Welke Accountant werkt in vredesnaam voor CoronIT en de GGD?
Hebben die accountants naar de RACI verdeling gevraagd?
Is er afgeweken van de info die aan accountants is verschaft?

Deze mensen werken thuis. Je junt er op wachten tot malware op een thuis-PC de gegevens van veel mensen weet te roven waarmee vervolgens identiteitsfraude, phishingaanvallen en andere ellende mogelijk is. Of dat foute medewerkers claimen dat malware de oorzaak geweest moet zijn.

Afgezien dit eigenlijk altijd via citrix aangeboden wordt, ivm mfa.
Iets wat de scope en impsct drastisch verminderd.

Goh. Verbazend. Want de privacy was gewaarborgd. Toch?

Echt geen praktisch probleem! Er is zo weinig testkapaciteit beschikbaar door de zorg van Hugo de Schoenenman dat er nauwelijks data in de gegevens te vinden is.

Welk informatiesysteem is er nu weer in elkaar gehoddeld? Privacy by design, wat zegt u? Waarom kan het niet in een keer goed gemaakt worden?

nee hoor, malware kan eenvoudig vol automatisch screenshots maken.

Dat een systeem dat snel uit de grond gestampt moest worden om verder te kunnen onvolkomenheden heeft is onvermijdelijk. Dat men daarbij in eerste instantie vooral gericht is geweest op het ondersteunen van handelingen die uitgevoerd moeten kunnen worden en minder op het afschermen van handelingen die niet de bedoeling zijn is duidelijk niet ideaal maar ik snap hoe het gebeurt.

De GGD reageert met de mededeling dat er scherp wordt gecontroleerd op misbruik en mensen die zonder reden in een dossier kijken worden opgespoord. Dus logging is geïmplementeerd en natuurlijk moet een gebruiker aanloggen om het systeem te kunnen gebruiken. Maar het moet voor elk ontwikkelteam dat niet uit totale beginners bestaat geen grote moeite zijn om drie groepen gebruikers (GGD-medewerkers, callcenter-medewerkers, testlab-medewerkers) te onderscheiden die elk alleen geautoriseerd zijn voor bepaalde functies van het systeem.

Als de haast in eerste instantie zo groot was dat dat werd overgeslagen kan het in tweede instantie worden toegevoegd, en kan daar meteen aan worden doorontwikkeld. Ik haal uit de reactie van de GGD niet dat dat ook gebeurt. Dat vind ik onterecht, want het gaat hier om duidelijk te onderscheiden groepen gebruikers waarbij duidelijk is welke gegevens domweg nooit ingezien hoeven te worden. Controle achteraf aan de hand van logbestanden is de enige werkbare mogelijkheid bij bijvoorbeeld ziekenhuispersoneel dat door een noodsituatie onverwacht aan een patiënt kan worden gekoppeld, maar van dat soort situaties is hier geen sprake.

De gehanteerde werkwijze maakt overigens wel dat niet alles af te schermen is. Bij een positieve uitslag wordt namelijk door de GGD contact opgenomen met de betrokkene terwijl het bij een negatieve uitslag door een callcenter wordt afgehandeld. Dat impliceert dat bij het callcenter het onderscheid tussen positieve en negatieve uitslagen zichtbaar of afleidbaar is.

Ik trof hier wat meer informatie over CoronIT aan:
https://ggdghor.nl/thema/informatie-externe-aanvragers-coronit/

Daar gaan we weer en privacy is kind van de rekening. Uitvoerder zou beboet moeten worden voor grove nalatigheid.

Behalve het zinnetje:

[quoqte}Nieuwsuur meldt dat er ook gevallen bekend zijn waarbij medewerkers uitslagen met kennissen deelden die hierom vroegen. Ook worden gegevens, zoals 06-nummers en testuitslagen, soms gedeeld in Whatsapp-groepen van medewerkers die elkaar om hulp vragen.[/quote]
Dan wordt namelijk de Citrix "veiligheid" omzeild.
Er komt (gevoelige) data ook bij FB/Whatsapp terecht.
En bij de kennissen (niet-collega's).

Suwinet op/na Koninginnendag 2009 all over again.

De grondwet geeft niet alleen de burger recht op privacy maar verplicht ook de overheid om maatregelen te nemen die de volkgsgezondheid bevorderen. In crisissituaties kan de situatie ontstaan dat het niet lukt om alles tegelijk waar te maken en dan moet geroeid worden met de riemen die men heeft.

Als je de rest van mijn reactie had gelezen en begrepen dan had je geweten dat ik echt niet heb gesteld dat het dan allemaal wel in orde is. Maar misschien zijn dat soort nuances te moeilijk voor je.

