Gemeente Emmen onder vuur over late bekendmaking van datalek
De gemeente Emmen is onder vuur komen te liggen vanwege de late bekendmaking van een datalek dat zevenduizend inwoners raakte. Vorig jaar april wist een aanvaller door middel van phishing toegang tot de e-mailaccounts van vier gemeentemedewerkers te krijgen met daarin gegevens van zevenduizend inwoners van de gemeenten Emmen, Coevorden en Borger-Odoorn. De inbraak op de e-mailaccounts vond plaats op 8 april 2021. Pas op 7 juli werd dit door de gemeente Emmen ontdekt. Op 4 april van dit jaar werd het datalek naar de inwoners toe gecommuniceerd.
Emmen meldde het datalek op 9 juli vorig jaar bij de Autoriteit Persoonsgegevens. Eind december oordeelde de privacytoezichthouder over de afhandeling van het incident dat niet kan worden uitgesloten dat er gegevens zijn ingezien. Daarom moest de gemeente getroffen inwoners alsnog over het datalek informeren. D66 Emmen laakt de late afhandeling van de gemeente. "Op 16 maart 2022 waren de gemeenteraadsverkiezingen. In de weken daarvoor hebben we vele persberichten vanuit het college voorbij zien komen, allen uitsluitend positief. Dit onderwerp is echter op de plank blijven liggen tot direct na de verkiezingen", stelde gemeenteraadslid Joey Koops (pdf). Gisteren werd er in de gemeenteraad van Emmen over het datalek gesproken.
"Ergens voor de zomer zijn we gehackt, zeg ik dan maar even populair. Dat is geconstateerd en toen zijn er maatregelen genomen. Misschien is ook wel in eerste instantie vergeten de Autoriteit Persoonsgegevens daarover te informeren, maar dat is uiteindelijk wel gebeurd", reageerde wethouder Jisse Otter. "De Autoriteit heeft verder niet gereageerd en in december kwam dus die aanwijzing. Ik worstelde met welke brief ik naar de getroffenen moest sturen. Want een half jaar later moet je met een hele vage boodschap naar betrokkenen komen. Ik wilde daar met de Autoriteit nog over spreken. Hoe vaker je een brief krijgt van 'pas op' des te minder indruk gaat zo'n brief maken."
Daarnaast zou de getroffen doelgroep minder affiniteit met het onderwerp hebben, ging Otter verder. Die besloot met de Autoriteit Persoonsgegevens over de brief en de inhoud daarvan te overleggen. Uit het loggingsysteem bleek namelijk dat er iets was gebeurd, maar wat precies kon niet worden gezegd. Daardoor zou de boodschap richting gedupeerden niet heel duidelijk zijn. Inmiddels heeft de gemeente Emmen het loggingsysteem aangepast. Otter stelde dat hij de discussie met de AP had "verloren", waarop werd besloten om inwoners toch te informeren. Volgens de wethouder lag de late melding aan de inwoners mede aan de Autoriteit Persoonsgegevens.
Als onderdeel van de genomen maatregelen moeten alle medewerkers van de gemeente Emmen met toegang tot de ict-omgeving voortaan een authenticator gebruiken en is de e-mailomgeving alleen te benaderen vanaf systemen die door de gemeente worden beheerd (pdf).
https://dvhn.nl/drenthe/D66-laakt-aanpak-datalek-door-gemeente-Emmen-27929345.html
Verder mag van mij de verantwoordelijke wethouder, de heer Otter, gedegradeerd worden tot 'toegevoegd functionaris' met als hoofdtaak: het verzinnen van smoezen voor falend gemeentebeleid, want daar is hij aantoonbaar goed in.
Nee Jisse, jij en je collega's moeten zelf actie ondernemen. Niet het probleem bij de AP neerleggen en dan zeggen dat zij niet tijdig reageren. Proactiviteit en assertiviteit, geen "hoe kan ik anderen medeverantwoordelijk maken voor eigen falen" houding. Als je per verstuurde brief naar de getroffenen 100 euro had gekregen, dan was die brief er gisteren nog uitgegaan. Het interesseert je gewoon niet genoeg. Zeg dat dan.
Nee Jisse, jij en je collega's moeten zelf actie ondernemen. Niet het probleem bij de AP neerleggen en dan zeggen dat zij niet tijdig reageren. Proactiviteit en assertiviteit, geen "hoe kan ik anderen medeverantwoordelijk maken voor eigen falen" houding. Als je per verstuurde brief naar de getroffenen 100 euro had gekregen, dan was die brief er gisteren nog uitgegaan. Het interesseert je gewoon niet genoeg. Zeg dat dan.
Die heeft flink gefaald in deze.
Bepalen of mensen geïnformeerd moeten worden is geen taak voor een wethouder.
En of het moeilijk is om mensen uit te leggen wat er is gebeurd is geen afweging in de beslissing of mensen wel of niet geinformeerd dienen te worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
