Provincie Zuid-Holland heeft datalek in intern systeem nog niet opgelost
De provincie Zuid-Holland heeft een datalek in een intern systeem dat het vorig jaar september aan de Autoriteit Persoonsgegevens meldde nog niet opgelost. "Direct na melding van het datalek is er actie ondernomen, waaronder het identificeren en isoleren van documenten en het afsluiten van bepaalde mappen. Daarmee is het datalek helaas nog niet opgelost", zo laat de provincie in een update over het incident weten.
De provincie gebruikt voor de archivering en opslag van documenten en het intern samenwerken aan documenten een document management systeem. Het systeem bevat allerlei gegevens, zoals memo’s en besluiten, maar ook persoonlijke gegevens van burgers, zakelijke contacten en medewerkers. De persoonsgegevens in het systeem waren voor vrijwel alle medewerkers toegankelijk, ook als ze dit niet nodig hadden voor hun werkzaamheden. "Dat betekent dat er sprake is van een datalek", aldus de provincie.
De persoonsgegevens in het systeem betreffen onder andere adresgegevens, contactgegevens, kopieën van identiteitsdocumenten, BSN-nummers en gegevens over opleiding- en werkervaring. "Omdat het systeem al jaren oud is, betekent dit ook dat gegevens in het verleden toegankelijk zijn geweest voor medewerkers die nu niet meer voor de provincie werken", aldus de update.
"Het is niet aannemelijk dat andere personen dan (voormalig) medewerkers van de provincie de persoonsgegevens hebben ingezien. We hebben geen signalen ontvangen dat documenten extern toegankelijk zijn (geweest). Onze medewerkers hebben een eed of belofte afgelegd of een integriteitsverklaring getekend voor het uitvoeren van werkzaamheden voor de provincie en zijn dus bekend met het onderwerp integriteit en hoe met (privacy)gevoelige informatie om te gaan", zo laat de provincie weten.
Vanwege het datalek besloot de Autoriteit Persoonsgegevens de provincie onder verscherpt toezicht te plaatsen. Dit houdt in dat de provincie concrete afspraken met de AP moet maken over de beveiliging van persoonsgegevens en daarover moet rapporteren. Om te kijken wat er voor de lange termijn nodig is om de veiligheid van de systemen en bescherming van persoonsgegevens te kunnen waarborgen is de provincie met een traject gestart. Tevens stelt de provincie dat het vanwege het grote aantal documenten in het systeem vooralsnog niet mogelijk is om individuele personen te informeren.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!