Datalek bij GGD: wat kan ik doen als mijn gegevens op straat liggen?

Eind januari onthulde RTL Nieuws dat er sprake is van grootschalige handel in miljoenen adresgegevens, telefoon- en burgerservicenummers van mensen die een coronatest hebben gedaan, afkomstig uit de twee belangrijkste coronasystemen van de GGD. Je moet er niet aan denken dat je gegevens worden misbruikt voor onder andere identiteitsfraude, phishing en stalking. Maar wat kun je eigenlijk doen als je slachtoffer bent van een datalek?

Het datalek bij de GGD is er een van de buitencategorie. Gevoelige gegevens zijn in handen gekomen van waarschijnlijk criminelen met kwade intenties. Niemand weet waar de gegevens exact terecht komen, maar wel is zeker dat ze mogelijk misbruikt worden.Ik kan me voorstellen dat je hierover ongerust bent en met vragen zit. Want ben jij een van de personen van wie de gegevens zijn doorgegeven? Daarom zet ik een aantal vragen mét antwoorden voor je op een rij.

1.Wat zijn mijn rechten als ik slachtoffer ben van een datalek?

Als het waarschijnlijk is dat het datalek nadelige impact voor je heeft, heb je er recht op om hierover geïnformeerd te worden. Degene die verantwoordelijk is voor de verwerking en voor een ernstig datalek moet jou daarvan op de hoogte stellen en het datalek ook melden bij de Autoriteit Persoonsgegevens (AP). Hoor je niets, dan zijn jouw gegevens waarschijnlijk niet gelekt.

2.Wat kan ik doen als ik slachtoffer ben van een datalek?

De bedoeling van de meldplicht als je gegevens gelekt zijn, is dat je extra alert bent op vreemde ontwikkelingen. Wat je ermee kunt hangt sterk af van het type datalek. Als je weet waar jouw gegevens liggen, kan je ze daar eventueel opvragen. Je weet dan in elk geval waar ze zijn beland en kan de impact enigszins inschatten. Bij het GGD datalek ligt het moeilijker. De gegevens zijn in handen van waarschijnlijk onbekende criminelen. Dan is het vooral belangrijk dat je weet dat kwaadwillenden misbruik kunnen maken van je gegevens, bijvoorbeeld door te bellen met allerlei vragen om nog meer gegevens van je af te troggelen. Wees daar dus alert op! Als je slachtoffer bent geworden van oplichting, doe dan aangifte bij de politie en informeer je bank als er geld ontvreemd is. Je kunt daarnaast een klacht indienen bij de verantwoordelijke voor het datalek (in dit geval de GGD) en ook bij de Autoriteit Persoonsgegevens.

3.Waar komen mijn gegevens terecht na een datalek?

Ook dat is zeer afhankelijk van het betreffende datalek. Bij het GGD datalek zijn gegevens in handen gekomen van vermoedelijk criminelen met kwade bedoelingen. Dat is gelukkig lang niet altijd het geval

4.Hoe kan ik inzage in mijn gegevens beperken/stoppen?

De verantwoordelijke voor de gegevens moet maatregelen treffen om de gevolgen te beperken. Bijvoorbeeld de onbevoegde ontvanger vragen om de gegevens te vernietigen en dit ook te bevestigen, of bijvoorbeeld door de toegang tot de gegevens dicht te zetten zodat de gegevens niet langer in te zien zijn voor de onbevoegde ontvanger. In dit geval zijn er waarschijnlijk criminelen in het spel en die zullen helaas niet altijd te achterhalen zijn. Ook moeten ze intern maatregelen treffen om de gevolgen te beperken.

5.Hoe kan ik mezelf beschermen?

Zelf zorgvuldig en alert omgaan met je eigen gegevens, ze niet zomaar met iedereen delen en erop letten dat de gegevens die je zelf verstrekt juist en volledig zijn. Verstrek ook nooit gegevens die niet nodig zijn. Denk bijvoorbeeld aan je BSN. In de meeste gevallen is het niet nodig en niet de bedoeling dat je je BSN meestuurt. Dat is namelijk gevoelige informatie die interessant is voor criminelen. Maak die gegevens dan ook zwart, bijvoorbeeld op je loonstrook als je die met iemand deelt. Als je fouten signaleert meteen actie ondernemen en deze herstellen zodat er niet gewerkt wordt met verkeerde gegevens.

6.Heb ik de mogelijkheid om de impact van het datalek ongedaan te maken?

In geval van het datalek bij de GGD is alert zijn van belang. Daarmee kan de impact worden beperkt. Als blijkt dat je daadwerkelijk slachtoffer bent van identiteitsfraude meld dit dan bij het Centraal Meldpunt Identiteitsfraude en – fouten (CMI).

7.Kan ik schadevergoeding claimen?

Alleen als je aantoonbare schade hebt en kan bewijzen dat die schade een gevolg is van het datalek. Dat zal heel lastig zijn.

De GGD heeft een informatielijn opgezet. Het is vooral van belang dat je informatie blijft inwinnen en alert bent op gekke dingen. Wees ook terughoudend met het delen van je gegevens. Daarvoor kan ik niet genoeg waarschuwen.

Tot besluit is het goed om te weten dat geen datalek hetzelfde is. Vaak is er helemaal geen aanleiding te vermoeden dat er iets verkeerds met de gegevens gebeurt. Bijvoorbeeld als de ontvanger een professionele partij is en meteen adequaat reageert. Zoals ik al zei: het datalek bij de GGD is er een van de buitencategorie.

Disclaimer

Dit blog schetst de algemene regels en uitgangspunten. Uiteraard kan er in specifieke situaties sprake zijn van uitzonderingen. Heeft u vragen over dit onderwerp of uw specifieke situatie, dan kunt u altijd contact opnemen met een van onze specialisten.

Carolien Lasonder Jurist
Ik ben senior jurist en coördinator van de Juridische Adviesdesken van DAS. Ondernemingen moeten tegenwoordig aan veel regels voldoen op het gebied van privacy en arbeidsrecht. Ik begeleidt juridische projecten en procedures op het gebied van privacy, contractmanagement en arbeidsrecht.

Gratis juridische informatie

Blijf op de hoogte!

Ontvang maandelijks onze e-nieuwsbrief met praktische tips, nieuws, handige voorbeeldbrieven en heldere instructievideo's.

Nu aanmelden