image

GGD: intrekken systeemtoegang oud-medewerkers kan korte tijd duren

vrijdag 4 februari 2022, 10:28 door Redactie, 24 reacties

Het kan "een korte tijd" duren voordat oud-medewerkers van de GGD geen toegang meer tot coronasystemen met persoonsgegevens hebben, zo laat de organisatie tegenover de Gelderlander weten. Een oud-medewerker vertelde de krant dat hij zeker anderhalve maand nadat hij uit dienst was getreden nog vanuit huis in de coronasystemen van de GGD kon inloggen. Hij kon daarbij allerlei persoonlijke gegevens inzien, waaronder BSN-nummer en e-mailadres.

Vorig jaar november waarschuwde de Autoriteit Persoonsgegevens dat het gebruik van eigen apparatuur door GGD-medewerkers in combinatie met de mogelijkheid om op coronasystemen in te loggen buiten een beveiligde werkomgeving, kan leiden tot beveiligingsrisico’s. Ook concludeerde de toezichthouder dat het proces rond het tijdig aanpassen of intrekken van autorisaties nog niet altijd goed verloopt.

Training

Daarnaast deed zich in december een incident voor waarbij tijdens een een training voor nieuwe GGD-medewerkers de persoonsgegevens van een vrouw, die die dag gevaccineerd zou worden, klassikaal werden getoond, zo laat een uitzendkracht van de GGD weten. Het ging hierbij om onder meer BSN-nummer, e-mailadres, adresgegevens en zelfs ziekte en medicijngebruik.

"Dit is eenmalig gebeurd", reageert een woordvoerder van koepelorganisatie GGD GHOR. "Dit hoort niet en is ook niet onze gebruikelijke gang van zaken. Elke opleiding wordt gegeven vanuit een testomgeving met fictieve personen en gegevens." Volgens de woordvoerder is de fout het gevolg van het opschalen van de GGD's voor de boosterprikcampagne.

"Toen in december bekend werd dat de GGD’s zo snel mogelijk moesten beginnen met de boostercampagne, zijn in een korte tijd veel mensen aangetrokken en opgeleid. Tijdens één van deze trainingen was bij de GGD Gelderland-Midden de testomgeving niet beschikbaar en is het systeem geïllustreerd aan de hand van daadwerkelijke persoonsgegevens."

Op dit moment zijn er duizenden uitzendkrachten die op de GGD-systemen kunnen inloggen. Volgens de GGD is het niet mogelijk om ervoor te zorgen dat tijdelijke medewerkers minder persoonsgegevens te zien krijgen dan vaste medewerkers. "De snelheid van de opschalingsoperatie maakte het niet mogelijk onderscheid te maken tussen vaste en tijdelijke medewerkers."

Reacties (24)
04-02-2022, 11:02 door Anoniem
Korte tijd?
Disable moet helpdesk in 25 min kunnen doen.
04-02-2022, 11:09 door Anoniem
Lekker vaag. Het kan een korte tijd duren. Maar het kan ook een lange tijd duren. Het is maar net hoe de wind waait. Komt er een mediastorm over ongeautoriseerde toegang, dan gaan we rennen. Anders niet. Tot zover het joiners/movers/leavers proces. Niet over nagedacht. Niet belangrijk genoeg, want we hadden haast. En aangezien het nu nog steeds niet goed is geïmplementeerd, is het nog steeds niet belangrijk genoeg.
04-02-2022, 11:21 door Anoniem
Er blijkt dus maar weer dat de GGD, werkend met extreem gevoelige gegevens, het geen moer kan schelen.
20 jaar geleden werden 'mijn' inloggegevens op mijn laatste werkdag verwijderd. Precies zoals het hoort.

Iets wat 'slechts eenmalig' gebeurt is, legt wel meteen het probleem bloot: degene die die cursus geeft, had nooit bij die gegevens mogen kunnen komen. Als het iemand uit het veld is, dan had die zich moeten realiseren dat dit absoluut niet kan. Ook niet omdat het 'even snel' moet.

