GGD IJsselland verliest usb-stick met persoonlijke informatie
GGD IJsselland is een onbeveiligde usb-stick verloren met persoonlijke informatie van een gezin uit het Overijsselse Balkbrug. De usb-stick werd via de post van Zwolle naar Nijmegen verstuurd, maar is onderweg verdwenen, zo meldt De Stentor vandaag.
Op de datadrager stond onder meer uitgebreide informatie over de gezinssituatie, een onterechte beschuldiging van verwaarlozing bij het meldpunt kindermishandeling, onderzoeksrapporten en documenten van Bureau Jeugdzorg. GGD IJsselland heeft inmiddels melding gemaakt bij de Autoriteit Persoonsgegevens. Sinds dit jaar zijn organisaties in het geval van een datalek dit verplicht te melden bij de toezichthouder.
De GGD zegt dat het geen standaard werkwijze is om usb-sticks met informatie over cliënten via de post te versturen. "Dit had in ieder geval aangetekend moeten gebeuren", aldus woordvoerster Karla Kuiperij. Vanwege de vermiste usb-stick gaat de directie het beleid voor gegevensverstrekking evalueren. De familie in kwestie heeft inmiddels een advocaat in de arm genomen.
Reacties (21)
Gevoelige informatie, zij het medisch, technisch, of andersoortig, zou nooit op een usb-stick mogen worden opgeslagen, tenzij beveiligd met behulp van een programma zoals VeaCrypt. Bij verzending via post had het wachtwoord via een ander beveiligd communicatiekanaal moeten worden verstuurd. VeraCrypt is niet zo ingewikkeld; zelfs medici kunnen het gemakkelijk aanleren. Aangetekende post is absoluut geen vervanging voor deugdelijke encryptie.
Dit had aangetekend moeten gebeuren? Die data had versleuteld moeten zijn!!
Heb zelden zulke grove nalatigheid en schuld door een overheidsinstantie gezien, in dit geval door de GGD. Echt te gek voor woorden dit!
02-05-2016, 14:46 door
Briolet
Door Anoniem: VeraCrypt is niet zo ingewikkeld; zelfs medici kunnen het gemakkelijk aanleren.
Nog gemakkelijker: Je formatteert de usb stuk opnieuw als OSX-gecodeerd. Dan wordt de stick met je wachtwoord gecodeerd, waarna een kind de was kan doen. Bij het in de computer steken wordt een wachtwoord gevraagd en als je op je eigen mac werkt kies je ervoor om het wachtwoord op je mac op te slaan.
Hierna heb je er geen omkijken meer aan. Je steekt de usb stik in je mac en je merkt niet eens dat hij versleuteld is. Alleen in een vreemde mac, moet je je wachtwoord nog opgeven.
Alleen jammer dat Windows nog niet het OSX schijfformaat formaat ondersteunt, zodat deze stick nu alleen op apple computers te gebruiken zal zijn. (Op de mac wordt het Windows schijfformaat al zeker 25 jaar ondersteunt)
02-05-2016, 15:12 door
Preddie
Door Anoniem: Gevoelige informatie, zij het medisch, technisch, of andersoortig, zou nooit op een usb-stick mogen worden opgeslagen, tenzij beveiligd met behulp van een programma zoals VeaCrypt. Bij verzending via post had het wachtwoord via een ander beveiligd communicatiekanaal moeten worden verstuurd. VeraCrypt is niet zo ingewikkeld; zelfs medici kunnen het gemakkelijk aanleren. Aangetekende post is absoluut geen vervanging voor deugdelijke encryptie.
Even als advocaat van de duivel en er vanuit gaande dat dit dossier set aan bijzondere persoonsgegevens betreft; wat is dan het verschil tussen 1 dossier in digitale vorm per post versturen of 1 dossier op papier per post versturen?
Natuurlijk is het voor de integriteit van het proces beter om de informatie aangetekend te versturen,. echter gebeurd dit ook niet bij de meeste ziekenhuis waarbij je een kopie van (gedeelte) van je medisch dossier opgevraagd. Je krijgt dit gewoon op papier in een envelop thuis gestuurd en in sommige gevallen is de envelop voorzien van de tekst; Medisch Geheim.
