Datalek bij ministerie van Justitie en Veiligheid raakt 65.000 ambtenaren
Door een datalek bij het ministerie van Justitie en Veiligheid zijn de persoonsgegevens van 65.000 ambtenaren onterecht terechtgekomen bij twee andere overheidsorganisaties. Dat heeft minister Grapperhaus van Justitie en Veiligheid in een brief aan de Tweede Kamer laten weten.
Het datalek werd veroorzaakt door een voormalige externe medewerker bij het ministerie die tegen de regels in een analysetool kopieerde van de omgeving van Justitie en Veiligheid naar een eigen werkomgeving en vervolgens naar twee andere overheidsomgevingen. Deze medewerker voerde bij het ministerie kwaliteitscontroles uit op toegangsdiensten, zoals de Rijkspas.
Bij het kopiëren van de tool zijn ook de daaraan gekoppelde data gekopieerd. Het gaat om persoonsgegevens van zo'n 65.000 ambtenaren, waarvan een klein deel niet bij Justitie en Veiligheid werkzaam is. Het datalek bevat persoonsgegevens zoals naam, organisatie, soort dienstverband, ID/paspoortnummer, Rijkspasnummer, e-mailadres, geboorteplaats en –datum, geslacht en nationaliteit. Het datalek bevat geen privéadressen, telefoonnummers of wachtwoorden.
"Op dit moment heb ik geen indicatie dat deze data door onbevoegden zijn ingezien of gebruikt. Het onderzoek dat hierover uitsluitsel moet geven, is nog niet afgerond. De betreffende data zijn na ontdekking verwijderd dan wel onbruikbaar gemaakt bij de twee overheidsorganisaties en bij de betreffende medewerker. Ik betreur het incident zeer en neem dit hoog op", laat Grapperhaus weten.
Het datalek bij het ministerie werd ontdekt door koepelorganisatie GGD GHOR, doordat zij de gekopieerde data tijdens een routinecontrole op het netwerk, waar het naartoe was gekopieerd, aantroffen. Dit werd vervolgens aan het ministerie gemeld. Daarna werd de data ook aangetroffen bij het Openbaar Ministerie en bij de eigen werkomgeving van betrokkene. Na ontdekking van het datalek is dit gemeld bij de Autoriteit Persoonsgegevens en zijn er drie onderzoeken gestart.
Grapperhaus stelt dat het op het ministerie nadrukkelijk verboden is om vertrouwelijke of privacygevoelige informatie op onveilige apparatuur te verwerken, zoals op privémiddelen. "Deze informatie moet altijd met grote zorgvuldigheid worden behandeld en die zorgvuldigheid is hier met voeten getreden." De Accountantsdienst Rijk (ADR) doet nu een audit naar het incident om verbetermaatregelen voor te stellen.
Tevens is er een extern bedrijf ingeschakeld om een forensisch onderzoek uit te voeren. Daarmee moet worden bepaald of meer personen buiten Justitie en Veiligheid toegang hebben gehad tot het gegevensbestand. Verder doet de Dienst Justitiële Inrichtingen (DJI) onderzoek naar de feitelijke handelingen rond dit incident op de werkvloer. Afsluitend laat de minister weten dat alle personen die in het datalek voorkomen zijn geïnformeerd.
O ja, toch wel, onschuldige hardwerkenden monitoren.
En criminelen zoveel als mogelijk beschermen.
ben je toch van lottje getikt....ministerie van grappenmakers....
Maar ondertussen wel blijven drammen dat alles digitaal moet.
https://www.youtube.com/watch?v=W31ymDKgBPw ..."bellen wij het geheime nummer van de computer"...
De afkorting ADR staat voor de Audit Dienst Rijk. De ADR is een onderdeel van het ministerie van Financiën.
https://www.rijksoverheid.nl/contact/contactgids/auditdienst-rijk
Een oplettende systeembeheerder bij de GGD heeft Nederland dus behoed voor 'Italiaanse' toestanden, waarbij zo'n beetje alle ID gegegevens van de J&V ambtenaren mogelijk op straat zouden zijn beland.
Afhankelijk van de gelekte gegevens kun je immers een stuk vatbaarder zijn voor doelgerichte phishing of misschien zelfs identiteitsfraude. Het is goed dat je op de hoogte wordt gebracht dat je data helaas is uitgelekt, maar het voelt een beetje gek dat daarmee de kous af zou zijn.
Op basis van informatie van de Autoriteit Persoonsgegevens (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken), heb ik de indruk dat je pas iets kunt doen als je door het datalek verwijtbare schade lijdt. Daardoor voelt dit wel een beetje als de mededeling "Hoi, helaas zijn je gegevens uitgelekt. We gaan proberen ons leven te beteren. Wel vervelend voor je en succes ermee.".
Is het ter kennisgeving aannemen echt het enige dat je kunt doen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
