image

Autoriteit Persoonsgegevens stelt GGD onder verscherpt toezicht

vrijdag 29 januari 2021, 09:23 door Redactie, 18 reacties

De Autoriteit Persoonsgegevens stelt de GGD vanwege alle privacyproblemen onder verscherpt toezicht. Dat laat de nationale privacytoezichthouder tegenover Nieuwsuur weten. "In het vervolg zal de GGD onder meer moeten aantonen wat zij heeft gedaan met de kritische vragen van de AP en welke aanpassingen zij hebben doorgevoerd", aldus een woordvoerder.

Vorig jaar september meldde Nieuwsuur al dat uitslagen van coronatests en bijbehorende persoonlijke gegevens toegankelijk waren voor medewerkers van de coronatestlijn die hier eigenlijk geen toegang toe zouden moeten hebben. De Autoriteit Persoonsgegevens vroeg de GGD toen om opheldering, maar er volgde geen verder onderzoek. "We zijn ervan uitgegaan dat wat we toen deden afdoende was om het op orde te brengen", stelt de woordvoerder van de toezichthouder.

Vorige week bleek echter dat privégegevens van mensen in twee coronatestsystemen te koop op internet werden aangeboden. De problemen met de GGD-systemen spelen al lange tijd. Zo blijkt dat GGD-medewerkers sinds de start van het corona-testsysteem lijsten met gegevens van geteste mensen kunnen downloaden en doorsturen naar anderen. De functie was bedoeld voor het maken van rapportages en het overdragen van gegevens naar andere systemen, maar blijkt door medewerkers te zijn misbruikt, meldt de NOS.

De Autoriteit Persoonsgegevens laat weten dat het volgens de gebruikelijke werkwijze heeft geopereerd. "Een waarschuwing, een serieus gesprek. We hebben daarna geen tussenrapportage uitgevoerd", zegt de woordvoerder tegenover Nieuwsuur. "Waar in september nog om opheldering werd gevraagd en op verantwoordelijkheid gewezen werd, daar gaan we nu verscherpt toezicht instellen."

Reacties (18)
29-01-2021, 09:30 door Anoniem
"We zijn ervan uitgegaan dat wat we toen deden afdoende was om het op orde te brengen", stelt de woordvoerder van de toezichthouder.

Assumptions are the mother of all fuck ups...
29-01-2021, 09:41 door Anoniem
Ik zie een nieuw schandaal "in the making".

Iedereen loopt weg voor de verantwoording, want juist ja "noodbevel" en zo.
Tijdsdruk en noodzakelijkheid en dus druk, druk, druk. Je moet toch wat.

Zeer vele personen komen daarbij en daardoor in de verdrukking ten behoeve van de giga-winst van een enkeling.
Dat is gelijk de oorzaak en het gevolg.

Maar zie ik dat slechts alleen of zijn er bij anderen ook ogen zachtjes aan het opengaan?

Jodocus Oyevaer
29-01-2021, 09:51 door Anoniem
Iets met een kalf en een put.
Zo blijkt dat GGD-medewerkers sinds de start van het corona-testsysteem lijsten met gegevens van geteste mensen kunnen downloaden en doorsturen naar anderen. De functie was bedoeld voor het maken van rapportages en het overdragen van gegevens naar andere systemen,
OK, hoeveel mensen maken er rapportages? 1? 2? 3? dus die moeten dat kunnen. Hoeveel mensen doen overdracht naar andere systemen? 2? 3? Dus die moeten dat kunnen. En die andere 7994 dus gewoon niet.

30 jaar geleden maakten we software al zo. Maar voor de GGD lukt dat anno 2020 nog steeds niet.
Wat is dit toch een vreselijk kansloos land.
29-01-2021, 10:57 door Anoniem
De Autoriteit Persoonsgegevens beschikt niet over de juridische instrumenten om verscherpt toezicht in te stellen. Daarnaast is het gebruikelijk dat je een organisatie vooraf op de hoogte stelt als je verscherpt toezicht instelt. Broodjeaapverhaal dus.
29-01-2021, 11:53 door Anoniem
Hoezo verantwoordelijkheid?
De hele puinhoop in Nederland is het gevolg van 'beleid' van de afgelopen jaren. En Rutte vindt dat hij gewoon weer lijsttrekker kan zijn. Ondanks alles. En de schaapjes zullen nog wel voor hem kiezen ook. Want het is zo'n aardige man. Ofzo.
29-01-2021, 12:33 door Anoniem
hopeloos

Die hele overheid moet eens goed onder de loep genomen worden.

Er wordt zo ontzettend veel belasting geld verspild opgebracht door hardwerkende mensen in private organisaties.

En dan als je ziet hoe ze acteren. Niemand durft zijn hoofd boven het maaiveld uit te steken.. het is allemaal pappen en nathouden tot hun pensioen.

Ze moeten daar veel meer sturen op resultaat.

Maar ik heb niet de illusie dat dit ooit gaat veranderen. Ze zijn lui geworden heel lui.

