Nieuws
image

Gemeente Meerssen lekt gegevens personeel na update van ict-leverancier

donderdag 6 februari 2025, 11:49 door Redactie, 6 reacties

De gemeente Meerssen heeft persoonsgegevens van medewerkers en oud-medewerkers gelekt nadat een externe ict-leverancier een update doorvoerde. De gegevens in kwestie waren afkomstig van een databestand van het oude Intranet van de gemeente. Dat intranet was van 2016 tot in oktober 2023 bij de gemeente in gebruik. Het oude Intranet is eind 2023 vervangen door een nieuw intranet. De gemeente verzocht de ict-leverancier voor interne raadpleging om de gegevens van het oude intranet te archiveren.

Afgelopen januari voerde de ict-leverancier een update door, waardoor een deel van de oude intranetpagina's van de gemeente vindbaar via Google was. Zodoende was het mogelijk om namen, geboortedata, mobiele telefoonnummers en werkgerelateerde -mailadressen van medewerkers oud-medewerkers te vinden. "De externe leverancier heeft inmiddels maatregelen genomen om de onvoorziene neveneffecten to corrigeren. Omdat Google zoekresultaten indexeert, zijn die zoekresultaten daarna nog langere tijd vindbaar", zo laat het college van b&w in een brief aan de gemeenteraad weten.

De gemeente Meerssen beschikt over een zakelijk Google-account dat het vervolgens gebruikte om de zoekresultaten te laten wissen, wat inmiddels ook is gedaan. Nu de gegevens zijn verwijderd heeft de gemeente besloten het datalek openbaar te maken en personeel te informeren. "Omdat bij constatering van het probleem vrij snel duidelijk werd hoe dit kon worden verholpen en ook de gevoelige zoekresultaten konden worden verwijderd, heeft de gemeente er in overleg met deskundigen voor gekozen om niet direct hierover in het openbaar to communiceren. Met als doel om geen extra aandacht to vestigen op het kunnen vinden van de persoonlijke gegevens van onze medewerkers."

De gemeente stelt verder dat het voor zover het kan overzien het datalek niet of nauwelijks heeft geleid tot schade. "Dat neemt echter niet weg dat wij het zelf en natuurlijk vooral voor onze medewerkers zeer vervelend vinden dat dit heeft kunnen gebeuren." Het archief van het oude intranet is inmiddels helemaal verwijderd en er is een melding gedaan bij de Autoriteit Persoonsgegevens.

Reacties (6)
Reageer met quote
Vandaag, 12:18 door Erik van Straten
Maar de nieuwe ICT-leverancier was wel de goedkoopste
Reageer met quote
Vandaag, 12:42 door Anoniem
Door Erik van Straten: Maar de nieuwe ICT-leverancier was wel de goedkoopste
Waar gewerkt wordt worden fouten gemaakt of kunnen fouten gemaakt worden. Als dat gegeven onderkend en geïmplementeerd wordt bij ieder automatiseringsproject i.c.m. security awareness kunnen dit soort fouten voorkomen worden, helaas zijn er maar weinig die dit kunnen of er überhaupt de belangstelling voor hebben.
Reageer met quote
Vandaag, 13:19 door Anoniem
Door Erik van Straten: Maar de nieuwe ICT-leverancier was wel de goedkoopste
Als het programma van eisen onvoldoende onderscheidend was, dan is inderdaad de opdracht gegund aan de goedkoopste ICT-leverancier die aan alle Must Haves voldeed.

Artikel 2 lid 114 van de aanbestedingswet:
De economisch meest voordelige inschrijving wordt door de aanbestedende dienst vastgesteld op basis van de:

a.beste prijs-kwaliteitverhouding,

b.laagste kosten berekend op basis van kosteneffectiviteit, zoals de levenscycluskosten, bedoeld in artikel 2.115a, of

c.laagste prijs.
Reageer met quote
Vandaag, 15:04 door Anoniem
Kop: "De gemeente Meerssen heeft persoonsgegevens van medewerkers en oud-medewerkers gelekt nadat een externe ict-leverancier een update doorvoerde."

Werkelijkheid: "ICT leverancier XYZ lekt Persoonsgegevens van medewerkers en oud-medewerkers Gemeente Meerssen"
Reageer met quote
Vandaag, 15:56 door Anoniem
Door Anoniem: Kop: "De gemeente Meerssen heeft persoonsgegevens van medewerkers en oud-medewerkers gelekt nadat een externe ict-leverancier een update doorvoerde."

Werkelijkheid: "ICT leverancier XYZ lekt Persoonsgegevens van medewerkers en oud-medewerkers Gemeente Meerssen"
Oneens. Ja, leverancier lekt. Maar gemeente besloot (verzocht) deze oude gegevens te bewaren. En nu het lek er is kan het archief ineens weg, dus zo belangrijk was het blijkbaar niet de gegevens te bewaren. Ik zie twee schuldigen ;).
Reageer met quote
Vandaag, 16:05 door JeroenvanHelden
Door Erik van Straten: Maar de nieuwe ICT-leverancier was wel de goedkoopste

Helemaal mee eens, Erik! Ik kan als ervaring deskundig dit beamen. Het gemeentelijk netwerk is behoorlijk complex geworden in de afgelopen decennia. Als ICT leverancier heb je temaken met verschillende koppelpartners, verschillende ketennetwerken, een azure koppeling die daar weer niet bij mag en natuurlijk de gemeente medewerker die veel kennis heeft over het onderwerp waar deze verantwoordelijk voor is, maar meestal het aan ICT kennis ontbreekt. Als leverancier zal bij iedere wijziging aan deze omgeving na moeten gaan of security raamwerk niet wordt geraakt. Ook is echt verstandig om vier ogen principe toe te passen. Dus tip voor deze leverancier. Maak plan, denk na over beveiligsraamwerk, laat collega je plan ook doornemen en jouw werk controleren en dan testen (PoC), testen (test) en testen (acc) en dan pas implementeren in productie Wijsheid geleerd van Erik nu ruim 15 jaar terug :-).
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure