En weer downplayen met de opmerking 'GGD GHOR merkt op dat er nog geen bewijzen zijn gevonden dat er gegevens daadwerkelijk zijn verkocht of verhandeld'

Als je zelf niet je zaakjes op orde hebt, dan moet je zeker niet dit soort uitspraken doen. Dit is een indicatie dat er nog veel mis is. Want dat het 4 maand duurt om er achter te komen dat de data gelekt is (inclusief waarschuwingen van intern), hoe kun je dan nu al zeggen dat er niets verkocht is...

En criminelen weten ook wel, dat je 6 - 12 maand moet wachten voor het ten gelde maken van deze data. Want dan is men deze lek alweer vergeten... En kun je dus rustig misbruik van de data maken.

TheYOSH

Dus niet de inrichting en beveiliging van het systeem zijn de zwakke schakel, maar de mensen die van de geboden mogelijkheden misbruik gemaakt hebben. Alleen maar een paar rotte appels. Meer niet.
Kop in het zand steken, en hopen dat de storm overwaait?

Waarom konden deze mensen in bulk data exporteren?
Zowel uit het CRM-systeem als uit hun werkomgeving. En zonder dat dit opgemerkt werd.
Het gaat om duizenden zo niet miljoenen records. die zijn echt niet met het handje een voor een gekopieerd.

Ik snap dat de GGD het druk heeft met contact-onderzoek. Maar hun "IT afdeling" en de betreffende managers zullen toch hopelijk niet een jaar lang ook alelen maar contactonderzoek werkzaamheden gedaan hebben, en daarbij hun eigen werk laten versloffen?

Er is nog veel uit te leggen door de GGD en minister De Jong.

Zij zijn blij. "Wij zijn zo blij, zo blij"...
Het lijkt potverdrie wel een internetshop helpdesk die je belt om: "Waar blijven mijn sokken?" Beginnen ook altijd met de opmerking na de klacht: Blij dat u deze klacht aan ons meedeelt.

Neen. "wij betreuren het" of "het spijt ons" is de enig toepasselijke uitspraak.

"Het spijt ons, dat we zo doof waren voor signalen dat nu 6,4 miljoen Nederlanders aan identitietsdiefstal bloot staan!"
"Wij betreuren het, dat onze afdeling Human Resources hier een mate van incompetentie had om voldoende antecedentenonderzoek uit te voeren."
"Het spijt ons, ondanks de hoge druk, dat er software is gebruikt waarvan wij vermoedden dat die niet geheel privacy-proof was".

Wanneer leren wij het om de juiste dingen op het juiste moment te zeggen?

Plottwist: de R-waarde van het corona-virus is gelijk aan de R-waarde van datadiefstal in de organisatie.

Elke security / privacy specialist weet dat de mens de zwakste shcakel is, dat iemand van een anatal mesnen die hij of zij spreekt het nummer en bsn enzo overneemt is gewoon helemaal niets aan te doen, daar zit de GGD gewoon goed met dit.

Echter, mensen hun info oepnen zonder doel, dus geen gesprek is eenvoudig, CTI koppeling en klaar.
het grootsschalige is echter door systeem fouten en is privacy by design.

Dat hoort toch bij je onderzoek slimme. Je moet weten wat gelekt is en je moet weten wat misbruikt wordt, dat 2de is dus nog niet bekend en dus klopt het gewoon wat de GGD zegt, je trekt het gewoon uit context.Ik snap overigens je punt prima, alleen je trekt hier hun statement uit context.

Een deel van het "datalek" is ook secundair gebeurd: men heeft enige contactgegevens verkocht en op basis daarvan zijn weer andere criminelen gaan bellen met die mensen "ja met de GGD we hebben nog wat meer gegevens nodig van u en de mensen die u recent ontmoet hebt" en zijn gaan vragen om extra dingen zoals BSN enzo. Dat hebben die mensen gegeven omdat ze dachten met de GGD van doen te hebben.

Ik vind je post lastig om te lezen met zo veel spelfouten en taalkundige gebreken.

Misschien heb je een punt, maar ik mis het.

Lees de tekst die je wil uiten eerst eens door, voor je deze post.

heel goed; hopelijk schrikt dat anderen die soortgelijke dingen willen gaan uithalen een beetje af...

Maar ik heb het eerder gezegd; iets met 'boter op het hoofd'.. Hoe haal je het in je hoofd om te zeggen "we kunnen niet aantonen dat er gegevens verkocht zijn" of "de ketting is zo sterk als de zwakste schakel"

Dan blijf je dus als organisatie maar naar anderen wijzen en probeer je handen in onschuld te wassen. Hier zijn extreme fouten gemaakt waar de organisatie ook voor verantwoordelijk is en nog steeds lijkt het er op dat dat kwartje niet is gevallen.

Blijkbaar niet alleen boter op het hoofd maar ook een behoorlijke plaat voor de kop ...

Zulk eerste klas prutswerk heb in tijden niet gezien ..

