Enige tijd nadat het coronavirus voet aan de grond kreeg in Nederland kwam de overheid met de mogelijkheid voor burgers om zich gratis te laten testen bij bepaalde klachten. De Gemeentelijke Gezondheidsdiensten (GGD) zijn belast met de organisatie van het gehele testproces. Om die taak te vervullen is de GGD in zee gegaan met bedrijven die externe werkkrachten leveren, om zo te voorkomen dat de gelederen van de GGD post-pandemie bomvol overbodige werkkrachten komen te zitten. Keerzijde hiervan is dat de werknemers van de private partijen ‘GGD-werk’ verrichten tegen beduidend slechtere arbeidsvoorwaarden dan welke zij bij die overheidsinstantie zouden genieten, maar dit punt terzijde. Die bedrijven hebben toegang tot de IT-systemen waarin persoonsgegevens centraal zijn verzameld van alle Nederlanders die zich hebben laten testen.
Na onderzoek van RTL Nieuws is gebleken dat een aantal medewerkers van die externe partijen persoonsgegevens uit de IT-systemen te koop aanboden via de chat-app Telegram. Blijkbaar hadden ongeveer 26.000 medewerkers toegang tot de centrale persoonsgegevensregistratie en konden zij gemakkelijk de gegevens exporteren of printen.
Meldplicht
De verwerking van de persoonsgegevens valt onder de verantwoordelijkheid van de GGD, ook wanneer een externe partij de gegevens voor de GGD verwerkt. Dit houdt onder andere in dat deze overheidsdienst uit hoofde van de AVG als verwerkingsverantwoordelijke een meldingsplicht heeft bij datalekken. Deze meldplicht is in eerste instantie aan de toezichthoudende autoriteit. Voor Nederland is dat de in de Uitvoeringswet AVG aangewezen Autoriteit Persoonsgegevens (AP).
Daarnaast geldt de meldplicht ook aan de betrokkene wiens gegevens zijn gelekt wanneer het lek ‘een hoog risico inhoudt voor de rechten en vrijheden van een natuurlijk persoon’. Nu is het zo dat de Rijksdienst voor Identiteitsgegevens heeft aangegeven dat de kans op identiteitsfraude met de gestolen gegevens klein is. Toch gaat het om zeer gevoelige gegevens; met name medische gegevens als testuitslagen kunnen in de verkeerde handen een risico vormen voor de betrokkene. In dat geval moet de GGD het lek ‘onverwijld’ melden aan de betrokkenen. De GGD heeft echter de betrokkenen niet persoonlijk benaderd en hen van het datalek verwittigd. Wel zijn er mededelingen geplaatst op de website en is er een telefoonlijn geopend waar bezorgde Nederlanders zich kunnen melden met vragen.
De AVG geeft verwerkingsverantwoordelijken de mogelijkheid om het lek middels een melding aan het publiek wereldkundig te maken, echter is dit pas een optie wanneer het persoonlijk benaderen van de betrokkenen ‘onevenredige inspanningen’ vergt. Of dit ook daadwerkelijk het geval is lijkt mij sterk. Behalve de verguisde ex-medewerkers beschikt de GGD namelijk ook over de telefoonnummers en mailadressen van alle geteste Nederlanders.
