Datalek bij GGD IJsselland door verkeerd verstuurde vaccinatielijst
GGD IJsselland heeft te maken gekregen met een datalek nadat een medewerker een vaccinatielijst voor de apenpokken naar het verkeerde e-mailadres stuurde. Op de lijst stonden de voor- en achternamen, geboortedata, mobiele telefoonnummers en e-mailadressen van bijna honderdvijftig mensen, zo meldt RTV Oost. De GGD-medewerker wilde de uitnodiging voor een apenpokkenvaccinatie naar een collega mailen, maar het bericht ging naar het verkeerde adres.
Na ontdekking van de "menselijke fout" heeft GGD IJsselland de ontvanger van het bericht gevraagd om de e-mail en bijlage met persoonsgegevens van 148 mensen te vernietigen. Deze persoon heeft aangegeven dit te zullen doen. "We kunnen natuurlijk niet helemaal zeker weten dat deze persoon dat ook echt heeft gedaan", aldus Anoushka Knoef, manager GGD IJsselland, tegenover de Stentor. Tevens is er bij de Autoriteit Persoonsgegevens melding van een datalek gemaakt en zijn de meeste slachtoffers geïnformeerd.
'We hebben ondertussen bijna alle betrokkenen een beveiligde mail kunnen sturen met daarin een brief met uitleg wat er is gebeurd, om welke gegevens het gaat en welke maatregelen we genomen hebben", zegt Knoef. "In de brief hebben we vanzelfsprekend onze oprechte excuses aangeboden. We betreuren dit enorm omdat het natuurlijk om privacygevoelige gegevens gaat."
Om dergelijke datalekken te voorkomen kijkt GGD IJsselland naar technische oplossingen en beleid. De organisatie zegt dat het privacygevoelige bestanden al versleutelt, het automatisch aanvullen van e-mailadressen heeft uitgeschakeld en e-mails met privacygevoelige informatie altijd beveiligd worden verzonden via Zorgmail als medewerkers buiten de organisatie mailen.
Als het kalf al verdronken is ........
Precies, iedereen maakt af en toe fouten. Probleem is dat die fouten heel andere gevolgen hebben met digitale bestanden die gaan over honderden of honderdduizenden mensen en die in verbinding staan met het world wide web. Er is een strop om de hals van miljarden geregistreerde mensen gelegd. Zo van: dat doen we eerst en dan zien we later wel of dat wankele krukje waarop ze staan, niet omvalt.
Dat krukje valt vroeg of laat om.
M.J.
Of nog makkelijker alleen interne mail toestaan voor intercollegiaal contact en bij gebruik van externe mail geen bijlage accpeteren.
die je hebt tegen Google waardoor je dit geen goed idee vindt?
hebben die dit soort problemen met de juiste systeemconfiguratie kunnen voorkomen. Anders kunnen ze misschien
beter naar Office365 overstappen.
1. Waarom verzamelt de GGD dit soort gegevens van de mensen en niet alleen het BSN nummer?
2. Waarom is het mogelijk om zo'n lijst uit het systeem te exporteren? Dan kun je de data wel op het systeem versleutelen, maar op het moment dat het gemakkelijk te extraheren is is het wachten op het moment dat het verkeerd gaat.
3. Waarom kan gewone email gebruikt worden om dit te delen?
4. Waarom alleen encrypted@rest en niet in transport (ik hou mijn hart vast hoe de encryptie@rest is geregeld)?
5. Waarom moest het uberhaupt op deze manier worden gedeeld. Had die collega geen rechten om zelf in het systeem te komen? In dat geval lijkt het me al onwaarschijnlijk dat deze collega deze mail met deze gegevens had mogen ontvangen.
Verder zijn de betrokkenen via "beveiligde email" op de hoogte gesteld: betekent dat via Zorgmail? Waarom zegt men dat dan niet?
Al met al ben ik blij dat ik mijn gegevens bij de GGD heb laten verwijderen. De systemen zijn daar niet ontworpen met privacy en security als basis. Het is gewoon wachten op het volgende datalek vanuit die organisatie,
Ter verificatie werd gevraagd: naam, geboortedatum, postcode +huisnummer, laatste 3 cijfers BSN. Viel me mee, dat ze niet om een kopie ID-kaart vroegen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