Het is aangeboren minachting voor de lezer. Vandaar: verspilde moeite om te suggereren de letterbrij die uit het keyboard is gerammeld eerst eens te lezen alvorens op de knop "send" te klikken.

Ik reageer even als meelezer.
Ik denk dat volledig onderzoek belangrijker is dan slim onderzoek.
Niet alleen omdat we moeten aanvoelen dat dit niet hetzelfde is als even tactisch in over-uren een misgelopen marketing-project intern analyseren om er lering uit te trekken.
Het gaat hier om zeer gevoelige data van derden.
Gevoelige data met een veel breder belang dan bijvoorbeeld zoiets als wat een belangrijk marketing-project met zich mee zou brengen.
Waar ook nog eens personeel met de resultaten mee aan de haal is kunnen gaan.

Dat je als GGD tevens na 4 - 6 - 12 maanden nog moet terugkomen op de kwestie is een stelling waarvan je prima kan zeggen "dat het klopt".
De reactie van TheYOSH klopt dus eveneens.
Diens punt van wacht als GGD even een tijdje voordat je de ogenschijnlijke geruststellende woorden gaat uitbrengen.
Die kunnen mogelijk onvolledig of voorbarig blijken te zijn.
Dat lijkt me dus heel relevant en opportuun van TheYOSH.

Bovendien valt diens punt zeer zeker binnen het geheel waarvan je mag verwachten dat een GGD in deze naar kijkt.
Namelijk,
- al datgeen dat samenhangt met het datalek
- de oorsprong ervan (kan politiek zijn)
- de oorzaak/aanleiding
- alle bevindingen van handelingen rondom optreden van het lek / de lekken.

Zou je als GGD je uitspraken van bevindingen beperken tot een tijdframe met harde knip op vlak na de bekendmaking van op oneigenlijke gronden massale ontsluiting van de gegevens dan mist het publiek & benadeelden denk ik wel cruciale inzichten.
Ook wordt daarmee niet duidelijk of de GGD wel een rol wil pakken om inzichten die naderhand nog kunnen opduiken eerlijk te delen met de buitenwereld.
Nog los van of de mogelijkheden waarbinnen dit kon ontstaan misschien niet primair aan de GGD zelf zijn toe te schrijven.
Met een kwestie als deze is het bijkomend zelfs de vraag of de GGD - net als ieder andere organisatie die dit binnen de gegeven mogelijkheden zou moeten gaan uitvoeren - de opdracht van de minister misschien wel pertinent had moeten weigeren?!

Dan weer terug naar het verloop van de data-lekken.
Moet - wat na de ontwikkeling fase aan data lekken ontstaan of kan ontstaan en nog naderhand kan uitdijen - buiten de hele beschouwing blijven?
Dan ga je toch wel aardig knippen in observaties.
Je kan zeggen, het statement van de GGD is een vroegtijdige uitspraak.
Het punt dat TheYOSH maakt lijkt mij een die gaat over de logica van bevindingen.
Je zou kunnen denken dat opvattingen en uitspraken hiermee met elkaar verwisseld raken.
Maar primair is de logica die TheYOSH aanreikt niet strijdig met hoe je het onderzoek naar de datalekken zou oppakken.
Daarbij, dat ook niet op voorhand door de beheerder van de gegevens al absolute uitspraken worden gedaan of veelomvattend uitsluitsel kan worden gegeven.
Net zoals de universiteit Maastricht bij hun datalek van studenten gegevens in 2020 ook nader onderzoek nodig had om überhaupt enig uitsluitsel te kunnen geven over de omvang van het datalek.


De bijkomende vraag die ik uit diverse reacties hierboven haal is de volgende:
in hoeverre kan een statement van de GGD weliswaar eerlijk zijn, maar tegelijk wellicht te beperkt / (moreel) ongepast zijn binnen de context van gebeurtenissen?
En de context is natuurlijk niet voorbehouden aan de GGD om die te formuleren en vroegtijdig af te bakenen.
De context is niet beperkt tot de uitspraken die de GGD doet over het datalek.
De context gaat over al datgeen dat met het datalek verband houdt.
Anders lijkt het een beetje alsof wanneer verkeersslachtoffers van een verkeersongeluk tijdens het transport per ambulance naar het ziekenhuis complicaties oplopen dat daarover dan al direct definitieve statements afgegeven kunnen worden.
En als je een analogie trekt naar misschien een overdadige data-honger kan je je ook het volgende voorstellen.
Alsof een junkie die een inbraak deed in een woning meteen roept, maar ik was niet onder invloed hoor meneer de politie!
Nee, dergelijke gevallen zouden we natuurlijk primair als voorbarige statements bestempelen.

Relevante definitieve statements doe je natuurlijk pas als je enige afstand tot de gebeurtenis hebt genomen.
Hetzij afstand doordat er enige tijd overheen is gegaan.
Hetzij doordat mensen met sleutel-rollen in deze zelf afstand van hun rol in de gebeurtenissen hebben genomen.
Zodat de statements die de indruk kunnen wekken dat de omvang van de kwestie al definitief vastgesteld kan worden zonder dat verder verkennend onderzoek heeft plaats gevonden.

