GGD gaat deze week toegang tot systemen en zoekmogelijkheden beperken
De GGD gaat deze week de toegang tot systemen en zoekmogelijkheden beperken. Ook worden eerder aangekondigde beveiligingsmaatregelen sneller doorgevoerd, zo heeft minister De Jonge van Volksgezondheid in een brief aan de Tweede Kamer laten weten. Aanleiding is de datadiefstal uit de systemen van de GGD.
"Hoewel ik begrip heb voor de omstandigheden waarin vooral aandacht was voor de noodzaak dat de systemen zouden werken, is mijn conclusie dat verbeteringen inzake privacy en dataveiligheid en ook andere aspecten sneller moeten worden gerealiseerd en dat strakker op het proces moet worden gestuurd", aldus De Jonge. De minister kondigt dan ook verschillende maatregelen aan om dit te realiseren.
Zo wordt de toegang tot het systeem HPZone beperkt tot een selecte groep specialisten in de infectieziektebestrijding. Daarnaast zal de GGD stoppen met het gebruik van het systeem HPZone Lite en overstappen op een systeem dat volgens De Jonge "bewijsbaar" voldoet alle standaarden en vereisten op het gebied van privacy en dataveiligheid. Verder zal de GGD deze week nog de toegang en zoekmogelijkheden tot en binnen systemen beperken.
HPZone en HPZone Lite zijn webapplicaties voor de registratie van infectieziekten. Het wordt gebruikt voor bron- en contactonderzoek. HPZone Lite is een variant van HPZone waarmee alleen coronagegevens aan GGD-medewerkers beschikbaar worden gesteld. Het bevat de data van zo'n één miljoen mensen. Het gaat om naam, adres, woonplaats, telefoonnummer, geslacht, geboortedatum en burgerservicenummer. GGD-medewerkers boden uit dit systeem en het systeem CoronIT persoonsgegevens aan van mensen die zich hadden laten testen.
Onderzoek
Naar aanleiding van de ontdekte datadiefstal lopen er ook verschillende onderzoeken. Zo wordt er sinds 24 januari door interne en externe teams dagelijks gezocht naar verdachte patronen. Dit zal blijven gebeuren totdat de controle van het systeem is geautomatiseerd. Eerder had De Jonge aangegeven dat de GGD het gebruik van de systemen "continu" controleert.
"Dit heeft ten onrechte bij sommigen de indruk gewekt dat er nu reeds sprake is van een geautomatiseerde controle, terwijl de GGD tot nu toe structureel steekproefsgewijs controleert. Ik heb daarna gezegd dat "die controles ook worden geautomatiseerd, zodat ze volcontinu kunnen worden uitgevoerd”, en had daarbij voor de helderheid beter kunnen aangeven dat dit pas in maart gerealiseerd zal zijn. Ik betreur dat hierover misverstanden zijn ontstaan", aldus de minister.
Verder worden de GGD-systemen nu door externe it-deskundigen verder doorgelicht, loopt er een intern forensisch onderzoek naar misbruik van persoonsgegevens en zal er over zes weken een externe audit van beide coronasystemen plaatsvinden. Deze audit gaat na of de adviezen zijn opgevolgd, in hoeverre de aangekondigde maatregelen daadwerkelijk zijn getroffen en wat de resterende risico's zijn.
Verder maar hopen dat deze optelsom van blunders voor de mensen die mogelijkerwijze nog schade gaan ondervinden beperkt blijft. Het is ronduit akelig om niet te weten of jouw persoonlijke gegevens zijn verkwanseld totdat je ermee wordt geconfronteerd.
Dan blijft nog: er maar op moeten vertrouwen dat je gegevens voor zo goed als mogelijk nu wel goed afgeschermd zijn en blijven voor nieuwsgierige aagjes en in het ergste geval: toch onbetrouwbare sujetten in het personeelsbestand van de GGD's, want laten we wel wezen: overal vind je rotte appels; het is een eigenschap van elke mens.
Een punt waarvan ik niets weet is of er een mogelijkheid tot schadevergoeding bestaat die geclaimd kan worden bij de overheid. Iemand wel?
Maar hoe nu verder met het voor het leven toegekende SOFI-nummer?
Het valt buiten het bestek van dit topic maar het wordt hoog tijd dat daar op ingebroken kan gaan worden.
Ander voorbeeld: In de toeslagaffaire speelt dat ook een rol. Nu blijkt dat mensen die daarvan het slachtoffer zijn geworden nadelige invloed ondervinden van hun huidige BSN, omdat dit verweven zit in allerlei overheids- en suboverheidsdatabases waar zij mee geconfronteerd worden of nog kunnen worden. Er zit namelijk een hardnekkig fraudestemepel op dat SOFI-nummer dat blijkbaar niet zomaar met een 'delete' kan worden gewist.
(Ik dacht dat daarover hier ook al een topic was, maar ik weet het niet zeker; kan het ook elders gelezen hebben.)
Jaar te laat. Maar zo kennen we onze overheid weer.
Nu nog de verantwoordelijken ontslaan. En er voor zorgen dat ze op een zwarte lijst komen om nooit meer in aanraking met persoonsgegevens te komen. En de betrokkenen een niet BSN geven. Dan lijkt het tenminste nog ergens op.
Prutsers.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
