Bruvax verklapt wie in Brussel nog niet gevaccineerd is [UPDATE]

Als je in het bezit bent van iemands rijksregisternummer en postcode kan je op het Bruvax-platform, het Brusselse inschrijvingsplatform voor vaccinaties, zien of iemand gevaccineerd is of niet. Charta21, een non-profitorganisatie die de zaak aan de kaak stelt, vraagt ‘onmiddellijk een einde te stellen aan het datalek’.

Als je gedomicilieerd bent in Brussel, kan je werkgever, je verzekeraar of je bank in een handomdraai zien of je gevaccineerd bent of niet. Een rijksregisternummer en een postcode. Meer is niet nodig om te weten of een Brusselaar al dan niet gevaccineerd is. Als je die twee gegevens ingeeft op het Brusselse inschrijvingsplatform voor vaccinaties, Bruvax, zie je in één klik of er nog een afspraak vastgelegd kan worden of niet. Kan het wel nog, dan gebeurde de vaccinatie nog niet.

Charta21, een non-profitorganisatie die tijdens de lockdown is opgericht en voor privacy en grondrechten strijdt, stuurde maandagavond een brief naar de Brusselse Gemeenschappelijke Gemeenschapscommissie (GGC) met de dringende vraag ‘onmiddellijk een einde te stellen aan het datalek’. ‘Veel organisaties hebben het rijksregisternummer van hun klanten of werknemers’, zegt Charta21-voorzitter Hubert Petre. ‘Het gaat om werkgevers, bankiers, verzekeraars en gemeentepersoneel. Met het rijksregisternummer bij de hand is het ongelofelijk simpel om te zien of iemand gevaccineerd is of niet. Een flagrante schending van de privacy en een datalek van medische gegevens.’

— lees verder bij De Tijd

[UPDATE 22/11/2019] Omdat de Gegevensbeschermingsautoriteit niet op de hoogte is gesteld van het mogelijk gegevenslek, heeft ze de Gemeenschappelijke Gemeenschapscommissie (GGC) zelf om bijkomende informatie gevraagd: de genomen beveiligingsmaatregelen, het tijdstip waarop de GGC op de hoogte is gebracht van een mogelijk lek in haar systeem en de beoordeling of de GBA al dan niet in kennis moest worden gesteld.
Een lek van persoonsgegevens dat een risico voor de rechten en vrijheden van personen kan inhouden, moet uiterlijk 72 uur na de ontdekking van het lek aan de GBA worden gemeld. In het geval van een zogenaamd hoog risico moeten de betrokkenen ook op de hoogte worden gebracht, aldus de Gegevensbeschermingsautoriteit. Ze voegt er nog aan toe dat gegevens in verband met de gezondheid, zoals vaccinatiegegevens, bijzonder gevoelige gegevens zijn, en een belangrijke prioriteit in het Strategisch Plan 2020-2025 van de GBA.