image

Datalek bij GGD IJsselland door verkeerd verstuurde vaccinatielijst

maandag 29 augustus 2022, 10:27 door Redactie, 11 reacties

GGD IJsselland heeft te maken gekregen met een datalek nadat een medewerker een vaccinatielijst voor de apenpokken naar het verkeerde e-mailadres stuurde. Op de lijst stonden de voor- en achternamen, geboortedata, mobiele telefoonnummers en e-mailadressen van bijna honderdvijftig mensen, zo meldt RTV Oost. De GGD-medewerker wilde de uitnodiging voor een apenpokkenvaccinatie naar een collega mailen, maar het bericht ging naar het verkeerde adres.

Na ontdekking van de "menselijke fout" heeft GGD IJsselland de ontvanger van het bericht gevraagd om de e-mail en bijlage met persoonsgegevens van 148 mensen te vernietigen. Deze persoon heeft aangegeven dit te zullen doen. "We kunnen natuurlijk niet helemaal zeker weten dat deze persoon dat ook echt heeft gedaan", aldus Anoushka Knoef, manager GGD IJsselland, tegenover de Stentor. Tevens is er bij de Autoriteit Persoonsgegevens melding van een datalek gemaakt en zijn de meeste slachtoffers geïnformeerd.

'We hebben ondertussen bijna alle betrokkenen een beveiligde mail kunnen sturen met daarin een brief met uitleg wat er is gebeurd, om welke gegevens het gaat en welke maatregelen we genomen hebben", zegt Knoef. "In de brief hebben we vanzelfsprekend onze oprechte excuses aangeboden. We betreuren dit enorm omdat het natuurlijk om privacygevoelige gegevens gaat."

Om dergelijke datalekken te voorkomen kijkt GGD IJsselland naar technische oplossingen en beleid. De organisatie zegt dat het privacygevoelige bestanden al versleutelt, het automatisch aanvullen van e-mailadressen heeft uitgeschakeld en e-mails met privacygevoelige informatie altijd beveiligd worden verzonden via Zorgmail als medewerkers buiten de organisatie mailen.

Reacties (11)
29-08-2022, 10:35 door Anoniem
QUOTE Om dergelijke datalekken te voorkomen kijkt GGD IJsselland naar technische oplossingen en beleid. De organisatie zegt dat het privacygevoelige bestanden al versleutelt, het automatisch aanvullen van e-mailadressen heeft uitgeschakeld en e-mails met privacygevoelige informatie altijd beveiligd worden verzonden via Zorgmail als medewerkers buiten de organisatie mailen.UNQUOTE

Als het kalf al verdronken is ........
29-08-2022, 11:01 door Anoniem
Door Anoniem: ..Als het kalf al verdronken is ........
Ze geven een hele reeks aan maatregelen die ze al doen, dus dat is niet fair. Je kan zeker het nodige doen om dit soort fouten te voorkomen, maar ze helemaal uitbannen zal meestal niet lukken. Iedereen maakt af en toe fouten.
29-08-2022, 11:01 door Anoniem
Eenvoudig op te lossen. Geen databestanden intern mailen...of centrale bestandsopslag met benodigde rechtenstructuur en link delen, of data in applicatie laten en daar bewerkingen op laten uitvoeren
29-08-2022, 11:21 door EersteEnigeEchte M.J. - EEEMJ
Door Anoniem:
Door Anoniem: ..Als het kalf al verdronken is ........
Ze geven een hele reeks aan maatregelen die ze al doen, dus dat is niet fair. Je kan zeker het nodige doen om dit soort fouten te voorkomen, maar ze helemaal uitbannen zal meestal niet lukken. Iedereen maakt af en toe fouten.

Precies, iedereen maakt af en toe fouten. Probleem is dat die fouten heel andere gevolgen hebben met digitale bestanden die gaan over honderden of honderdduizenden mensen en die in verbinding staan met het world wide web. Er is een strop om de hals van miljarden geregistreerde mensen gelegd. Zo van: dat doen we eerst en dan zien we later wel of dat wankele krukje waarop ze staan, niet omvalt.