Kan onze anoniem van 10:48 mij duidelijk maken hoe een medewerker van een telefonische helpdesk zijn werk effectief kan uitvoeren als hij niet snel bij de voor zijn werk gegevens van de bellende klant kan komen? Oftewel, hoe wil je voorkomen dat de medewerker gegevens opvraagt van een klant die hij niet op dat moment aan de lijn heeft, maar hem later op de dag wel kan bellen?

Ik zeg: met toegangslogging, auditing en de dreiging van ontslag bij misbruik.

Wat je stelt kan inderdaad, achteraf de medewerker ter verantwoording roepen. Het gaat echter al veel eerder mis. Volgens het nieuwsartikel krijgen medewerkers weinig tot geen training over privacy. De opdrachtgever neemt het blijkbaar niet zo nauw met privacy, als het maar werkt en door. Opdrachtgever ook op de bon slingeren vanwege grove nalatigheid.

Waar Citrix je ook weer tegen kan beschermen of extra maatregelen kan aanbieden.
Daarnaast ziet de malware dan alleen de informatie die toevallig op het beeldscherm staat.


We hadden natuurlijk ook alle tijd, om dit systeem eerst volledig op papier uit te werken en daarna rustig te implementeren.

Was het ook grove nalatigheid, als door IT falen mensen overleden waren, omdat de GGD niet snel genoeg kan handelen?

Natuurlijk kan het beter laten we dat voorop stellen. Maar overdrijven is een vak, wat vele op Securty natuurlijk heel goed kunnen.

App Protection implementeren?
https://www.citrix.com/blogs/2019/05/21/protect-apps-from-keyloggers-and-screen-scrapers-with-citrix-workspace/

Citrix kan dit inderdaad niet voorkomen, al bied App Production wel bepaalde mogelijkheden.
https://www.citrix.com/blogs/2020/04/23/secure-sensitive-data-while-your-employees-work-from-home/

Maar Watermark kan dit tot een zekere hoogte, het traceerbaar bij wie het vandaan komt. Ofwel traceability.
https://www.citrix.com/blogs/2017/12/04/a-new-option-to-protect-your-workspace-in-session-watermark/

Natuurlijk niet perfect, maar wel heel gemakkelijk te implementeren en activeren.

Begrijp ik dat jij de privacy van de GGD klanten (een beetje) wil verbeteren door de privacy van de GGD medewerkers te grabbel te gooien?

Of de informatie via Citrix wordt ontsloten weet ik niet, maar zelfs dan kan malware op een PC hetzelfde als een interactieve gebruiker van die PC. Ook kan, met enige social engineering of tegen betaling, zijn/haar scherm en toetsenbord op afstand worden overgenomen.

Uit https://nos.nl/nieuwsuur/artikel/2348623-ik-kan-zo-uitslagen-van-kennissen-zoeken-zeggen-medewerkers-coronatestlijn.html:
Je plukt wat jongeren van de straat, leidt ze nauwelijks op, geeft hen toegang tot medische gegevens en betaalt slecht. What could possibly go wrong? Dreigen met ontslag zal weinig indruk maken vermoed ik.

En eerder ging het al fout: https://www.ad.nl/rotterdam/oplichting-bij-coronanummer-ggd-er-vraagt-geld-voor-gratis-test~a9c20f7b/

dit kan fundamenteel niet;

gebruiker draait thuis een OS met malware. malware maakt elke sec een screenshot. gebruiker logt in op citrix en start app.

niets is in staat 100% tegen een rootkit op een OS hetzelfde OS te beschermen .

omdat er door de cirix software tegen het OS gezegd wordt, laat gebruiker niet toe screenshots te maken, moet citrix software maar aannemen dat het OS niet liegt en als antoowrd 'ok' geeft maar stiekem wel dingen doet. de werkwijze van een goede rootkit dus.

Het is een verwonderlijke situatie.
- De corona-app zou zeer privacy vriendelijk zijn, het was zowat het enige waar het om ging.
- Deze app heeft als enige resultaat het advies van je laten testen. En dan ....
De faal: je moet de hele keten overzien.

Klok, klepel, dit heeft niets met de corona-app te maken.

Wat wil je nu zeggen? Zekerheden bestaan niet, dat weet je toch? Je kan tóch neerstorten met dat veilige vliegtuig dat je hebt geboekt. Je kan tóch bijwerkingen krijgen bij dat veilige medicijn. Je kan tóch longkanker krijgen, ondanks dat je niet rookt. Et cetera, et cetera...

De NOS is net zo onbetrouwbaar als Rutte en consorten..

https://nos.nl/nieuwsuur/artikel/2348581-testlijnmedewerkers-kunnen-bij-persoonsgegevens-ook-als-dat-niet-mag.html