZeneca tijdelijk aan de orde was. Het e-mailadres is nodig om per e-mail een test- of vaccinatieafspraak te kunnen bevestigen. En wenselijk op het moment dat er onverhoopt een verkeerd telefoonnummer is geregistreerd om iemand te kunnen bereiken.

De wet Aanvullende bepalingen verwerking persoonsgegevens in de zorg bepaalt dat wij het BSN-nummer moeten uitvragen. GGD is wettelijk verplicht om het BSN-nummer te verwerken. Indien burger deze gegevens niet wil geven, vindt er geen vaccinatie plaats.

Welke gegevens van een persoon kunnen de medewerkers inzien?
Dat hangt van de rol van de gebruiker af: De gebruiker ziet alleen die gegevens die hij of zij op dat moment voor zijn werk nodig heeft. Voor mensen die werken bij het callcenter dat testafspraken maakt zijn bijvoorbeeld de gezondheidsverklaringen die voor vaccinaties worden ingevuld niet zichtbaar. Registratie van bijwerkingen is alleen toegankelijk voor mensen met medische autorisatie.

Staan de gegevens van alle Nederlanders in CoronIT en HP Zone?
Nee, in CoronIT staan alleen de gegevens van personen die een test of vaccinatie afspraak bij de GGD hebben gemaakt.

In HP Zone staan alleen de gegevens van de personen die een positieve COVID-19 test hebben ontvangen en van mensen die als huisgenoot of als nauw contact uit bron- en contactonderzoek kwamen.

Hoelang blijven mijn persoonsgegevens bewaard?
Wij houden ons aan de wettelijke termijnen die hiervoor gelden. Wij verwijderen uw persoonsgegevens als deze niet langer noodzakelijk zijn, met een maximale bewaartermijn van 5 jaar. We bewaren persoonsgegevens in ieder geval voor de gehele duur van de pandemie.

Ik ben gebeld door een GGD’er. Kan dat?
De GGD kan u bellen om de volgende redenen:

  • Om uw testuitslag door te geven;
  • Als u een huisgenoot of nauw contact bent met iemand met een bevestigde coronabesmetting kunnen wij u bellen voor een bron- en contactonderzoek;
  • Voor het maken van een nieuwe vaccinatieafspraak omdat we deze eerder hebben afgezegd (AstraZeneca).

Mocht u om een andere reden gebeld worden door een GGD, dan kunt u dit signaal geven bij uw regionale GGD. De contactgegevens vindt u via www.ggd.nl.

De GGD’er vroeg mijn BSN-nummer. Klopt dat?

Wij vragen niet naar uw volledige BSN-nummer. Als controle vragen wij wel de laatste 3 cijfers van uw BSN.

Beveiliging

Welke controlemechanismen hebben jullie om datadiefstal te voorkomen in Coronit en HP Zone?
Dat zijn er verschillende:

  • Medewerkers moeten een Verklaring Omtrent het Gedrag (VOG) aanleveren en een geheimhoudingsverklaring ondertekenen. Daarmee is duidelijk dat ze aansprakelijk zijn op het moment dat zij zich niet aan de voorwaarden van de overeenkomst houden.
  • Privacy en geheimhouding zijn een doorlopend onderwerp van onze trainingen en tijdens gesprekken.
  • Alleen mensen die voor hun werk inzage moeten hebben in een persoonsdossier voor hun werk, mogen dit dossier inzien. Wij controleren hier intensief op. Bij niet voor het werk noodzakelijke inzage volgt ontslag en indien nodig aangifte. Enkele tientallen mensen zijn om die reden ontslagen.

Hoe gaat de GGD voorkomen dat de illegale handel van gegevens uit CoronIT en HPzone in de toekomst kan plaatsvinden?
We werken intensief samen met de politie om daders op te sporen en ervoor te zorgen dat gegevens niet verder gedeeld kunnen worden. Daarnaast zijn we continu bezig om onze werkprocessen te verbeteren en de veiligheid van onze systemen te vergroten. Welke maatregelen we precies nemen kunnen we, omwille van de veiligheid, niet toelichten. Anders dan de maatregelen die we reeds noemen.

