Ze hebben aan symptoombestrijding gedaan. Het domein is door hen overgenomen. De vraag is hoe lang het duurt voor het domein weer verloopt.

Gaan ze nu nog de afzenders van die dossiers langs of denken ze dat het is opgelost?

Peter

Wanneer komen er boetes? Dit is menselijk valen (again) en het lijkt nog steeds geen gevolgen te hebben.

Voorspelling: Alle data van alle burgers moet eerst drie keer gelekt zijn voordat er boetes komen en zaken gaan veranderen. Dus nog even geduld (tot media 2020 ofzo)

TheYOSH

Toepasselijker lijkt hier (Zo lek als een) ZEEF.

Dit is niet waar.

Ze gaan hier al de mist in, voordat het domein verlopen is. Alleen merk je niet dat je aan het knoeien bent, ook een minpuntje.

Ze hadden dus geen domeinbeheerbeleid en wisten niet wat er allemaal aan dat domein hing.

Dat zie je zo vaak, en dan vaak met handenvol domeinen tegelijk. Dan kun je echt beter maar eentje hebben, en netjes documenteren waar'ie allemaal voor gebruikt wordt. Eventueel met subdomeinen als je meerdere insteekpunten nodig hebt, zodat je ze nog redelijk makkelijk kan terugvinden. Om bijvoorbeeld jaarlijks door al je (sub)domeinen heen te lopen en na te kijken waar alles nog voor gebruikt wordt.

Het lijkt zo makkelijk om "even" een domeintje te bestellen, zij het voor een nieuwe naam, zij het voor een actie of een product ofzo, maar er komt meer bij kijken: Er hoort administratie bij. Als je dat die niet hebt weet je niet waar je mee bezig bent. Zo ook hier, tot en met in de analyse, zie eerste quote in deze reactie.

Ik niet dat ze werkelijk voldoende geanalyseerd hebben.

Overigens, maar wel apropos, wat is dat toch met overheden en ieder jaar een nieuwe naam? Iedereen doet het, en als ze het even niet meer weten gaan ze van "justitie en veiligheid" naar "veiligheid en justitie", terwijl de naambordjes nog nat waren van de eerste keer.

Tja ook instanties in Nederland mogen schijnbaar auto rijden zonder rijbewijs. Dit zou strafbaar gesteld moeten worden.

Data is niet gelekt. Een klokkenluider heeft het bij RTL-nieuws aangekaart. De journalist heeft het daarna aangetoond.
(Verlaan) "De domeinnaam van de oude website werd geregistreerd door twee klokkenluiders, die het datalek bij RTL Nieuws hebben gemeld. Zij willen waarschuwen voor de gevaren van verlopen websitedomeinen binnen de zorgsector. "

Dat is ook waarom je een beetje provider moet kiezen. Eentje die mee denkt, tegenwoordig willen ze dat alles maar via een web interface wordt afgehandeld. Lijkt me een gevalletje goedkoop is duurkoop?
Je hebt ook van die klanten die alleen maar luisteren naar hun wordpres mannetje, welke alleen met de muis kan werken. Niet echt snugger allemaal.

Wanneer komen er boetes? Dit is menselijk falen....

Ik vraag mij in dit soort gevallen altijd af wie nu eigenlijk verantwoordelijk is voor zo'n datalek. Als ik het goed begrijp waren er nog automatische processen van de organisatie zelf die deze dossiers verstuurde, dan is het duidelijk. Maar wat als de dossiers van andere partijen af komen? Ligt het dan aan de kant van de verzendende partij of van de ontvangende partij?

Je kan dan concluderen dat de verzendende partij zijn werk niet goed heeft gedaan (namelijk weten naar wie de gegevens verstuurd worden) en dus verantwoordelijk is voor het datalek. Dat leidt dan natuurlijk tot de vraag hoe je gaat controleren dat een organisatie nog in bezit is van een bepaald domein, daar is volgens mij geen goed antwoord op...

"De klokkenluiders" Brenno de W en Friends?

https://www.youtube.com/watch?v=JiP8q_d2IjY

Antwoord lijkt mij dat zorginstellingen en soortgelijk minstens 10 jaar verlopen domeinen in eigen beheer dienen te houden (de kosten daarvan zijn niet budget brekend), en middels catch-all en andere simpele technieken monitoren wie er op de vingers getikt dienen te worden.