Dat krukje valt vroeg of laat om.

M.J.
29-08-2022, 12:01 door Anoniem
Ook Zorgmail is geen goed idee. Enovationgroup.com maakt gebruik van Google Analytics en andere (onnodige) diensten gevestigd buiten Nederland.
29-08-2022, 12:12 door Anoniem
Door Anoniem: Eenvoudig op te lossen. Geen databestanden intern mailen...of centrale bestandsopslag met benodigde rechtenstructuur en link delen, of data in applicatie laten en daar bewerkingen op laten uitvoeren

Of nog makkelijker alleen interne mail toestaan voor intercollegiaal contact en bij gebruik van externe mail geen bijlage accpeteren.
29-08-2022, 15:38 door Anoniem
Als het bestand al juist versleuteld zou zijn zou er geen datalek zijn opgetreden... Het klinkt als een slechte smoes
29-08-2022, 15:51 door Anoniem
Door Anoniem: Ook Zorgmail is geen goed idee. Enovationgroup.com maakt gebruik van Google Analytics en andere (onnodige) diensten gevestigd buiten Nederland.
Zorgen die diensten ervoor dat de "veilig verzonden gegevens" kunnen lekken of is het alleen maar een algemene aversie
die je hebt tegen Google waardoor je dit geen goed idee vindt?
29-08-2022, 15:55 door Anoniem
Door Anoniem:
Door Anoniem: ..Als het kalf al verdronken is ........
Ze geven een hele reeks aan maatregelen die ze al doen, dus dat is niet fair. Je kan zeker het nodige doen om dit soort fouten te voorkomen, maar ze helemaal uitbannen zal meestal niet lukken. Iedereen maakt af en toe fouten.
Zo te zien host GGD IJsselland hun eigen mail. Je zou dus mogen hopen dat ze ICT medewerkers of -dienstverleners
hebben die dit soort problemen met de juiste systeemconfiguratie kunnen voorkomen. Anders kunnen ze misschien
beter naar Office365 overstappen.
29-08-2022, 17:24 door majortom
Hier gaat toch wel alles mis wat er mis zou kunnen gaan:

1. Waarom verzamelt de GGD dit soort gegevens van de mensen en niet alleen het BSN nummer?

2. Waarom is het mogelijk om zo'n lijst uit het systeem te exporteren? Dan kun je de data wel op het systeem versleutelen, maar op het moment dat het gemakkelijk te extraheren is is het wachten op het moment dat het verkeerd gaat.

3. Waarom kan gewone email gebruikt worden om dit te delen?

4. Waarom alleen encrypted@rest en niet in transport (ik hou mijn hart vast hoe de encryptie@rest is geregeld)?

5. Waarom moest het uberhaupt op deze manier worden gedeeld. Had die collega geen rechten om zelf in het systeem te komen? In dat geval lijkt het me al onwaarschijnlijk dat deze collega deze mail met deze gegevens had mogen ontvangen.

Verder zijn de betrokkenen via "beveiligde email" op de hoogte gesteld: betekent dat via Zorgmail? Waarom zegt men dat dan niet?

Al met al ben ik blij dat ik mijn gegevens bij de GGD heb laten verwijderen. De systemen zijn daar niet ontworpen met privacy en security als basis. Het is gewoon wachten op het volgende datalek vanuit die organisatie,
29-08-2022, 18:38 door Anoniem
Door majortom:(..) Al met al ben ik blij dat ik mijn gegevens bij de GGD heb laten verwijderen. De systemen zijn daar niet ontworpen met privacy en security als basis. Het is gewoon wachten op het volgende datalek vanuit die organisatie,
Je kunt er maar uit zijn! Ik heb recent een dergelijk verzoek ingediend per uitgeprint formulier per post.
Ter verificatie werd gevraagd: naam, geboortedatum, postcode +huisnummer, laatste 3 cijfers BSN. Viel me mee, dat ze niet om een kopie ID-kaart vroegen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.