Natuurlijk komt aangetekende verzending van een encrypted USB stick met een sterk encryptie algoritme en een sterk sleutel dichter bij de best pratice.
02-05-2016, 15:19 door
Rolfieo
Door Anoniem: VeraCrypt is niet zo ingewikkeld; zelfs medici kunnen het gemakkelijk aanleren.
Het is een stuk complexer dan jij denkt. Het werk ook niet transparant en is zeer slecht te beheren als bedrijf. Het zou een uitzondering kunnen zijn, om data te versturen naar externe. Maar eigenlijk moet je hier gewoon iets voor neer zetten als bedrijf.Door Briolet: Nog gemakkelijker: Je formatteert de usb stuk opnieuw als OSX-gecodeerd. Dan wordt de stick met je wachtwoord gecodeerd, waarna een kind de was kan doen. Bij het in de computer steken wordt een wachtwoord gevraagd en als je op je eigen mac werkt kies je ervoor om het wachtwoord op je mac op te slaan.
Alleen jammer dat het grootste gedeelte in de wereld niet op een MAC werkt. Dus weinig aan je advies heeft en bedrijfsmatig moet je dit ook niet willen. Alleen jammer dat Windows nog niet het OSX schijfformaat formaat ondersteunt, zodat deze stick nu alleen op apple computers te gebruiken zal zijn. (Op de mac wordt het Windows schijfformaat al zeker 25 jaar ondersteunt)
Even afgezien dat en MAC alleen lezen van NTFS ondersteund, of je moet extra software aanschaffen. Je wilt dit eigenlijk ook niet als beheerder. Dit moet je centraal regelen en niet door gebruikers. Zodat je ook een recovery kan uitvoeren. Bij extern gebruik zou je VeraCrypt kunnen gebruiken, maar dat zou een uitzondering moeten zijn. Hier moet een bedrijf centraal wat voor zeer zetten.
Sinds 1 januari 2016 geldt de meldplicht datalekken.
Vallen ook usb sticks of schijven onder.
Brieven niet?
Vallen ook usb sticks of schijven onder.
Brieven niet?
Digitale spullen die in de post verdwijnen, hoe vaak dat al niet gebeurd is bij mij met films,games en hardware.....
OT: Zulke gegevens horen niet thuis op een onversleutelde USB stick en al helemaal niet via de post verstuurd te worden. Dit is toch Amateurisme op en top.
OT: Zulke gegevens horen niet thuis op een onversleutelde USB stick en al helemaal niet via de post verstuurd te worden. Dit is toch Amateurisme op en top.
Makkelijker dan bijvoorbeeld een veracrypt is dan met winrar een password protected SFX maken, hierbij wordt de data geëncrypt door winrar. En heeft de ontvanger geen speciale software nodig om de spullen uit te pakken.
Door Briolet:
Nog gemakkelijker: Je formatteert de usb stuk opnieuw als OSX-gecodeerd. Dan wordt de stick met je wachtwoord gecodeerd, waarna een kind de was kan doen. Bij het in de computer steken wordt een wachtwoord gevraagd en als je op je eigen mac werkt kies je ervoor om het wachtwoord op je mac op te slaan.
Hierna heb je er geen omkijken meer aan. Je steekt de usb stik in je mac en je merkt niet eens dat hij versleuteld is. Alleen in een vreemde mac, moet je je wachtwoord nog opgeven.
Alleen jammer dat Windows nog niet het OSX schijfformaat formaat ondersteunt, zodat deze stick nu alleen op apple computers te gebruiken zal zijn. (Op de mac wordt het Windows schijfformaat al zeker 25 jaar ondersteunt)
Door Anoniem: VeraCrypt is niet zo ingewikkeld; zelfs medici kunnen het gemakkelijk aanleren.
Nog gemakkelijker: Je formatteert de usb stuk opnieuw als OSX-gecodeerd. Dan wordt de stick met je wachtwoord gecodeerd, waarna een kind de was kan doen. Bij het in de computer steken wordt een wachtwoord gevraagd en als je op je eigen mac werkt kies je ervoor om het wachtwoord op je mac op te slaan.