Reken maar dat data is gelekt. De AVG definieert een "inbreuk in verband met persoonsgegevens" (en dat is wat in de volksmond en door de AP een "datalek" wordt genoemd) als:
AVG, artikel 4 punt 12.

Dat het bij klokkenluiders en een nieuwsorganisatie terechtkwam die er netjes mee zijn omgegaan doet daar niets aan af, het had om te beginnen niet verstuurd mogen worden naar e-mailadressen waarvan voor de afzender niet meer vaststaat dat ze in handen zijn van legitieme ontvangers van de informatie.

Iets is niet pas een datalek als het lek misbruikt wordt.

De AP legt hier uit dat dat inderdaad is wat ze onder een datalek verstaan:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken#wat-is-een-datalek-precies-5916

Dat dit menselijk falen is ben ik met je eens, maar dit soort fouten mogen nooit gemaakt worden, ik ben het met het
de THE yosh eens, flinke boetes geven, zelf denk ik aan degradatie van betrokken personen.

Bedenk wel dat dit zeer gevoelige informatie is van kinderen, maar er zal wel wel niets gebeuren op naar de
volgende blunder.

De data is in juridische zin (AVG) wel degelijk gelekt. Gevoelige dossiers van kinderen (sowieso al een extra beschermde postitie binnen AVG) is bij onbevoegden (de klokkenluiders) terecht gekomen. Dat zij er geen misbruik van hebben gemaakt doet niets af aan het wel/niet classificeren als datalek.


Deze is vrij simpel, de informatie-eigenaar. Er horen verwerkersovereenkomsten te zijn waarin duidelijk is vastgelegd wie de informatie-eigenaar en wie de verwerker is.

Als de aantallen in dit persbericht kloppen, dan is gezien het feit dat het over kinderen en hele gevoelige onderwerpen gaat, dit het meest ernstige datalek tot nu toe.

Een beetje provider zal hier niet zoveel mee doen. Afgezien je herinneringen of facturen sturen. En als je daar niet op reageert... Dan ben je gewoon de lul. Of een zaakje van Shadow IT geweest.

Denk je eens in, je bent beheerder bij zo'n tent. Komt er een pakdrager die wil dat je "dit even opzet". Goed, doe je dat. Fast forward een paar jaar, wat reorganisaties, en een naamsverandering, en hop, je krijgt degradatie omdat je ooit een opdracht van een manager uitgevoerd hebt.

Het is niet zozeer menselijk of technologisch falen: Het is falen in beheer. Iemand moet er verantwoordelijk zijn voor "goed beheer" om dus dit soort kruisverbanden te zien, bij te houden, en aan te passen aan de veranderende organisatie. Als niemand dat is, nou, dan is dat een bestuurlijk falen, en dan mag je heel de top voor straf ontslaan.

Dat is eerste is inherent aan "jeugdzorg", en dat tweede ligt er maar net aan hoe de boel bestuurd wordt. Als het "natuurlijk" is dat De Nederlandse Overheid dit niet behoorlijk kan uitvoeren en dus ook niets kan verbeteren als het onvermijdelijkerwijs fout gaat, dan kun je DUS een zaak als jeugdzorg DUS NIET aan De Nederlandse Overheid overlaten.

Dus rest ons niets anders dan deze organisatie jeugdzorg op te heffen en mischien iemand anders die taak op zich te laten nemen. Dat is de enige juiste conclusie uit deze premisse.

ooh, dus ondanks de AVG, worden gevoelige dossiers van allerlei kids vrolijk rondgemaild. Aah privacy awareness overheid anno 2019...

Besef je dat de interne klokkenluiders wel degelijk bevoegd kunnen zijn.

Een veel vervelender iets met deze situatie is datalek aanduiden is dat het dan ook juridisch klopt dat elke pentester dan wel white hacker de bevindingen meteen moet melden als datalek. Het hellende vlak van een onwerkbare kafkiaanse bedoening.
Juridisch in het micromanagement gedoe mag je dan gelijk hebben, het leidt of tot een dystopie of naar het opheffen van zo'n wet.

Waarschijnlijk wilde men makkelijk besparen en is dat helemaal fout gelopen. Het management wilde uiteraard niet luisteren naar security argumenten van een techneut.

