19 nov
2021

De GBA contacteert de GGC naar aanleiding van een mogelijk gegevenslek bij het platform Bruvax

De GBA heeft vandaag contact opgenomen met de GGC naar aanleiding van meldingen in de pers van een mogelijk gegevenslek bij het platform Bruvax. De GBA is hiervan door de GGC niet in kennis gesteld en heeft dus om aanvullende informatie gevraagd om de situatie beter te kunnen beoordelen. Volgens persberichten is het platform vandaag aangepast om de situatie te verhelpen.


Volgens berichten die op 16 november 2021 in de pers zijn verschenen, zou het mogelijk zijn geweest om op het platform Bruvax de vaccinatiestatus te zien door het rijksregisternummer van de betrokken persoon in te voeren. Dit zou een ernstig gegevenslek met betrekking tot gezondheidsgegevens inhouden.

Een gegevenslek in de zin van de AVG is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens. Een lek van persoonsgegevens dat een risico voor de rechten en vrijheden van personen kan inhouden, moet uiterlijk 72 uur na de ontdekking van het lek aan de Gegevensbeschermingsautoriteit worden gemeld. In het geval van een zogenaamd hoog risico moeten de betrokkenen ook op de hoogte worden gebracht.

Vanmorgen had de GBA hierover nog geen kennisgeving van de GGC ontvangen. Zij besloot dan ook contact op te nemen met de GGC om meer informatie te vragen, met name over de genomen beveiligingsmaatregelen, het tijdstip waarop de GGC op de hoogte is gebracht van een mogelijk lek in haar systeem, en de beoordeling of de GBA al dan niet in kennis moest worden gesteld.

Gegevens in verband met de gezondheid, zoals bijvoorbeeld vaccinatiegegevens, zijn bijzonder gevoelige gegevens, en een belangrijke prioriteit in het Strategisch Plan 2020-2025 van de GBA. Zoals de GBA sinds het begin van de pandemie herhaaldelijk heeft verklaard, moeten deze gegevens met uiterste omzichtigheid worden verwerkt.