Hierna heb je er geen omkijken meer aan. Je steekt de usb stik in je mac en je merkt niet eens dat hij versleuteld is. Alleen in een vreemde mac, moet je je wachtwoord nog opgeven.
Alleen jammer dat Windows nog niet het OSX schijfformaat formaat ondersteunt, zodat deze stick nu alleen op apple computers te gebruiken zal zijn. (Op de mac wordt het Windows schijfformaat al zeker 25 jaar ondersteunt)
FAT16, FAT32, exFAT wellicht wel. NTFS is alleen read-only (write kan met wat technische trucjes). Tenminste, dat is de laatste stand zoals deze bij mij bekend is :)
Door Anoniem: Sinds 1 januari 2016 geldt de meldplicht datalekken.
Vallen ook usb sticks of schijven onder.
Brieven niet?
Vallen ook usb sticks of schijven onder.
Brieven niet?
Brieven vallen ook onder de meldplicht datalekken. Daarnaast kennen brieven een betere juridische bescherming door de Postwet.
02-05-2016, 20:01 door
donnerd
Het erge is nog dat er geen beleid is, dus geen interne regels omtrent dot soort zaken als het ware.
Maar goed, iedere hond weet toch dat je dit soort dingen moet versleutelen?
Over kosten kan je niet zeiken, voldoende software pakketten of tools die het zelfs gratis doen.
Maar goed, iedere hond weet toch dat je dit soort dingen moet versleutelen?
Over kosten kan je niet zeiken, voldoende software pakketten of tools die het zelfs gratis doen.
Door Briolet:
Alleen jammer dat Windows nog niet het OSX schijfformaat formaat ondersteunt, zodat deze stick nu alleen op apple computers te gebruiken zal zijn. (Op de mac wordt het Windows schijfformaat al zeker 25 jaar ondersteunt)
Alleen jammer dat Windows nog niet het OSX schijfformaat formaat ondersteunt, zodat deze stick nu alleen op apple computers te gebruiken zal zijn. (Op de mac wordt het Windows schijfformaat al zeker 25 jaar ondersteunt)
NTFS is nog geen 25 jaar op de markt, laat staan dat de 'mac' het al zo lang ondersteund. Sterker nog, die ondersteund het nog steeds niet helemaal.
02-05-2016, 22:38 door
Ilja. _V V
Door Anoniem: Digitale spullen die in de post verdwijnen, hoe vaak dat al niet gebeurd is bij mij met films,games en hardware....
Dat is iets wat ikzelf ook vaak gehoord heb, met name usb-sticks. Probleem is dat men dat soort zaken los in een (noppen)-envelop gooit. Door het tempo & agressie van de sorteermachines in de centra van PostNL, 5 á 8stukken p.Sec., schud het alle kanten op & uiteindelijk scheurt de envelop & verdwijnt zoiets op de werkvloer in het niemandsland van de sorteer machine, of de envelop word compleet versnipperd. Zelfs aangetekend verzenden is daartegen geen garantie.
Wel krijg je schadevergoeding als je kan aantonen wat er bij de verzending verloren is gegaan, aangetekend of niet.
Dat soort dingen goed vastzetten met plakband tussen karton in een standaardmaat noppen-envelop.
http://www.ad.nl/ad/nl/5597/Economie/article/detail/4210481/2015/12/18/Nieuwe-supersorteermachine-PostNL-vreet-post-en-banen.dhtml
03-05-2016, 11:08 door
Korund
Een USB-stick per post versturen? Waar is het good old internet gebleven? ZIP-file met aes256-encryptie en e-mailen die hap. 't Wachtwoord geef je daarna persoonlijk door.
03-05-2016, 11:14 door
Rolfieo
Door Carborundum: Een USB-stick per post versturen? Waar is het good old internet gebleven? ZIP-file met aes256-encryptie en e-mailen die hap. 't Wachtwoord geef je daarna persoonlijk door.
Bast complex voor de meeste gebruikers.... En een klein probleempje, als het meer dan 25Mb is......