In plaats van die complete GGD per direct te ontmantelen, zal er wel weer wat 'verbeterd' worden. Op naar de volgende misser.
Ik wil met die hele GGD niks meer te maken hebben. Stik er maar in. Jullie snappen het gewoon niet (dat is misschien nog oplosbaar). En jullie willen het niet snappen (dat is onoplosbaar).
04-02-2022, 11:39 door [Account Verwijderd] - Bijgewerkt: 04-02-2022, 11:46
....korte tijd?

In dit geval is de anderhalve maand korte tijd een onacceptabele eeuwigheid.

Dit is niet te verexcuseren bagger. Niet minder.

Bij vorige werkgevers van mij was het in 1 tot uiterlijk 3 dagen gedaan met mijn acces m.b.v. Remmina. (ik gebruik thuis Linux)
3 dagen is eigenlijk al véél te lang. Een Manager HR en in tweede instantie, een Admin die het melden, respectievelijk IT verwerken van personeelsmutaties zolang laat aanslepen moet: óf nog leren prioriteiten te stellen, óf blijft ernstig in gebreke.
04-02-2022, 13:04 door Anoniem
Dat hele opsporen van de GGD is kompleet nutteloos in een pandemie als deze. Snap echt niet dat we daar allemaal akkoord meegaan. Mensen kunnen zelf de mensen informeren met wie ze waren. Daar hulp bij krijgen is een ander verhaal.
04-02-2022, 13:24 door Anoniem
Door Anton Bleekers: ....korte tijd?

In dit geval is de anderhalve maand korte tijd een onacceptabele eeuwigheid.

Dit is niet te verexcuseren bagger. Niet minder.

Bij vorige werkgevers van mij was het in 1 tot uiterlijk 3 dagen gedaan met mijn acces m.b.v. Remmina. (ik gebruik thuis Linux)
3 dagen is eigenlijk al véél te lang. Een Manager HR en in tweede instantie, een Admin die het melden, respectievelijk IT verwerken van personeelsmutaties zolang laat aanslepen moet: óf nog leren prioriteiten te stellen, óf blijft ernstig in gebreke.

Bij een 'op-staande-voet' of een proeftijdgeval deden we dit binnen 15 minuten (of zelfs al tijdens het slecht-nieuwsgesprek).
04-02-2022, 13:44 door Anoniem
"De snelheid van de opschalingsoperatie maakte het niet mogelijk onderscheid te maken tussen vaste en tijdelijke medewerkers."
Dat komt omdat er pleister op pleister wordt geplakt en niet vooruit wordt gedacht. Alles gaat onde het motto: het is crisis en nood breekt wet.

Maar na bijna 3 jaar op en afschalen kun je anno 2022 COVID 2019 natuurlijk geen verrassing meer noemen.
04-02-2022, 14:05 door Anoniem
Sjonge jonge, wat een beginnersfouten allemaal......

Ik kan best begrip opbrengen dat het allemaal wat minder gestroomlijnd gaat dan het reguliere werk, maar dit zijn toch wel elementaire zaken die ook in deze situatie gewoon op orde kunnen en horen te zijn. Als je accounts niet in één werkdag kan blokkeren en je gebruikt productiegegevens tijdens trainingen, dan ben je gewoon een prutser.....
04-02-2022, 14:08 door Saph
Zo moeilijk is dat toch niet? Je zet in het systeem een einddatum neer en vanaf die dag is het account niet meer toegankelijk. Zo werkte het jaren geleden al. En anders laat iemand dagelijks even een lijstje aflopen en accounts blokkeren. Het gaat hier om gevoelige informatie die gewaarborgd moet blijven.
04-02-2022, 15:01 door Anoniem
Uitschakelen hoort te gebeuren op datum en specifieke tijd middels een aanvraag vanuit HR waarop persoon uit dienst gaat of gewoon vol geautomatiseerd. IT hoort op HR na als eerste te weten dat iemand uit dienst gaat voor de persoon zelf nog. Want laatste wat je wilt is dat het einde van dienstverband is met emoties, wrok en iemand in gelegenheid is sabotage te plegen.

Je weet niet hoe iemand gaat reageren en moment dat iemand uit dienstverband gaat moet je die gene ook als buitenstaander meteen behandelen. Dus systeem op slot dan gesprek met HR dan onder toezicht van leidinggevende of Responsible op afspraak prive informatie laten kopieren vanaf een enkele toegestane map. En vervolgens inlevering en of uitschakelen van toegangstoken, kaart etc met ondertekening voor afmelden van het dossier. Als het een functie betreft waar nog inwerken van een nieuwe medewerker nodig is dan schakel je de toegang in fase uit middels een checklist van overdracht.

Los daarvan is het van de zotte dat een systeem met medische informatie bereikbaar is zonder VPN en IP whitelisting.
En simulatie met echte data is een van de grootse bedrijfs doodzonde die je kan begaan.. Als iemand dat in mijn team het flikt ligt er een massclaim in verschiet namens onze klanten en is er sprake van ontslag op staande voet van de opdrachtuitvoerder wegens ernstig in gevaar brengen van klant, bedrijfsveiligheid.

Geen onderscheid kunnen maken tussen vaste medewerkers en uitzendkrachten qua persoonsgegevens is een lachtertje. Ze willen nu echt werkelijk beheren nog nooit van groepen en permissie structuren gehoord te hebben? Welke beheerder binnen operations gaat nu voor elke medewerker alles handmatig invullen daar heb je toch afdeling templates en gekoppelde policies voor? Al is het maar om menselijke fouten te minimaliseren. Dit hadden we 20 jaar terug ook al binnen de zorg naast een gefaxed kopie.

Allemaal domme leugens van de bovenste plank die ze zeggen waar iemand met beetje kenns zo door heen prikt. (no pun intended) Dit is puur mismanagement heeft weinig met technische mogelijkheden te maken.

Blij dat ik niet aan dit circus ben begonnen en zolang er een stel clowns op management niveau daar zitten zien ze mij niet langs een teststraat prik locatie gaan.
04-02-2022, 15:07 door Anoniem
Door Anoniem:
Door Anton Bleekers: ....korte tijd?

In dit geval is de anderhalve maand korte tijd een onacceptabele eeuwigheid.

Dit is niet te verexcuseren bagger. Niet minder.

Bij vorige werkgevers van mij was het in 1 tot uiterlijk 3 dagen gedaan met mijn acces m.b.v. Remmina. (ik gebruik thuis Linux)
3 dagen is eigenlijk al véél te lang. Een Manager HR en in tweede instantie, een Admin die het melden, respectievelijk IT verwerken van personeelsmutaties zolang laat aanslepen moet: óf nog leren prioriteiten te stellen, óf blijft ernstig in gebreke.

Bij een 'op-staande-voet' of een proeftijdgeval deden we dit binnen 15 minuten (of zelfs al tijdens het slecht-nieuwsgesprek).

Bij een spoedje om wat voor reden dan ook is bij ons eerst je account disabled en dan mag je op gesprek komen.
Komt niet vaak voor maar op deze manier is er geen enkele moglijkheid om nog iets te 'vernielen' meet te nemen of wat dan ook.
04-02-2022, 15:26 door Anoniem
Wat wordt er weer heerlijk vanuit de heup geschoten hier… Zoals zo vaak: de beste stuurlui staan aan wal. Het is natuurlijk ook gemakkelijk raak schieten, op zo’n groot target.

De GGD’s hebben in nog geen twee jaar tijd (dus geen drie, meneer/mevrouw Anoniem) bijna 25 miljoen testen afgenomen en in zo’n 13 maanden tijd 29 miljoen prikken gezet. Dat is een project van ongekende omvang.

Hoeveel grote organisaties kent u, die in omvang verdrievoudigden in slechts enkele maanden tijd en daarbij altijd alles perfect voor elkaar hadden? Geen? Dat dacht ik al.

Hoeveel organisaties kent u, waar op vrijdagmiddag (door de minister in dit geval) besloten werd dat er met ingang van de maandag daarop plots dingen moesten gebeuren, of juist niet, of compleet anders moesten, en dat dan ook voor elkaar kregen? Geen? Dat dacht ik al.

Hoeveel organisaties kent u, die in no-time een callcenter overeind trokken dat op piekdagen 1.000.000 telefoontjes afhandelde? Geen? Dat dacht ik al.

Hoeveel organisaties kent u, die de afgelopen 12 jaar door de overheid compleet kapotbezuinigd zijn, net zoals bijvoorbeeld (andere) zorg, politie en onderwijs? Die dus alleen hebben kunnen focussen op hun primaire proces en daarom geen geld hadden voor het op niveau houden van hun bedrijfsvoering? En toch deze mega-operatie uitvoerden? Geen? Dat dacht ik al.

Zeker zijn er dingen fout gegaan en gaan ze ook nu niet goed. En het duurt allemaal te lang. En dat is niet goed te praten. Maar wel enigszins te begrijpen, als je kijkt naar de omvang van deze totale operatie. Als er maar vooruitgang in zit, en die indruk heb ik wel. Ik heb veel respect voor wat de GGD’en de afgelopen twee jaar neergezet en gepresteerd hebben. Want dat zou de meeste andere organisaties (zelfs commerciële) niet gelukt zijn. En dat mag ook gezegd worden. Want van alleen maar schoppen wordt het zeker niet beter.
04-02-2022, 17:23 door [Account Verwijderd]
Door Anoniem: Wat wordt er weer heerlijk vanuit de heup geschoten hier… Zoals zo vaak: de beste stuurlui staan aan wal. Het is natuurlijk ook gemakkelijk raak schieten, op zo’n groot target.

De GGD’s hebben in nog geen twee jaar tijd (dus geen drie, meneer/mevrouw Anoniem) bijna 25 miljoen testen afgenomen en in zo’n 13 maanden tijd 29 miljoen prikken gezet. Dat is een project van ongekende omvang.

Natuurlijk moet je voor dit gigantische project veel respect kunnen aandragen. Iemand die dat niet kan of wil, babbelt m.i. vanuit zijn ervaring met alleen badkamerverbouwingen van 3 bij 4 meter e.d. en kan beter zijn mond houden als hij/zij kritiek levert op de GGD.

maar....

Je veronachtzaamt met je opmerking: 'uit de heup schieten' toch een beetje het feit dat hoewel hier sprake is van een incident, dit afschuw veroorzaakt bij elke rechtgeaarde ICT'er die zijn vak verstaat.

En daar draait het hier om. Het is hier een ICT security website en geen website die gebed is in de medisch maatschappelijke dienstverlening.
Dus in aanmerking genomen de ICT achtergrond 'verdient' dit incident echt alleen de kwalificatie: Bagger.

....vervolg .... Zeker zijn er dingen fout gegaan en gaan ze ook nu niet goed. En het duurt allemaal te lang. En dat is niet goed te praten. Maar wel enigszins te begrijpen, als je kijkt naar de omvang van deze totale operatie. Als er maar vooruitgang in zit, en die indruk heb ik wel. Ik heb veel respect voor wat de GGD’en de afgelopen twee jaar neergezet en gepresteerd hebben. Want dat zou de meeste andere organisaties (zelfs commerciële) niet gelukt zijn. En dat mag ook gezegd worden. Want van alleen maar schoppen wordt het zeker niet beter.

Daar ben ik het volledig mee eens!!
04-02-2022, 18:23 door Anoniem
Door Anton Bleekers:
maar....

Je veronachtzaamt met je opmerking: 'uit de heup schieten' toch een beetje het feit dat hoewel hier sprake is van een incident, dit afschuw veroorzaakt bij elke rechtgeaarde ICT'er die zijn vak verstaat.

En daar draait het hier om. Het is hier een ICT security website en geen website die gebed is in de medisch maatschappelijke dienstverlening.
Dus in aanmerking genomen de ICT achtergrond 'verdient' dit incident echt alleen de kwalificatie: Bagger.