Zelfs interne onderzoeken levert niets op ..iedereen is bang voor zijn job.

Maar wat wil je met een interim manager die niet weet wat echt hard werken is.

Elke ambtenaar zou verplicht moeten worden om een paar maanden diverse beroepen bij particuliere bedrijven te moeten beoefenen waarbij ze echt moeten afzien dan beseffen ze dat heel veel zaken niet zo vanzelfsprekend is.. want daar vullen praatjes geen gaatjes.

Ga maar eens een tijdje in een distributie centrum of ad lopende band werken
of vuil ophalen..

Dringt het misschien ene keer door dat ze dienaren van het volk zijn en niet andersom

Volgens mij die Hugo de Jong toch eindverantwoordelijke?
29-01-2021, 13:09 door Anoniem
Check vooral even of soortgelijke issues niet ook voor de vaccinatieadministratie gelden:

1) Toegang op maat op orde?
2) Auditing op orde?
3) Detectie op orde?
4) User awareness op orde?
5) Geheimhoudingverklaringen (incl. stevige gevolgen bij overtredingen) op orde?
29-01-2021, 14:14 door majortom - Bijgewerkt: 29-01-2021, 14:14
Door Anoniem: Check vooral even of soortgelijke issues niet ook voor de vaccinatieadministratie gelden:

1) Toegang op maat op orde?
2) Auditing op orde?
3) Detectie op orde?
4) User awareness op orde?
5) Geheimhoudingverklaringen (incl. stevige gevolgen bij overtredingen) op orde?

Dit kun je nog gemakkelijk uitbreiden:

6) least privilege geimplementeerd?
7) need to know principe geimplementeerd?
8) geen onnodige data opgeslagen?
9) monitoring op orde?
29-01-2021, 16:54 door karma4
Door majortom:
Door Anoniem: Check vooral even of soortgelijke issues niet ook voor de vaccinatieadministratie gelden:

1) Toegang op maat op orde?
2) Auditing op orde?
3) Detectie op orde?
4) User awareness op orde?
5) Geheimhoudingverklaringen (incl. stevige gevolgen bij overtredingen) op orde?

Dit kun je nog gemakkelijk uitbreiden:

6) least privilege geimplementeerd?
7) need to know principe geimplementeerd?
8) geen onnodige data opgeslagen?
9) monitoring op orde?

Je vergeet de echte prio's in de praktijk:
- als het open source is en iedereen kan meekijken dan komt het vanzelf als bij magie wel goed.
- we voeren het project in een agile aanpak, daarmee gaat werkende software boven alles .

Laat maar,Ik hou het liever bij jullie lijstje.
29-01-2021, 16:54 door karma4 - Bijgewerkt: 29-01-2021, 17:06
dubbel.... De AP die zich nadrukkelijk as big brother wil manifesteren.
Wie accepteert verscherpt toezicht van de politie als je een keer tegen een paaltje bent gereden.
29-01-2021, 17:07 door Anoniem
Door majortom:
Door Anoniem: Check vooral even of soortgelijke issues niet ook voor de vaccinatieadministratie gelden:

1) Toegang op maat op orde?
2) Auditing op orde?
3) Detectie op orde?
4) User awareness op orde?
5) Geheimhoudingverklaringen (incl. stevige gevolgen bij overtredingen) op orde?

Dit kun je nog gemakkelijk uitbreiden:

6) least privilege geimplementeerd?
7) need to know principe geimplementeerd?
8) geen onnodige data opgeslagen?
9) monitoring op orde?

Oftewel, een meer gedegen gestructureerde aanpak had hier op z'n plaats geweest.
1 met een duidelijke richting rondom risico management/assessment.
Een architectuur had hier op z'n plek geweest. Ik zeg: SABSA.
30-01-2021, 14:16 door Anoniem
Je zou mogen verwachten dat de GGD (of de GGDs) als ze applicaties bouwen of breed inzetten er een Privacy Coördinator (oid) meekijkt en er OK op geeft? Geen OK, dan niet uitrollen.

Gemeente Amsterdam zoekt een GGD Privacy Officer in ...
10 sep. 2018 — ... Privacy Officer houdt zich bezig met het bevorderen van privacy bewustzijn bij de GGD Amsterdam, vanuit de afdeling Informatievoorziening ...


