image

Tien gemeenten verstuurden BSN via onbeveiligde verbinding

woensdag 11 mei 2016, 10:12 door Redactie, 8 reacties

Tien Nederlandse gemeenten hebben het burgerservicenummer van burgers via een onbeveiligde verbinding verstuurd, terwijl dit wettelijk wel verplicht is. Dat blijkt uit onderzoek van RTL Nieuws. In totaal bleken 27 gemeenten geen https-verbinding te gebruiken voor het uitwisselen van gegevens.

Het gaat dan bijvoorbeeld om naam en woonadres van burgers die via de gemeentewebsite een afspraak willen maken. Bij tien gemeenten ging het ook om het burgerservicenummer. Daarvoor is het wettelijk verplicht een beveiligde verbinding te gebruiken. Het gaat onder andere om Bloemendaal, Wassenaar en Culemborg. Volgens bronnen zouden de gemeenten hiervoor herhaaldelijk zijn gewaarschuwd. De gemeenten beschikken nu wel over een beveiligde verbinding.

Vanwege het onderzoek gaat PvdA-Kamerlid Astrid Oosenbrug Kamervragen stellen. "Gemeenten moeten hun zaken op orde hebben, maar opnieuw blijkt dat niet zo te zijn. Hoe kan het toch dat er bij het bouwen van een huis wel aan de veiligheid van inwoners wordt gedacht, maar niet als het gaat om het bouwen van een website?"

Reacties (8)
11-05-2016, 11:37 door Anoniem
En dan hebben ze nog helemaal geen weet wat er allemaal via e-mail wordt verzonden aan bijzondere persoonsgegevens.
Ik heb enige tijd geleden nog een compleet cliënt dossier inclusief GGZ indicaties ontvangen, waarbij ik in de CC terecht gekomen was. Gelukkig was dit nog voor de wet meldplicht datalekken maar nog steeds beseffen veel mensen (zowel ambtenaren als medischi als het bedrijfsleven) niet dat e-mail niet veilig genoeg is om (bijzondere) persoonsgegevens te verzenden. De WBP vereist passende maatregelen op basis van de huidige techniek bij het verwerken van persoonsgegevens waarbij de lat voor de verwerking van bijzondere persoonsgegevens (zoals o.a. BSN en medische gegevens) nog hoger ligt. E-mail voldoet daar niet aan en dat krijg je maar moeilijk tussen de oren.
Aan de andere kant, burgers zijn vaak ook gewoon laks hoor, die sturen rustig hun hele hebben en houden op van alle gegevens die ze over zichzelf hebben wanneer ze iets willen aanvragen, zelfs al zeggen ambtenaren tegen ze dat ze dat niet moeten doen omdat deze alle relevante gegevens voor zo'n aanvraag uit de systemen kunnen opvragen.
11-05-2016, 12:17 door Anoniem
Hoe kan het toch dat er bij het bouwen van een huis wel aan de veiligheid van inwoners wordt gedacht, maar niet als het gaat om het bouwen van een website?"
Kennis van zaken hebben.
11-05-2016, 12:30 door [Account Verwijderd]
[Verwijderd]
11-05-2016, 20:10 door Anoniem
Zorgverzekeraars knallen hem ook in e-mails.
Erg irritant.
11-05-2016, 22:47 door Anoniem
Waarom schrijven die medewerkers van RTL met grote letters dat persoonsgegevens op straat liggen? Waarom weigeren ze te melden wat voor formulieren het waren? Waarom schrijven ze niet dat dus bijna alle gemeenten https gebruiken? Waarom schrijven ze niet hoeveel burgers die formulieren doodleuk invullen zonder zelf na te denken?
Dit is geen nieuws om betere beveiliging maar nieuws om heisa en commotie. Dat trekt lezers en populistische reacties.
11-05-2016, 22:48 door karma4
Door Anoniem: De WBP vereist passende maatregelen op basis van de huidige techniek bij het verwerken van persoonsgegevens waarbij de lat voor de verwerking van bijzondere persoonsgegevens (zoals o.a. BSN en medische gegevens) nog hoger ligt. E-mail voldoet daar niet aan en dat krijg je maar moeilijk tussen de oren.
Waar staat dat email in welke vorm dan ook niet voldoet? https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/beveiliging-van-persoonsgegevens Er staat alleen maar "De organisatie moet uw persoonsgegevens beveiligen in overeenstemming met de stand van de techniek." De sterkte is tevens de zwakte, wat de stand van de techniek is zal uiteindelijk via de rechter bepaald worden (jurisprudentie).
Zolang die er nog niets is kun je van alles beweren.
12-05-2016, 10:26 door Anoniem
Door karma4:
Door Anoniem: De WBP vereist passende maatregelen op basis van de huidige techniek bij het verwerken van persoonsgegevens waarbij de lat voor de verwerking van bijzondere persoonsgegevens (zoals o.a. BSN en medische gegevens) nog hoger ligt. E-mail voldoet daar niet aan en dat krijg je maar moeilijk tussen de oren.
Waar staat dat email in welke vorm dan ook niet voldoet? https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/beveiliging-van-persoonsgegevens Er staat alleen maar "De organisatie moet uw persoonsgegevens beveiligen in overeenstemming met de stand van de techniek." De sterkte is tevens de zwakte, wat de stand van de techniek is zal uiteindelijk via de rechter bepaald worden (jurisprudentie).
Zolang die er nog niets is kun je van alles beweren.

Zelfs zonder die jurisprudentie kan je als kenner op het gebied van informatiebeveiliging niet met droge ogen beweren dat een e-mail (ongecrypt, en ook niet voorzien van bijvoorbeeld een versleutelde zip met daarin de persoonsgegevens) veilig is of in overeenstemming met de stand van de techniek. Cryptografie, zowel voor de versleuteling van verbindingen als in ruststand is de stand van de techniek.
12-05-2016, 15:56 door Anoniem
Voor Gemeenten bestaat gewoon een beveiligingsbeleid waaraan ze moeten voldoen (BIG). Je moet voldoen aan dit beleid of je moet uitleggen waarom dat niet zo is. Hier wordt ook op ge-audit.
Daarin is ook bepaald wat de classificatie van de data is en welke beveiligingseisen daar aan vast zitten (zoals encryptie etc.).
Het is dus onzin dat de rechter moet bepalen wat de "stand van techniek" is aangezien de eisen welke gesteld worden aan de beveiliging van data voor Gemeente overduidelijk is. Als hier niet aan voldaan wordt door een Gemeente is het vaak onwetendheid, zeker nu veel applicaties en websites "buiten de deur" ontwikkeld/gehost worden omwille van prijs. Vaak blijkt een externe ontwikkelaar geen flauw benul te hebben van beveiliging van persoonsgegevens en je moet er als Gemeente dan ook bovenop zitten om dit in de hand te houden. Zeker als je meer dan 2000 applicaties beheert, kan dat een uitdaging worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.