Wij zijn het wel eens hoor. Waar ik op aansloeg was het gebrek aan nuance. En dan vooral de reacties dat het allemaal zo simpel zou zijn en dat dat op een achternamiddag tussen de koekjes en de thee zo te regelen zou zijn. Ik heb cijfers gezien van de dagelijkse instroom en uitstroom van uitzendkrachten en ander tijdelijk personeel, en geloof me: je moet een dijk van een organisatie hebben om dat te kunnen managen. Alleen al het opzetten van zo'n zware backoffice is een mega-klus. Laat onverlet dat er dingen voorgevallen zijn die nooit hadden mogen gebeuren!
04-02-2022, 19:52 door Anoniem
Door Anoniem: Wat wordt er weer heerlijk vanuit de heup geschoten hier… Zoals zo vaak: de beste stuurlui staan aan wal. Het is natuurlijk ook gemakkelijk raak schieten, op zo’n groot target.

De GGD’s hebben in nog geen twee jaar tijd (dus geen drie, meneer/mevrouw Anoniem) bijna 25 miljoen testen afgenomen en in zo’n 13 maanden tijd 29 miljoen prikken gezet. Dat is een project van ongekende omvang.

Hoeveel grote organisaties kent u, die in omvang verdrievoudigden in slechts enkele maanden tijd en daarbij altijd alles perfect voor elkaar hadden? Geen? Dat dacht ik al.

Hoeveel organisaties kent u, waar op vrijdagmiddag (door de minister in dit geval) besloten werd dat er met ingang van de maandag daarop plots dingen moesten gebeuren, of juist niet, of compleet anders moesten, en dat dan ook voor elkaar kregen? Geen? Dat dacht ik al.

Hoeveel organisaties kent u, die in no-time een callcenter overeind trokken dat op piekdagen 1.000.000 telefoontjes afhandelde? Geen? Dat dacht ik al.

Hoeveel organisaties kent u, die de afgelopen 12 jaar door de overheid compleet kapotbezuinigd zijn, net zoals bijvoorbeeld (andere) zorg, politie en onderwijs? Die dus alleen hebben kunnen focussen op hun primaire proces en daarom geen geld hadden voor het op niveau houden van hun bedrijfsvoering? En toch deze mega-operatie uitvoerden? Geen? Dat dacht ik al.

Zeker zijn er dingen fout gegaan en gaan ze ook nu niet goed. En het duurt allemaal te lang. En dat is niet goed te praten. Maar wel enigszins te begrijpen, als je kijkt naar de omvang van deze totale operatie. Als er maar vooruitgang in zit, en die indruk heb ik wel. Ik heb veel respect voor wat de GGD’en de afgelopen twee jaar neergezet en gepresteerd hebben. Want dat zou de meeste andere organisaties (zelfs commerciële) niet gelukt zijn. En dat mag ook gezegd worden. Want van alleen maar schoppen wordt het zeker niet beter.

Wat exact heeft de hoeveelheid prikken te maken met het gekozen beleid en beveiligings protocol?
Of ik nu 5 medewerkers inzet of 5000 als er templates liggen is het een kwestie van schalen daar zijn gewoon berekenings methodes voor en zowat alles wat niet fysiek is kan je automatiseren.

Het opschalen van server infra stelt tegenwoordig echt niks meer voor tenzij je niet nadenkt over wat je voor infra gebruikt.
Als je rond 2020 signalen krijgt dat je infra de verwerking qua capaciteit niet aankan dan herzie je het opschalings plan.

Verdrievoudigen van capaciteit is echt niet bijzonder meer in dit decenia. Menig bedrijf activeerd nieuwe server clusters per week of maand we hebben niet voor niks een booming datacenter industrie. Extra schijfruimte, Cores, Geheugen? 2 minuten en online. Deployment script 5 minuten. snapshot clonen? 30 minuten. Nieuwe IP range en domein actief 2 tot 4 uur. Als ik wil kan ik nu een telefoonje plegen en binnen paar weken is er exabyte aan data gemigreerd van locatie naar een nieuw datacenter. Duur? Oh ja absoluut maar mogelijk definately en ook in het budget van de overheid.