Volgens mij valt dat wel mee. Fouten die een pentester ondekt zullen in veel gevallen niet meldingsplichtig zijn. Als dat wel zo is, dan heeft de organisatie een heel ander probleem. Alleen als geconstateert wordt dat privacygevoelige data gestolen is of kan zijn, is er meldingsplicht. De functionaris gegevensbescherming - die elke organisatie van een beetje omvang moet hebben - kan je daarin adviseren.
Daarnaast: Het doel van een pentest is een controle op kwetsbaarheden. Als je die vindt, moeten ze toch al gedocumenteerd worden. Ik zie niet gelijk waarom het werk van een pentester door AVG bemoeilijkt wordt.

Jeugdzorg is in mijn ogen toch echt een taak van de overheid. Helaas hebben we in de afgelopen jaren wel teveel incidenten met jeugdzorg gezien.

In 2015 is besloten dat de jeugdzorg bij gemeentes moet liggen. Daarmee heeft men wellicht gedacht dat men dichter bij de burger/het kind komt te staan, maar daarmee is de Jeugzorg ook meer gefragmenteerd geraakt. Ik ken de cijfers niet, maar ik ben benieuwd wat de impact van deze decentralisatie op kwaliteit van en incidenten in de jeugdzorg is.

In mijn ogen zijn er teveel partijen die naast elkaar heen werken. Ik ken de in's en out's van jeugdzorg niet, maar dit klinkt alsof de informatiepositie niet op orde is. Eigenlijk zegt dit datalek al voldoende. Als men in een jaar tijd bijna 3.300 dossiers over de mail(!) aan het sturen is, dan is de informatievoorziening niet op orde. Waarschijnlijk zijn het nog veel meer dossiers, want deze 3.300 zijn enkel de dossiers die naar een niet gebruikt domein zijn gestuurd.

Informatie is versnippert en het ontbreekt aan een integraal beeld van wat er speelt bij een kind of in een gezin. Maar ik ben er ook van overtuigd dat marktpartijen dit niet gaan oplossen of beter doen. Daarnaast zal het mij niet verbazen als privacywetten hier de hulpverlening in de weg zitten.

Overigens is dit niet een probleem dat uniek is voor Jeugdzorg. Kijk naar de case van Anne Faber die nu weer volop in het nieuws is. Ik denk dat de overheid eens goed moet gaan nadenken hoe men de informatievoorziening wil organiseren. In mijn ogen moet de informatievoorziening veel meer centraal georganiseerd worden. Eigenlijk gewoon een basisadministratie aanleggen. Partijen die werkzaam zijn in de hulpverlening kunnen (moeten) dan op een veilige wijze aansluiten en krijgen op die wijze toegang tot informatie. Dan kan je ook de informatiebeveiliging goed organiseren. Meteen een waarschuwing vooraf: Zet een kwalitatief goed en compact projectteam neer en heb een broertje dood aan koninkrijkjes als je zoiets gaat maken. Anders wordt dit de volgende ICT faal en dat is echt niet nodig.

Lees het verhaal, internen hebben met een journalist bewezen dat er mail met gevoelige informatie opgevangen kon worden. Ze hebben zelf niets gelezen maar een big data tekst analyse gedraaid welke de waarschijnlijkheid van gevoelige gegevens waarschijnlijk (net echt zeker) maakt.

Dit is geheel overeenkomstig de aanpak van een pentester ik zie geen echt verschil.
Nu wordt het door de media gebracht als ernstig groot datalek, dat is raar. Intussen door die media de verplichting om het aan het AP te melden. Die AP gaat het dystopisch bekijken dat de ICT inrichting niet volgens hun Idee is daar heb je de AVG.De AVG gebruikt door een machtswellustigen bij het AP.

Andere anomiem, zoets lijkt me een prima idee. Alleen heb vele machten die ieder voor zich die coördinerende centrale rol willen hebben. Komt het vanuit de regering, dan moet het vooral goedkoop (uwv fusie).

Er zijn wel erger dingen mis met SAVE dan dit.

Kinderarts geeft oordeel op basis waarvan SAVE zorgt dat kinderen uit huis geplaatst worden (ontwaarde een epidemie van Munchhausen by Proxy).
Kinderarts wordt door tuchtraad berispt omdat oordeel nergens op slaat.
Uithuisplaatsing daarmee onterecht geworden.
Kinderen komen niet terug naar huis ("want stabiliteit is in belang van het kind").
Ouders radeloos.
Je zou er voor minder een dooie kat voor de deur leggen.