Onderzoek naar groot datalek bij Donorregister opnieuw vertraagd
Het onderzoek naar het grote datalek bij het Donorregister, dat zes miljoen Nederlanders trof, is opnieuw vertraagd en zal pas volgend jaar aan de Tweede Kamer worden aangeboden. Dat heeft minister Van Ark voor Medische Zorg in een brief aan de Tweede Kamer laten weten. Volgens de minister was het onderzoek door de Audit Dienst Rijk (ADR) omvangrijker dan tevoren verwacht.
Het Donorrregister raakte twee onbeveiligde harde schijven kwijt met daarop 6,9 miljoen gedigitaliseerde donorkeuzeformulieren, zo werd in maart bekend. Op deze formulieren stonden de gegevens van zes miljoen unieke personen. Het ging om voor- en achternaam, geslacht, geboortedatum, toenmalige adresgegevens, toenmalige keuze over orgaandonatie, handtekening, burgerservicenummer of administratief nummer van de basisregistratie van de gemeente.
De harde schijven, die nog altijd zijn vermist, waren niet versleuteld. Naar aanleiding van het datalek werd er door de ADR een onderzoek ingesteld. Zo werd er onder andere gekeken waarom de schijven niet waren versleuteld. Het onderzoeksrapport zou eind mei moeten verschijnen. In juli maakte minister De Jonge van Volksgezondheid bekend dat het onderzoek was vertraagd en hij de onderzoeksresultaten in oktober met de Tweede Kamer zou delen.
Vandaag meldt Van Ark dat het onderzoek verder vertraging heeft opgelopen. Naar nu blijkt kan de ADR het definitieve rapport pas half december opleveren. Vervolgens zal de minister naar verwachting begin volgend jaar het onderzoeksrapport, inclusief haar reactie daarop, toezenden. "Ik vind het vervelend dat dit zo lang heeft geduurd. Net als de minister van VWS, vind ik het belangrijk dat duidelijk wordt hoe het datalek heeft kunnen gebeuren", laat Van Ark weten. Volgens de minister kan het onderzoek helpen om een soortgelijk datalek in de toekomst te voorkomen. "En juist nu de nieuwe Donorwet is ingevoerd, is dat vertrouwen essentieel", merkt ze op.
In juli was er door de Tweede Kamer ook een motie aangenomen om aanvullend op het ADR-onderzoek de gehele informatiebeveiliging van het Donorregister te onderzoeken. Ook dit onderzoek had voor het einde van dit jaar gereed moeten zijn. "Aangezien de ADR deze aanvullende opdracht niet eerder heeft kunnen opstarten door de vertraging bij het eerste onderzoek, zal deze planning niet gehaald kunnen worden", laat Van Ark aan de Tweede Kamer weten. De minister wil in het voorjaar van 2021 de uitkomsten van het aanvullende onderzoek delen.
Het is een schande, en een schande, dat het onderzoek ook al weer enorm veel tijd kost.
Intussen verplicht de overheid ons, om onze privacy-gevoelige gegevens aan hen te overhandigen, of te accepteren dat onze privacy voortdurend wordt geschaad door deze overheid.
Camera's houden ons overal in de gaten, drone's beloeren ons, elke uitgave die we doen wordt gezien en genoteerd door de overheid.... Ondertussen kan de misdaad gewoon zijn gang gaan, soms zelfs geholpen door overheids-dienaren.
Fijn land is dit aan het worden
Knops, lees je even mee?
Gegevens in basisadministratie voorlopig niet versleuteld opgeslagen
https://www.security.nl/posting/675017/Gegevens+in+basisadministratie+voorlopig+niet+versleuteld+opgeslagen
Het is va de zotte dat elke verloren notitie als een groot datalek benoemd wordt. Nog even en dementerende mensen worden aangeklaagd en bestraft voor wat ze niet meer weten.
Hoe moeilijk het zijn kan? Misschien wel verrassend veel moeilijker dan jij of ik nu weten te bedenken, en dat weet je pas als de informatie erover beschikbaar komt en als je dan de moeite doet om er kennis van te nemen.
Probeer het eens, zou ik zeggen. Als je open staat om van dat soort dingen te lezen dan word je wijzer.
Het is va de zotte dat elke verloren notitie als een groot datalek benoemd wordt. Nog even en dementerende mensen worden aangeklaagd en bestraft voor wat ze niet meer weten.
Bij mijn weten hebben geheugens van mensen heel andere eigenschappen dan digitaal opgeslagen data. Het is niet precies en niet uitleesbaar door onbevoegden. Kan je uitleggen waarom dat qua informatiebeveiliging toch vergelijkbaar is?