Callcenter optuigen? Alsjeblieft dat heeft GGDGHOR niet gedaan die hebben opdracht gegeven en toen zijn de aasgieren er boven op gedoken en zijn ze goed beet genomen omdat ze wederom geen enkel toezicht deden op aanbesteding en eisen. https://www.ftm.nl/artikelen/cashen-corona-callcenters
Moeten we dat een noemenswaardige prestatie noemen? Verkeerde aanbesteding niet controleren van marktconform tarief?

Organisaties die kapot bezuinigd zijn en mega operaties moeten uitvoeren? Wel wat dachten we van ziekenhuizen en revalidatie klinieken? Hoor geen klachten over administratie problemen bij hun wel over capaciteit issues met beschikbaar personeel maar ongeacht de enorme groei aan administratie zelden gehoord in de afgelopen crisis van een IT storing in die sector.

Fouten worden overal gemaakt het is niet meer dan menselijk maar risico analyse hoort er ook bij en het is een feit dat GGD, GGDGHOR en VWS alle regels en protocollen aan hun laars hebben gelapt ze zijn er meerdere keren nu al op aangesproken. Het afdoen als dat het enkel komt door opschaling is onzin HPzone lite en CoronIT waren al vanaf begin bekend als niet efficient inzetbaar en niet veilig genoeg maar die audits zijn weggewuifd en pas nadat alles is uitgelekt is inclusief het actieve misbruik is er haast gezet achter uitfasering to safe face.

Ik geef je op een briefje over enkele maanden lekt er ook weer uit dat het nieuwe systeem niet in orde is en dan met het excuus dat men tijdens crisis tijd moest migreren.

Alle respect richting de reguliere medewerkers en betrokken partners maar top ambtenaren, middel management en hoger management hebben simpelweg gefaald. Als we dat stel onkunde wegschoppen kan het wel degelijk beter erop worden.

We hadden meeste van deze hele infra niet nodig gehad als men gewoon ging prikken en het gele vacinatie boekje en ID tonen accepteerde als bewijs van vacinatie en vertrouwde op de eerlijkheid van de meerderheid aan mensen want die kleine groep fraudeurs die hou je toch nooit tegen. Dat in combi met het hele bron contact onderzoek meteen op de schop gooien na bleek dat het realistisch niet eens haalbaar was in plaats van elke keer tijdelijk te pauzeren.

Instead zitten we nu met een registratie systeem dat lek als een mandje is waar fraudeurs in kunnen grasduinen zonder effectief toezicht. We te maken hebben met enorme wantrouwen door het opvoeren van een buiten proportioneel registratie systeem en applicatie uit een think thank van KPMG maar verkocht als wetenschappelijk onderbouwd.
https://assets.kpmg/content/dam/kpmg/nl/pdf/2021/services/hoe-verder-in-2021.pdf

Keep It Simple Stupid maak er geen rocketscience van als het niet nodig is.
04-02-2022, 22:04 door Anoniem
En maar doen alsof dit een "incidentele" fout was en zeggen dat het "nooit meer mag gebeuren". Hou toch op. Dit gebeurt aan de lopende band met digitale gegevensbestanden en het zal ook blijven gebeuren, want mensen zijn mensen.

De enige oplossing is om zulke gevoelige gegevens niet meer in grote aantallen in digitale bestanden te stoppen.

Maar die conclusie wil men natuurlijk niet trekken. Te veel belangen, men heeft zichzelf al lang in een hoek geschilderd. Dus wen er maar aan dat de wet (de AVG) structureel zg. "incidenteel" wordt overtreden omdat men schijt heeft aan jouw privacy, aan jouw veiligheid, aan jouw vrijheid.

