Ministerie van Justitie neemt maatregelen naar aanleiding van datalek
Het ministerie van Justitie en Veiligheid gaat wegens een datalek dat 65.000 ambtenaren raakte verschillende maatregelen nemen, waaronder het aanscherpen van werkafspraken en procedures, een bewustwordingsprogramma en het invoeren van Data Leakage Protection, zo heeft demissionair minister Grapperhaus van Justitie en Veiligheid in een brief aan de Tweede Kamer laten weten.
Het datalek werd veroorzaakt door een voormalige externe medewerker bij het ministerie die tegen de regels in een analysetool kopieerde van de omgeving van Justitie en Veiligheid naar een eigen werkomgeving en vervolgens naar twee andere overheidsomgevingen. Deze medewerker voerde bij het ministerie kwaliteitscontroles uit op toegangsdiensten, zoals de Rijkspas.
Bij het kopiëren van de tool zijn ook de daaraan gekoppelde data gekopieerd. Het gaat om persoonsgegevens van zo'n 65.000 ambtenaren, waarvan een klein deel niet bij Justitie en Veiligheid werkzaam is. Het datalek bevat persoonsgegevens zoals naam, organisatie, soort dienstverband, ID/paspoortnummer, Rijkspasnummer, e-mailadres, geboorteplaats en –datum, geslacht en nationaliteit. Het datalek bevat geen privéadressen, telefoonnummers of wachtwoorden.
Volgens Grapperhaus kende de externe medewerker de geldende gedragsregels en handelde daarmee in strijd. "Op een aantal punten hadden de werkafspraken over de voorwaarden waaronder hij de persoonsgegevens waar hij toegang toe had verder mocht verwerken met de externe medewerker scherper kunnen worden gemaakt en vastgelegd", voegt de minister toe. De medewerker was naar eigen zeggen zich er niet van bewust dat door het transporteren van de data een datalek ontstond.
Vanwege het datalek werden drie onderzoeken uitgevoerd. Daaruit is naar voren gekomen dat er geen aanwijzingen zijn die erop duiden dat het bestand op andere locaties was of is opgeslagen en door onbevoegden is ingezien of gebruikt. "Hoewel dit door de beperkte beschikbaarheid van logbestanden niet met volledige zekerheid kan worden uitgesloten", stelt Grapperhaus.
Daarnaast laten de onderzoeken zien dat de naleving van procedurele en administratieve waarborgen kan worden verbeterd. Verder blijkt dat aan het gebruik van de MS Access-tool risico’s zijn verbonden die in eerder uitgevoerde risicoanalyses niet waren onderkend.
Aan de hand van de onderzoeken concludeert Grapperhaus dat het datalek het gevolg is van het individuele handelen van de externe medewerker en niet van ernstige tekortkomingen in de werkwijze bij de verwerking van de betrokken persoonsgegevens. Wel gaat het ministerie de werkafspraken en procedures bij inhuur van medewerkers en het databeheer binnen de betrokken afdeling aanscherpen.
Verder gaat het ministerie scherper kijken naar dataminimalisatie en is er een project gestart om de betreffende analysetool te vervangen. Op termijn staat de invoering van Data Leakage Protection (DLP) gepland. Het bewustzijnsprogramma "Weerbaar JenV" moet ervoor zorgen dat bewustzijn van beveiligingsrisico’s en de kennis van veilig digitaal werken van medewerkers die vergaande toegang hebben tot gegevens worden vergroot.
Afsluitend meldt Grapperhaus dat er vooralsnog geen aangifte tegen de externe medewerker wordt gedaan. Wel heeft de minister de externe medewerker, zijn werkgever en de mantelpartij via wie hij was ingehuurd aansprakelijk gesteld voor de door de Staat geleden of te lijden schade.
Daarnaast laten de onderzoeken zien dat de naleving van procedurele en administratieve waarborgen kan worden verbeterd. Verder blijkt dat aan het gebruik van de MS Access-tool risico’s zijn verbonden die in eerder uitgevoerde risicoanalyses niet waren onderkend.
