Gemeente Meerssen lekt gegevens personeel na update van ict-leverancier
De gemeente Meerssen heeft persoonsgegevens van medewerkers en oud-medewerkers gelekt nadat een externe ict-leverancier een update doorvoerde. De gegevens in kwestie waren afkomstig van een databestand van het oude Intranet van de gemeente. Dat intranet was van 2016 tot in oktober 2023 bij de gemeente in gebruik. Het oude Intranet is eind 2023 vervangen door een nieuw intranet. De gemeente verzocht de ict-leverancier voor interne raadpleging om de gegevens van het oude intranet te archiveren.
Afgelopen januari voerde de ict-leverancier een update door, waardoor een deel van de oude intranetpagina's van de gemeente vindbaar via Google was. Zodoende was het mogelijk om namen, geboortedata, mobiele telefoonnummers en werkgerelateerde -mailadressen van medewerkers oud-medewerkers te vinden. "De externe leverancier heeft inmiddels maatregelen genomen om de onvoorziene neveneffecten to corrigeren. Omdat Google zoekresultaten indexeert, zijn die zoekresultaten daarna nog langere tijd vindbaar", zo laat het college van b&w in een brief aan de gemeenteraad weten.
De gemeente Meerssen beschikt over een zakelijk Google-account dat het vervolgens gebruikte om de zoekresultaten te laten wissen, wat inmiddels ook is gedaan. Nu de gegevens zijn verwijderd heeft de gemeente besloten het datalek openbaar te maken en personeel te informeren. "Omdat bij constatering van het probleem vrij snel duidelijk werd hoe dit kon worden verholpen en ook de gevoelige zoekresultaten konden worden verwijderd, heeft de gemeente er in overleg met deskundigen voor gekozen om niet direct hierover in het openbaar to communiceren. Met als doel om geen extra aandacht to vestigen op het kunnen vinden van de persoonlijke gegevens van onze medewerkers."
De gemeente stelt verder dat het voor zover het kan overzien het datalek niet of nauwelijks heeft geleid tot schade. "Dat neemt echter niet weg dat wij het zelf en natuurlijk vooral voor onze medewerkers zeer vervelend vinden dat dit heeft kunnen gebeuren." Het archief van het oude intranet is inmiddels helemaal verwijderd en er is een melding gedaan bij de Autoriteit Persoonsgegevens.
Artikel 2 lid 114 van de aanbestedingswet:
a.beste prijs-kwaliteitverhouding,
b.laagste kosten berekend op basis van kosteneffectiviteit, zoals de levenscycluskosten, bedoeld in artikel 2.115a, of
c.laagste prijs.
Werkelijkheid: "ICT leverancier XYZ lekt Persoonsgegevens van medewerkers en oud-medewerkers Gemeente Meerssen"
Werkelijkheid: "ICT leverancier XYZ lekt Persoonsgegevens van medewerkers en oud-medewerkers Gemeente Meerssen"
Helemaal mee eens, Erik! Ik kan als ervaring deskundig dit beamen. Het gemeentelijk netwerk is behoorlijk complex geworden in de afgelopen decennia. Als ICT leverancier heb je temaken met verschillende koppelpartners, verschillende ketennetwerken, een azure koppeling die daar weer niet bij mag en natuurlijk de gemeente medewerker die veel kennis heeft over het onderwerp waar deze verantwoordelijk voor is, maar meestal het aan ICT kennis ontbreekt. Als leverancier zal bij iedere wijziging aan deze omgeving na moeten gaan of security raamwerk niet wordt geraakt. Ook is echt verstandig om vier ogen principe toe te passen. Dus tip voor deze leverancier. Maak plan, denk na over beveiligsraamwerk, laat collega je plan ook doornemen en jouw werk controleren en dan testen (PoC), testen (test) en testen (acc) en dan pas implementeren in productie Wijsheid geleerd van Erik nu ruim 15 jaar terug :-).
Maar inderdaad, simpel is het allerminst. Ik vraag me overigens af of het in dit geval om dezelfde leverancier ging als in Amersfoort (https://www.security.nl/posting/874788/Data+duizenden+Amersfoorters+gestolen+bij+ransomware-aanval+op+leverancier).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?