Het is een jungle. De enige oplossing voor mensen die daar niet het slachtoffer van willen worden, is zich gedragen zoals in de jungle. Dat wil zeggen: onder de radar blijven, uit de systemen blijven. Dus geen prik gaan halen en als je de grens over gaat, te voet door een weiland. Etc. etc. Maar ze zijn bezig om van Europa één groot gevangenkamp te maken naar Chinees voorbeeld, dus uiteindelijk zul je waarschijnlijk echt naar een heel andere plek moeten emigreren.

Als zo'n helpdekskmedewerker of zo'n management-klojo ooit nog van een papiertje oplepelt dat ze "waarborgen" hebben zodat de gegevens veilig zijn, dan weet je dat ze betaald worden om die leugen op te dissen.
05-02-2022, 10:30 door Anoniem
Door Anoniem:
Wij zijn het wel eens hoor. Waar ik op aansloeg was het gebrek aan nuance. En dan vooral de reacties dat het allemaal zo simpel zou zijn en dat dat op een achternamiddag tussen de koekjes en de thee zo te regelen zou zijn. Ik heb cijfers gezien van de dagelijkse instroom en uitstroom van uitzendkrachten en ander tijdelijk personeel, en geloof me: je moet een dijk van een organisatie hebben om dat te kunnen managen. Alleen al het opzetten van zo'n zware backoffice is een mega-klus.

Ik neem aan dat de nieuwe medewerkers niet 6 weken hoeven te wachten voor ze toegang hebben tot het systeem.
Als de ex-medewerkers dan wel 6 weken toegang houden, dan is er duidelijk iets totaal verkloot.
Immers die mega back-office die zit er, anders konden ze geen nieuw personeel aannemen.
06-02-2022, 08:23 door gradje71
Ik denk dat we hiervoor een nieuw woord moeten voor bedenken. Heeft iemand suggesties?
06-02-2022, 09:22 door Anoniem
Al die opmerkingen over 'de organisatie heeft het moeilijk gehad' enzo... Dat zal vast.
Maar blijkbaar kan het salaris van die medewerkers wel op tijd betaald worden - anders had daar vast meer gezeik over geweest.
Dit vindt men duidelijk niet belangrijk: we hebben er geen last van, komt wel een keer (of niet).
06-02-2022, 11:00 door karma4
De AP is gewoon niet in staat om technische vraagstukken goed te beoordelen. Ze willen wel heel veel juristen maar geen technici in huis hebben. Dan vraag je om wonderlijke vreemde uitspraken.

Eigen apparatuur (BYOD) is niet het probleem mits je maar naar een virtuele interne desktop doorsluist. Daar zijn standaard oplossingen voor zoals met Citrix en VMware. Dienstverleners zouden die als standaard in de portfolio moeten hebben.
Op dat moment is de vraagstelling met coronasystemen ineens heel anders.
- kan er aan een virtuele GGD desktop aangelogd worden j/n
- is er binnen de virtuele desktop de corona applicatie apart afgeschermd j/n
- hoe is het beheer naar die corona app via een IAM (identity Access Management) systeem ingeregeld.
Pas daarna komen de technische details met de uitzonderingen en aandachtspunten.

Dat het omgedraaid wordt en eerste naar technische details en uitzonderingen gegaan wordt is veeg teken.
De AP faalt volledig in de advisering en daarbij is de technische invulling via aanbesteding met snel klaar keuzes mogelijk niet goed by design. Voor je het weet heb je een Kasey met open access verhaal.
07-02-2022, 09:57 door Anoniem
In plaats van die complete GGD per direct te ontmantelen, zal er wel weer wat 'verbeterd' worden. Op naar de volgende misser.

Ontmantelen en opnieuw opbouwen geeft geen enkele garantie dat het de volgende keer beter gaat.
08-02-2022, 10:26 door Anoniem
Door Anoniem: Korte tijd?
Disable moet helpdesk in 25 min kunnen doen.