Wel gaat het ministerie de werkafspraken en procedures bij inhuur van medewerkers en het databeheer binnen de betrokken afdeling aanscherpen.
Verder gaat het ministerie scherper kijken naar dataminimalisatie en is er een project gestart om de betreffende analysetool te vervangen. Op termijn staat de invoering van Data Leakage Protection (DLP) gepland. Het bewustzijnsprogramma "Weerbaar JenV" moet ervoor zorgen dat bewustzijn van beveiligingsrisico’s en de kennis van veilig digitaal werken van medewerkers die vergaande toegang hebben tot gegevens worden vergroot.
Aan de hand van de onderzoeken concludeert Grapperhaus dat het datalek het gevolg is van het individuele handelen van de externe medewerker en niet van ernstige tekortkomingen in de werkwijze bij de verwerking van de betrokken persoonsgegevens.
Dronken bestuurders moeten verplicht een bewustwordingscursus volgen.
Deze medewerker verplicht op compliance- en AVG-training?
Wat doen we daar aan lachwekkend mannetje.
Wat doen we daar aan lachwekkend mannetje.
Houd toch op!
Bent u er zo een die het leed dat anderen wordt aangedaan boven het leed van anderen stelt?
Wie bent u om zo te classificeren?
God?
In tegenstelling tot het zieke sentiment dat hier veel te vaak heerst dat ambtenaren verachtelijke onaanraakbaren zijn die vertrappeld mogen worden onder de hoeven van de zogenaamde 'hardwerkende mens', zijn ambtenaren voor misschien wel 99% gewone '9 tot 5 loonslaven' die naar de pijpen moeten dansen van hun werkgever (overheid in dit geval)
En het is gewoon treurig voor 65.000 van hen, dat hun persoonlijke gegevens zijn gelekt.
En dan toch gewoon gebruiken...
De enige oplossing is zorgen dat niemand, maar dan ook niemand, überhaupt zo'n programma kan gebruiken (dus ook niet stiekem).
En dan toch gewoon gebruiken...
De enige oplossing is zorgen dat niemand, maar dan ook niemand, überhaupt zo'n programma kan gebruiken (dus ook niet stiekem).
Een programma op zich kent geen compliance/AVG. Degene die een programma gebruikt moet zich aan de AVG houden en toetsen of het programma dat hij gebruikt en de manier waarop hij het gebruikt, voldoet aan de AVG. Wie een access database maakt, moet dus de database aan dat onderzoek onderwerpen en controleren, dat zijn computer de gegevens niet op een ongeoorloofde manier beschikbaar maakt. Jij als gegevensverantwoordelijke moet controleren of je de regels volgt. Niet de programmeur die het raamwerk levert, wel de programmeur die in jouw opdracht de constructie bouwt, waarmee de gegevens verwerkt worden. En daarna controleer jij of alle regels correct worden opgevolgd.
Wat doen we daar aan lachwekkend mannetje.
Houd toch op!
Bent u er zo een die het leed dat anderen wordt aangedaan boven het leed van anderen stelt?
Wie bent u om zo te classificeren?
God?
In tegenstelling tot het zieke sentiment dat hier veel te vaak heerst dat ambtenaren verachtelijke onaanraakbaren zijn die vertrappeld mogen worden onder de hoeven van de zogenaamde 'hardwerkende mens', zijn ambtenaren voor misschien wel 99% gewone '9 tot 5 loonslaven' die naar de pijpen moeten dansen van hun werkgever (overheid in dit geval)
En het is gewoon treurig voor 65.000 van hen, dat hun persoonlijke gegevens zijn gelekt.
Kunt u lezen, waar haalt u dit hele verhaal vandaan,
I Get Along Without You Very Well.
Boulevard of Broken Dreams
https://www.youtube.com/watch?v=P6IpVnBP4S0
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
