Klokkenluider over handel in privégegevens bij GGD: "Je kon het zien aankomen"

Jordy* had zich afgelopen zomer via een uitzendbureau aangemeld om in het coronacallcenter te gaan werken. Voordat die werkzaamheden konden beginnen, moest hij worden opgeleid. Daarvoor kreeg hij toegang tot alle systemen en daarmee ook tot alle persoonsgegevens die daarin stonden.

Lees meer: Datalek coronacallcenter: Steenwijker kon alle dossiers wekenlang inzien

Omdat hij wegens een verbindingsfout na twee dagen uit de digitale opleiding moest stappen, verwachtte hij instructies te krijgen van het uitzendbureau of callcenterbedrijf. Maar die bleven uit en hij kon nog wekenlang moeiteloos álle dossiers inzien.

Jordy heeft naar eigen zeggen niets met die gegevens gedaan, maar nu blijkt uit onderzoek van RTL Nieuws dat anderen dat wél deden. Zij zochten op verzoek in het systeem naar personen en verstrekten al hun gegevens. Waaronder contactgegevens en BSN-nummers.

"Je verwacht het niet", zegt de Steenwijker sarcastisch. "Ergens kon je zoiets natuurlijk al zien aankomen."

"Ik heb wel eens gedacht: door uit de school te klappen heb ik anderen toch niet op gedachten gebracht? Maar het blijft natuurlijk de verantwoordelijkheid van de GGD", vertelt hij.

Jordy wil duidelijk maken dat hij niets tegen de gezondheidsdienst heeft. "Nee, het is juist goed dat ze er zijn, maar er gaat iets heel erg fout. Daar hebben ze hun verantwoordelijkheid niet voor genomen."

Lees meer: Datalek coronacallcenter groter dan gedacht: 38 keer ging het fout

Ondanks zijn zorgen die hij bij het callcenterbedrijf en de GGD al uitte en die RTV Oost ook bij die partijen aankaartte, lijkt er onvoldoende te zijn gebeurd om deze frauduleuze praktijken te voorkomen.

Ook Autoriteit Persoonsgegevens (AP) stelde geen onderzoek in. De privacywaakhond liet het bij een stevig gesprek en een aantal verbeterpunten. "Achteraf is het slordig dat het zo is blijven liggen", zegt Jordy daarover. "Ze hadden moeten doorpakken."

Daar is AP het niet mee eens. "Wij zagen toen geen aanleiding om een onderzoek te starten", vertelt een woordvoerder.

Inmiddels heeft AP de GGD onder verscherpt toezicht gesteld. "Het is de verantwoordelijkheid van de GGD om het probleem op te lossen en uit te leggen hoe zij dit doen. Of dat goed gaat, daar houden wij toezicht op", aldus de privacywaakhond.

Toch heeft de Steenwijker ook wel begrip voor de situatie. "Want kun je dit wel waterdicht krijgen? Dat is denk ik heel lastig. Volgens mij moet het personeel beter gescreend worden, zoals bij een beveiligingsbedrijf of zoiets. Want alleen een Verklaring Omtrent Gedrag, die ik nooit heb ingeleverd, lijkt mij ook niet genoeg."