Misschien doet de helpdesk het instant... maar, ergens, ergens zal een leidinggevende moeten melden dat z'n MW uit dienst is.
Als een manager op vrijdag avond klaar is en pas maandag meld dat zijn MW zaterdag gestopt is... uiteindelijk werken mensen geen 24 uur, als de MW tijdig aangeeft te stoppen kan dat vooraf, maar als een MW zaterdag plots stopt zonder dat vooraf te melden aan zijn/haar leidinggevende... hoe doe je dit dan tijdig?
09-02-2022, 08:36 door Anoniem
Door Anoniem:
....
Hoeveel organisaties kent u, die de afgelopen 12 jaar door de overheid compleet kapotbezuinigd zijn, net zoals bijvoorbeeld (andere) zorg, politie en onderwijs? Die dus alleen hebben kunnen focussen op hun primaire proces en daarom geen geld hadden voor het op niveau houden van hun bedrijfsvoering? En toch deze mega-operatie uitvoerden? Geen? Dat dacht ik al.
...
Op dit onderwerp (opheffen accounts) is 'bezuinigen' een slecht excuus. Je verwerkt eerst de 'uit dienst' mutaties, daarna de' in dienst' mutaties. Als er dan te weinig capaciteit voor accountbeheer is, droogt de instroom vanzelf op.

Moraal van het verhaal: Als er te weinig budget is om het werk deugdelijk uit te voeren, moet je stoppen met het uitvoeren van het werk. Niet de kantjes er vanaf gaan lopen ten koste van de informatieveiligheid van je klanten/burgers.

Hoofdstuk 9 van de Baseline Informatiebeveiliging Overheid (ISO2700x gebaseerd) stelt eisen aan toegangsbeheer. Elke manager die een beheerder dwingt dit soort basale beveiligingsmaatregelen te overtreden neemt een enorm risico voor de organisatie en mogelijk zichzelf.

Voor mensen die ooit in zo'n situatie komen, het volgende advies:
Wordt je door een manager gedwongen om serieus af te wijken van de regels voor informatiebeveiliging, adviseer ik als eerste om een mailtje aan zo'n manager te sturen met ongeveer deze tekst: "Ik heb begrepen dat de werkinstructie luidt: ........ Graag wil ik dat in een antwoord op deze mail bevestigd zien" . Grote kans dat zo'n manager al nattigheid voelt, kans ook dat je afgeblaft wordt met "wat een flauwekul". De manager kan eigenlijk niet anders kan dan antwoorden, bij het uitblijven van een antwoord heb je als beheerder namelijk de mail waarin je om bevestiging vraagt en kan je je altijd verdedigen met: "daar is nooit een antwoord op gekomen" of "mondeling is gezegd....". Een manager die zo'n mail onbeantwoord laat is in gebreke, het is namelijk zijn taak om dit soort 'misverstanden' direct de wereld uit te helpen.

De volgende stap is melding maken bij het meldpunt integriteit. Dat kan zijn omdat je gedwongen wordt regels te overtreden, maar ook als je mail niet beantwoord wordt. Er wordt van je gevraagd om iets tegen de regels te doen, maar je krijgt geen schriftelijke bevestiging. Elk meldpunt integriteit dat zichzelf serieus neemt moet hier iets mee.

Mocht je bij het meldpunt ook niet gehoord worden, dan is een mailtje naar de pers dat het een puinhoop met informatiebeveiliging en dat meldingen niet serieus worden opgepakt genoeg om te zorgen dat zo'n organisatie zich wel aan de regels gaat houden. In dit laatste geval heb ik het niet over een paar losse incidentjes, maar over structurele overtredingen zoals hier het geval is.
09-02-2022, 13:02 door Anoniem
Weer een reden om dit digitale priksysteem af te breken, gewoon opheffen die boel.
Het is nergens voor nodig om vaccins in een digitaal systeem te stoppen, prikken is waar het om gaat in een pandemie! Als je dat goed geregeld hebt is het belangrijkste gefikst.
Alle "bovenbouw" vergroot alleen maar de privacy-onveiligheid voor iedereen en de controlehonger van de overheid.
Twee zaken die je allebei niet moet willen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.