Email is geen middel om bestanden uit te wisselen. Het kan wel, maar het is er niet voor gemaakt en je loopt vaak tegen limitaties aan van de mail-systemen.
Door Rolfieo:
nou ik wel, en heb wat aan dit adviesDoor Briolet: Nog gemakkelijker: Je formatteert de usb stuk opnieuw als OSX-gecodeerd. Dan wordt de stick met je wachtwoord gecodeerd, waarna een kind de was kan doen. Bij het in de computer steken wordt een wachtwoord gevraagd en als je op je eigen mac werkt kies je ervoor om het wachtwoord op je mac op te slaan.
Alleen jammer dat het grootste gedeelte in de wereld niet op een MAC werkt. Door Anoniem: Heb zelden zulke grove nalatigheid en schuld door een overheidsinstantie gezien, in dit geval door de GGD. Echt te gek voor woorden dit!
Onder welke steen heb jij precies gezeten de afgelopen 10 jaar?"Het is een stuk complexer dan jij denkt." Toch even reageren op het commentaar van "Rolfieo". Om VeraCypt effectief te kunnen gebruiken voor het verzenden van een grote verzameling aan gegevens is het echt niet nodig om de hele handleiding door te spitten. Toen ik besloot het te gebruiken was het binnen een half uur gepiept, inclusief het lezen van het relevante eerste gedeelte van de handleiding. Mijn achtergrond als ervaren programmeur speelde hierbij eigenlijks geen rol. Wel moet men beseffen dat het niet handig is de hele usb-stick te willen versleutelen. Een "container" van 1 gigabyte zal in veruit de meeste gevallen ruimschoots voldoende zijn en het onsleutelen op een Winows 10 computer met Intel i5 processor vergt dan ruwweg ergens tussen 30 en 60 seconden.
03-05-2016, 18:51 door
Rolfieo
Door Anoniem: "Het is een stuk complexer dan jij denkt." Toch even reageren op het commentaar van "Rolfieo". Om VeraCypt effectief te kunnen gebruiken voor het verzenden van een grote verzameling aan gegevens is het echt niet nodig om de hele handleiding door te spitten. Toen ik besloot het te gebruiken was het binnen een half uur gepiept, inclusief het lezen van het relevante eerste gedeelte van de handleiding. Mijn achtergrond als ervaren programmeur speelde hierbij eigenlijks geen rol. Wel moet men beseffen dat het niet handig is de hele usb-stick te willen versleutelen. Een "container" van 1 gigabyte zal in veruit de meeste gevallen ruimschoots voldoende zijn en het onsleutelen op een Winows 10 computer met Intel i5 processor vergt dan ruwweg ergens tussen 30 en 60 seconden.
Als programmeur heb je al ervaring met ICT. Vergeet niet dat er vele gebruikers zijn die totaal niets met computers hebben. Deze personen zijn heel slim in hun vakgebied, maar niets maar dan ook echt niets hebben met computers.Die raken al in de stress als de icoontjes anders zijn, of als de icoontjes in eens op een andere locatie staan op hun desktop.
Er zijn gebruikers die de servicedesk bellen, dat hun document terug gezet moet worden van backup, en het vreemd vinden dat jij de exacte locatie van de bestanden moet weten. En dat afsnauwen met de opmerking, dat hij dat niet weet, en dat dit jouw taak ik (10K aan gebruikers 120TB aan data). Zo kan ik nog vele voorbeelden noemen, dat veracrypt veel te complex is voor dit soort gebruikers zonder een duidelijke handleiding die stap voor stap beschrijft wat je moet doen. En als het plaatje niet meer overeen komt (versie upgrade) echt geen idee hebben wat ze moeten doen.
Dus even een container aanmaken klinkt heel gemakkelijk, maar kan behoorlijk complex voor een eind gebruiker zijn.
Door Anoniem:
Dezelfde posting deed je onlangs ook hier zeker?Door Anoniem: Heb zelden zulke grove nalatigheid en schuld door een overheidsinstantie gezien, in dit geval door de GGD. Echt te gek voor woorden dit!
Onder welke steen heb jij precies gezeten de afgelopen 10 jaar?Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