Testen

Kan ik me nog wel veilig laten testen?
Ja, het is belangrijk dat u zich laat testen, vaccineren en deelneemt aan bron- en contactonderzoek. De datadiefstal gaat om incidenten, waarbij we alles op alles zetten om verdachten aan te geven en voorzorgsmaatregelen te treffen. We zijn continu bezig om onze werkprocessen te verbeteren en de veiligheid van onze systemen te vergroten.

Ik heb een COVID-19 test gedaan bij een andere organisatie dan de GGD. Staan mijn gegevens nu ook in jullie systemen?
Als uw testuitslag negatief is niet. Als u een positieve testuitslag had, dan worden uw gegevens in HPZone opgenomen. Alleen positieve uitslagen zijn andere organisaties verplicht aan ons te melden.

Ik heb een test gedaan en was negatief. Sta ik dan ook in het systeem?
Als u zich bij de GGD heeft laten testen en de uitslag was negatief dan staat u in CoronIT. Als u zich bij een andere partij heeft laten testen en uw uitslag was negatief dan staat u niet in onze systemen.

Vaccineren

Kan ik me nog wel veilig laten vaccineren?
Ja, het is belangrijk dat u zich laat testen, vaccineren en deelneemt aan bron- en contactonderzoek. De datadiefstal gaat om incidenten, waarbij we alles op alles zetten om daders aan te geven en voorzorgsmaatregelen te treffen. We zijn continu bezig om onze werkprocessen te verbeteren en de veiligheid van onze systemen te vergroten.

Hebben evenveel mensen toegang tot mijn gegevens bij vaccineren als bij de COVID19-testen?
Gegevens van zowel testen en vaccineren bevinden zich in CoronIT. De medische gegevens die bij vaccinaties worden vastgelegd zijn afgeschermd en niet zichtbaar voor medewerkers die zich met testen bezighouden. Wel is er een koppeling waardoor een testuitslag altijd te zien is, wanneer iemand in het systeem kijkt bij een vaccinatie afspraak. Omdat dat nodig kan zijn om te bepalen of u gevaccineerd kunt worden.

Hoe helpen wij u?

Wat doet u om te voorkomen dat mensen van wie nu de gegevens in omloop kunnen zijn, slachtoffer worden van fraude?
We werken intensief samen met de politie om daders op te sporen en ervoor te zorgen dat gegevens niet verder gedeeld kunnen worden. Verder proberen we op deze pagina tips te geven hoe men zich kan wapenen tegen cybercriminelen.

Op het moment dat duidelijk is dat uw gegevens gestolen zijn, dan zullen wij u hierover informeren en u handvatten bieden hoe fraude te voorkomen.

Kunnen jullie controleren of mijn gegevens gestolen zijn bij de datadiefstal?
Uit het politieonderzoek is inmiddels gebleken dat de gegevens van circa 1.250 personen onbevoegd zijn ingezien, gestolen en mogelijk verkocht. De gedupeerden zijn of worden hiervan via een brief van GGD GHOR Nederland op de hoogte gesteld. Als uit het politieonderzoek de gegevens van andere gedupeerden naar voren komen, dan sturen wij die ook een brief.

Kunnen mijn gegevens ook verwijderd worden uit jullie systemen nadat ik getest of gevaccineerd ben of er bron- en contact onderzoek heeft plaatsgevonden? 
Wij hebben hier op 12 februari een bericht over gepubliceerd. Dat bericht vindt u hier.

Ik wil een klacht indienen over de manier waarop jullie met mijn persoonsgegevens omgaan.
Dat kan. U kunt zich wenden tot onze functionaris gegevensbescherming via fg@ggdghor.nl.