Zou de GGD met haar communicatie kort op deze gebeurtenis al de indruk willen wekken definitieve statements te kunnen dan zou dat dus bij voorbaat al voorbarig zijn.
Alsof de GGD als het ware de hele aanloop en nasleep af zou kunnen doen met nakaarten middels een paar uitspraken.
Dat lijkt me alles behalve correct en fair.

wat een prutsers.
Prima dat je haastig software schrijft, want liever werkende software nu dan beter werkende software later.

...maar vul dat systeem dan met alle medische informatie voor poppetjes, gekoppeld aan een uniek nummer: Covid19-0000000000001 enzovoorts.

Jat maar raak, we dont care. Zet het online for all we care.
Zodra je dan een uitslag wilt koppelen aan een persoon, tik je dat nummer, of upload je de csv in een systeem dat al werkt, interface'je van 20,- ertussen, en je krijgt als opvrager van iedereen waar je toch al bij mocht, gebruik makend van een deugdelijk systeem, alle relevante informatie. Denk aan kaartje-van-nederland-met-kleurtjes, of waar was Covid19-0000001203 allemaal, door daar het BSN van te halen, en dat weer te koppelen aan de GSM/covid-app-database.
Niet met grote relationele databases, maar uitgevoerd door een poppetje met rechten ter linker en ter rechterzijde.
records verrijk je eventueel met een hash van de opvrager, waardoor gelekte data aan het poppetje te koppelen is, lijkt me ..acceptabel.

Laten we wel zijn elk securityplan faalt als er geen approval is v.h, senior management.

Citaat CISSP

Ze zouden een wet moeten maken dat het onzorgvuldig omgaan met prive bulk data van personen strafbaar gesteld wordt op straffe v gevangenisstraf van minimaal 4 jaar.

Dat flikken ze bij ons ook om te voorkomen dat we uit de school klappen m.b.t. bepaalde geheimen.

Getekend,

Tikkieterug

Ik begrijp dus dat die managers ook ontslagen worden? Want daar ligt het in feite aan.

Die organisaties kunnen dat toch helemaal niet goed beoordelen of onderzoeken.

Nope, De directie in de vorm van meneer Rouvoet is politiek benoemd en onkundig.
Vandaar dat die mag blijven.

Fijn. En wat hebben alle gedupeerden daaraan?

Hebben die de programma's dan geschreven?

Het voordeel van een demissionair kabinet is dat die niet een 2e keer kan vallen. Maar individuele bewindslieden kunnen wel uit hun ambt gezet worden.

Mijn inziens worden ambtenaren veel te veel beschermd.

En hierdoor blijven we met dit soort ellende zitten.

Als alleen programmeurs de fouten maken, dan heb je dus geen managers nodig.

Volgens mij bewaakt een manager dat de vooraf gestelde doelen behaald worden, en dat je halverwege het project ook halverwege bent, en op het eind ook ongeveer klaar, voor het gestelde budget.

Als zo'n manager er binnen zijn opdracht voor zorgt dat het wel af is, maar niet goed, dan heeft hij of zij het werk niet goed gedaan. Bel betere programmeurs, beperk de extra toegevoegde functies gedurende het project, stel van te voren vast of er voor al die eisen wel tijd is, of geld, of expertise.
kun je dat niet, dan ben je een slechte manager.
Maar ja, als je bij tegenslag door hoger management meteen buitengegooid wordt, dan vraagt daarmee het hogere management eigenlijk om liegende incapabele wezels.

Wat hebben die bewindslieden dan fout gedaan? Het zijn die werknemers, die foutief bezig zijn geweest.

En jij denkt niet dat fox it en de politie dit onderzoek voor de ggd doen, als die dat berichten aan de ggd is het toch vanzelfsprekend en logisch dat de ggd dit zegt?

Benieuwd of ze straks thuis geven bij schade van gedupeerden personen door identiteitsfraude.

Bij een organisation of telecom aanbieder zoals Tmobile werken om klantgegevens tegen betaling aan te bieden is heel hot.

Of de gegevens van PostNL zag ik ook al langskomen. Sinds 2007 ofzo hebben ze alle systemen nog meer gecentraliseerd, plus handschrift herkenning. Elle combo afzender en ontvangst kan gewoon tot in de lengte van dagen worden opgevraagd en dit is digitale info over ouderwetse handpost...

Er zijn mensen die overal tijdelijke baantjes hebben en databases kopieren om vervolgens info te verkopen. Eem kenteken? Geen probleem. Iemand zijn IBAN of BSN? Geen probleem. Iemand zijn bestemmingen bij Bol.com.... Ja hoor

Deze info zou alleen toegankelijk moeten zijn voor de NSA of AIVD maar niet iedere crimineel..

ehm SCREENING niet aan de orde bij GGD????
en wat zijn de gevolgen.
Wat nu als die gasten elders gaan solliciteren. Mag toch hopen dat ze dan geen VOG krijgen omdat ze niet met die info overweg kunnen.