Het is mij niet duidelijk waarom je 6,9 miljoen gedigitale donorformulieren als een "verloren notitie" ziet. Kan je dat uitleggen?
Bij mijn weten hebben geheugens van mensen heel andere eigenschappen dan digitaal opgeslagen data. Het is niet precies en niet uitleesbaar door onbevoegden. Kan je uitleggen waarom dat qua informatiebeveiliging toch vergelijkbaar is?
In de eerde beschreven situatie van het donorregister, las ik:
- Het uitvragen van informatie, de dagelijkse werkzaamheden, uit het donorregister ging via de papieren formulieren.
Een grote ruimte met vele fysiek geordende dossiers. Wie welke dossier aanraakte of bekeek is natuurlijk niet na te gaan.
- Van al die fysieke formulieren zijn scans gemaakt voor het geval alles door een brand verloren zou gaan.
In dat geval zou er een elektronische benadering van de gescande formulieren gebouwd moeten worden of het handmatig daaruit moeten vissen. Al die scans zijn opgeslagen op zo'n handige verwisselbare schijf. Die verwisselbare harde schijf hebben ze ter bewaring afgegeven bij het datacenter in de "kluis".
- Na vele jaren bedacht men dat het hele fysieke donorregister (die ingevulde papieren formulieren) wel weg kon. Dat papier in dat gebouw was duidelijk. Maar iemand had toch ergens zo'n harde schijf laten bewaren .....
Datacenter paar keer verhuisd reorganisaties en waarschijnlijk andere managers. Niemand (de mens) die nog wist er mee gebeurd was. Laten we het maar voor de zekerheid aanmelden als groot datalek.
Media in een kluis wordt niet zo maar naar buiten weggegeven, overbodige zaken gaan ter vernietiging. Het meest waarschijnlijke is dat het bij een verhuizing opgeruimd en vernietigd is. Je zult de persoon (mens) en actie niet meer vinden, geheugenverlies is menselijk.
Het is mij niet duidelijk waarom je 6,9 miljoen gedigitale donorformulieren als een "verloren notitie" ziet. Kan je dat uitleggen?
Bij mijn weten hebben geheugens van mensen heel andere eigenschappen dan digitaal opgeslagen data. Het is niet precies en niet uitleesbaar door onbevoegden. Kan je uitleggen waarom dat qua informatiebeveiliging toch vergelijkbaar is?
In de eerde beschreven situatie van het donorregister, las ik:
- Het uitvragen van informatie, de dagelijkse werkzaamheden, uit het donorregister ging via de papieren formulieren.
Een grote ruimte met vele fysiek geordende dossiers. Wie welke dossier aanraakte of bekeek is natuurlijk niet na te gaan.
- Van al die fysieke formulieren zijn scans gemaakt voor het geval alles door een brand verloren zou gaan.
In dat geval zou er een elektronische benadering van de gescande formulieren gebouwd moeten worden of het handmatig daaruit moeten vissen. Al die scans zijn opgeslagen op zo'n handige verwisselbare schijf. Die verwisselbare harde schijf hebben ze ter bewaring afgegeven bij het datacenter in de "kluis".
- Na vele jaren bedacht men dat het hele fysieke donorregister (die ingevulde papieren formulieren) wel weg kon. Dat papier in dat gebouw was duidelijk. Maar iemand had toch ergens zo'n harde schijf laten bewaren .....
Datacenter paar keer verhuisd reorganisaties en waarschijnlijk andere managers. Niemand (de mens) die nog wist er mee gebeurd was. Laten we het maar voor de zekerheid aanmelden als groot datalek.
Media in een kluis wordt niet zo maar naar buiten weggegeven, overbodige zaken gaan ter vernietiging. Het meest waarschijnlijke is dat het bij een verhuizing opgeruimd en vernietigd is. Je zult de persoon (mens) en actie niet meer vinden, geheugenverlies is menselijk.
Ik zit elke keer met stomme verbazing de berichten van Karma4 te lezen, vraag me langzamerhand af of deze gezien de problemen die deze heeft met privacy van burgers en telkemale dit soort zaken probeert de vergoedelijken karma4 niet een van de veroorzakers is van dit soort gegevensverleis .
Onvoorstelbaar toch een fysiek papieren archief. Dat is vragen om problemen. Hoe zou ik zo'n beslissing kunnen sturen. Nam aan dat het om een electronisch archief zou gaan. Je ziet dat zoiets gebeurt vanuit het falen om het electronisch op te lossen in allerlei discussies.
Ook daar heb ik geen invloed op het enige wat ik kan doen is het aangeven. Ik vergoeiilijk niets. Dat jij de boel probeert te laten escaleren in discusiies is nu mogelijk de echte oorzaak van dat soort problemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