Krijg ik een vergoeding als blijkt dat mijn data bij de datadiefstal zijn betrokken?
Gedupeerden van de datadiefstal worden via een brief geïnformeerd waarin tevens uiteengezet wordt hoe zij nader in contact kunnen komen met ons.

Wat als mijn gegevens zijn gestolen en ik heb een aansprakelijkheidsstelling gedaan?
De aansprakelijkheidsstelling wordt in behandeling genomen en onderzocht. De betrokkene wordt hierover geïnformeerd.

Welk risico loop ik als criminelen mijn persoonsgegevens hebben? En waarop moet ik letten?
De website van de politie beschrijft de mogelijke gevolgen goed:

U loopt het risico slachtoffer te worden van oplichting. Criminelen bellen of mailen u bijvoorbeeld uit naam van een voor u geloofwaardige instantie zoals uw bank. Ze zouden uw vertrouwen kunnen winnen, omdat ze persoonlijke informatie noemen (zoals uw geboortedatum of woonadres). Voordat u het weet, heeft u een betaling voor iets gedaan – maar feitelijk op een phishinglink geklikt. Een ander risico is identiteitsfraude. De fraudeur gebruikt uw persoonsgegevens bijvoorbeeld om producten en diensten te krijgen op uw naam. Of om een bankrekening te openen of een creditcard aan te vragen. Activeer tweestapsverificatie op uw social media-accounts, e-mail. Maakt u gebruik van WhatsApp? Criminelen maken steeds vaker gebruik van de ‘vriend in nood fraude’. Ons advies is om hier ook een extra beveiliging in te stellen.

Doe altijd aangifte als u slachtoffer wordt van cybercrime.

Ik ben onlangs slachtoffer geworden van phishing/cybercrime. Kan dit komen doordat de GGD mijn gegevens had? En wat moet ik doen?
Als u slachtoffer bent van phishing/cybercrime, doe dan altijd aangifte op het politiebureau. Van een aantal vormen van cybercriminaliteit kunt u ook online aangifte doen op deze website. De politie doet op dit moment nog onderzoek. Het is nu nog onduidelijk of er meer data zijn gestolen.

Wat kan ik doen als ik zie dat iemand online of via een chatdienst persoonsgegevens verkoopt?
Leg zoveel mogelijk vast. Waar wordt het verkocht, welke chatdienst betreft het en maak indien mogelijk screenshots. Bel daarna direct de politie op 0900 8844. Of anoniem op 0800 7000. Melding doen, heeft altijd zin. Hiermee voorkomt u slachtoffers en kan de politie direct verdachten opsporen en hun criminele praktijken stoppen. Let op: klik nooit op linkjes die erbij staan vermeld!

Onze medewerkers

Klopt het dat u uw medewerkers verbiedt om te spreken met de pers of onder druk zet om dit niet te doen?
Nee, dit klopt niet. Wij staan altijd de pers te woord. Daarbij vragen wij onze medewerkers om in geval van persvragen contact op te nemen met onze persvoorlichters.

Klopt het dat u medewerkers boetes oplegt als ze naar buiten treden over hun werk?
Nee, dit klopt niet. Wel is het zo dat al onze medewerkers een geheimhoudingsverklaring ondertekenen. Dat doen we omdat onze medewerkers met gevoelige informatie zoals persoonsgegevens omgaan.

Contact

Met wie kan ik contact opnemen voor vragen en klachten?
Heeft u vragen dan adviseren wij u om deze lijst met veelgestelde vragen goed door te nemen. Zit het antwoord op uw vraag er niet bij, stuur dan een e-mail naar gegevensverwerking@ggdghor.nl.

We kunnen alleen vragen beantwoorden over de datadiefstal. Wij kunnen geen antwoord geven op de vraag of ook uw gegevens (naast de gegevens van de circa 1.250 personen die nu zijn aangetroffen) zijn gestolen.  Als dit wel het geval is, dan wordt u hierover geïnformeerd.