Zouden ze die niet hebben gevonden of zo? Of was het belang zo groot dat bewust regels werden overtreden? Of hoefde die persoon zich alleen met "bewustzijn" bezig te houden. Dat is dan iig niet gelukt.
30-01-2021, 22:45 door Anoniem
Door Anoniem: Hoezo verantwoordelijkheid?
De hele puinhoop in Nederland is het gevolg van 'beleid' van de afgelopen jaren. En Rutte vindt dat hij gewoon weer lijsttrekker kan zijn. Ondanks alles. En de schaapjes zullen nog wel voor hem kiezen ook. Want het is zo'n aardige man. Ofzo.
Ik zou zeggen, stel jezelf kandidaat, je weet het zoveel beter, toch?
31-01-2021, 10:19 door Anoniem
"Elke ambtenaar zou verplicht moeten worden om een paar maanden diverse beroepen bij particuliere bedrijven te moeten beoefenen waarbij ze echt moeten afzien dan beseffen ze dat heel veel zaken niet zo vanzelfsprekend is.. want daar vullen praatjes geen gaatjes."


riiiight... marketing?

nee monsieur dat je 'in de privaat' als ondergeschikte individu misschien meer uitgenkepen wordt, betekent nog niet dat daar alles 'rosie and peachy' is. dat zou ik erg naief vinden hoor. de afgelopne dagen:

https://www.security.nl/posting/688302/Philips-topman%3A+zorgen+over+privacy+hinderen+corona-aanpak
https://www.security.nl/posting/688296/Datalek+provider+U_S_+Cellular+door+medewerker+die+malware+installeert
https://www.security.nl/posting/688093/Citrix+schikt+datalek+met+medewerkers+voor+2%2C3+miljoen+dollar
31-01-2021, 10:43 door Anoniem
Há!

a) 25 GGD regio's in NL,

versus

b) 1 overwerkte AP (die laatst door Dekker (lees VVD (lees Rutte)) geen extra budget kreeg toegewezen, want dan zou deze papieren tijger nog wel eens echte tanden en klauwen kunnen krijgen en nog andere politieke (lees VVD (lees Rutte)) "slachtoffers" kunnen veroorzaken in de syri-kinderopvangtoeslagen-razzia-affaire).

dus 0.05 fte over om 25 GGD regio's onder verscherpt toezicht te stellen !!!

pas maar op voor paper-cuts wat deze papieren tijger nog kan veroorzaken.
31-01-2021, 13:25 door Anoniem
Door Anoniem: "We zijn ervan uitgegaan dat wat we toen deden afdoende was om het op orde te brengen", stelt de woordvoerder van de toezichthouder.

Assumptions are the mother of all fuck ups...

Is dat niet The Story of AP's Life?
31-01-2021, 14:52 door walmare
Door Anoniem: Há!

a) 25 GGD regio's in NL,

versus

b) 1 overwerkte AP (die laatst door Dekker (lees VVD (lees Rutte)) geen extra budget kreeg toegewezen, want dan zou deze papieren tijger nog wel eens echte tanden en klauwen kunnen krijgen en nog andere politieke (lees VVD (lees Rutte)) "slachtoffers" kunnen veroorzaken in de syri-kinderopvangtoeslagen-razzia-affaire).

dus 0.05 fte over om 25 GGD regio's onder verscherpt toezicht te stellen !!!

pas maar op voor paper-cuts wat deze papieren tijger nog kan veroorzaken.
De VVD vindt miljoenen per jaar uitgeven aan standaard kantoorsoftware veel belangrijker.
01-02-2021, 10:26 door PJW9779
Wat in alle berichtgeving volstrekt maar dan ook volstrekt ontbreekt is de rol van de Functionaris Persoonsgegevens.
Merkwaardig.

Bijna elke organisatie is wettelijk verplicht een Functionaris Persoonsgegevens aan te stellen. En al helemaal als het gaat om 'bijzondere persoonsgegevens', waarvan hier sprake (b)lijkt te zijn.
Deze functionaris is onafhankelijk en is verantwoordelijk voor het toezicht op de organisatie, het gebruik en de beveiliging van persoonsgegevens, binnen de organisatie. Daarnaast is deze intern aanspreekpunt voor vragen, advisering, klachten en meldingen. En extern contactpersoon voor de Autoriteit Persoonsgegevens, bijvoorbeeld ingeval van de verplichte melding van privacy-inbreuken.

Niemand noemt deze functionaris. betrokken medewerkers niet, voorzitter Rouvoet niet, de Autoriteit Persoonsgegevens niet, en zelfs diverse 'deskundigen' niet.

Geconstateerd kan worden dat het privacy-management en beveiligings-management bij de GGD van geen kanten deugt. En ook het toezicht erop niet.
Zelfs het basale niveau van 'bewustwording' wordt niet gehaald.

"Veel medewerkers hebben al maanden geleden vanwege verschillende privacyproblemen aan de bel getrokken" melden de media.
Klaarblijkelijk weten de GGD-medewerkers niet dat ze daarmee terecht kunnen - en móeten - bij hun Functionaris Persoonsgegevens.

De repliek van de GGD is ronduit lauw en vaag te noemen, en lijkt het product van een communicatiemedewerker zonder verstand van zaken.
Dat bovendien het door de GGD speciaal nummer ingerichte nummer voor mensen met vragen een betaald nummer is is een gotspe, maar eigenlijk tekenend.
De GGD is dus niet alleen onvoldoende toegerust op privacy-management, maar ook onvoldoende toegerust op crisis-management.
Dat voorzitter Rouvoet bovendien als 'verwerkingsverantwoordelijke' in de zin van de AVG moet worden gezien maakt zijn positie heikel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.