Overheid raakt hdd's met 6,9 miljoen gegevens uit Donorregister kwijt

Edit: sorry, ik las het verkeerd...

[Reactie gewijzigd door Kusanagi op 22 juli 2024 15:27]

Blameless postmortem?

Das leuk om achter de ware toedracht te komen. Zoals bij een vliegtuigongeval waar het wel 1000 dingen kunnen zijn, die fout gegaan kunnenzijn, mogelijk ongelukkige samenhang, van evenzoveel mogelijke mensen. Daarvan is hier geen sprake.

Allemaal niet zo ingewikkeld, dus die hele toedracht interesseert me eigenlijk geen zier. Zeker nu niet meer, het kennelijk al jaren weg. En eigenlijk gewoon helemaal niet. Die gegevens hadden gewoon niet kwijt mogen raken.

Dit is nu ook weer een geval van zinloze digitalisering. Ik droeg vroeger gewoon een papieren codicil bij me. (En had je dat niet was het antwoord gewoon nee, in plaats van dat het je wettelijk door de strot wordt gedouwd omdat je niet geweigerd hebt, maar dat is een andere discussie)
Dat werkte meer dan prima; ik had het altijd bij me. Je zou zelfs kunnen zeggen: Id bewijs hebt je verplicht bij je tegenwoordig. Bij de aanvraag ervan kun je dat laten optekenen op de achterzijde. Als je ze vinden zoeken ze ding meteen zodat je familie kan worden ingelicht en hebben ze meteen ook die info.

In plaats daarvan moet het weer in een database, maar zelfs dat niet, maar gescand papier hier. Maar waarom eigenlijk? wat voegt het toe? en welke hals heeft toegelaten dat dat op een volledig onversleutelde backup schijf mocht? en waarom uberhaupt op een fysieke schijf in 2011/2012.

Niks blameless. Dat is de kern van het probleem. Bedrijven en overheid willen alles registreren en digitaliseren en mogen het daarna kennelijk verprutsen, maar de problemen als ze optreden zijn voor het data subject. In het uiterste geval moet het bedrijf of de overheid een keertje sorry zeggen of krijgen ze misschien een keer een boete als het AP een keertje tijd weet vrij te maken. Wat leert de lutser die die dingen heeft laten liggen ervan dat de minister nu sorry zeggen moet? niks. Degene die die schijven had moeten laten versleutelen? niks. Degene die had moeten controleren of ze daar waren waar ze hadden moeten zijn? -Als dat na twee dagen duidelijk was geweest had je ze misschien nog wel teruggevonden- Degene die bij ontstentenis van protocollen daarvoor ervoor had moeten controleren dat die er waren? Degene die niet goed heeft nagedacht of digitalisering of centrale registratie hier wel zo nodig was?

Wat mij betreft worden die dus /alle/maal opgezocht nu en alsnog ontslagen en dan komen ze nog goed weg. Waar ik werk is het duidelijk: lose data, lose job. Ik sta er helemaal achter. En dan ga je er zelf wel voor zorgen dat je het 3 x checked en dat iemand jou nog eens checked en dat is volledig terecht. En dan ben ik vaak nog niet eens bezig met de privegegevens van /miljoenen/ mensen.

En hoezo niet misbruikt? Alle gegevens die je nodig hebt om bijvoorbeeld zorgfraude te plegen heb je hier bij de hand; dit is alles waar ze naar vragen in een ziekenhuis.

@liberque
Waarom straffen en maatregelen? omdat iemand het verkloot heeft, meerdere iemanden, en er overduidelijk niks geleerd wordt zonder stevige persoonlijke consequenties, want hebben we nog wel eens een dag zonder lompe databreach?

Omdat er naast id fraude nog wel andere redenen zijn waarom je dat niet op straat wilt. Je bent gerechtsdeurwaarder? Officier van justitie tegen mocromaffia? De loonslaaf van KPN of PostNL klantenservice die als baan heeft zo veel mogelijk klagers zo snel mogelijk af te poeieren zonder echte oplossing? Misschien dat iemand met wat weinig zelfbeheersing wel een mening over je heeft en nu mogelijk ook de optie om er iets mee te doen. Dat soort mensen zitten er gegarandeerd tussen in deze stapel.

en gefeliciteerd: you get to be that guy deze keer. er is er altijd (minstens) een.
Datalek is vrij slordig taalgebruik en velen verbinden er de verkeerde conclusies aan zonder de moeite te nemen dingen na te lezen. Het gaat er niet om of de data is bewezen is gelekt naar plekken waar die niet moest zijn of actief misbruikt. De wettelijke eis gaat om een ‘data breach’ (oorspronkelijke regelgeving op europees niveau) en dat is iedere situatie waarin niet bewijsbaar correct met die data is omgesprongen, juist omdat je dan nooit weet OF het is misbruikt of in de toekomst nog gaat worden. Het enige acceptabele antwoord is: gecontroleerd correct (althans volgens de regels) en daarvan is hier glashelder geen sprake: dus ‘datalek’.

hier kun je alsnog nalezen dat het zo in elkaar zit, easy style:
https://autoriteitpersoon...-een-datalek-precies-5916
Ik laat je ook met plezier de uitgebreide juridische grondslag zien als je er op staat, maar dit is een stukje leesbaarder.

Niks miepen dus: zorg eens dat je je basiskennis op orde hebt.
Jou wil ik iig /nergens/ in de buurt van mijn data of eigenlijk die van wie dan ook. Don’t take it personal, dat geldt voor het merendeel van de mensen die ik tegenkom, in de IT en daarbuiten.
Met jouw redenering kun je ook rijden terwijl je weet dat je te moe bent of een agent zijn dienstwapen laten afpakken, zolang als er maar geen doden vallen hoeven we dr niks aan te doen. Pas gaan reageren als dat wel is gebeurt. Kalf <-> put. behalve dan dat we de put meestal ook achteraf niet dempen, want no consequece.
Als je het probeem niet ziet als het fout gaat en de regels zelfs in de basis niet kent en ook qua logica niet best voor de dag komt, zou je je wat mij betreft niet met dergelijke data of systemen die de bewerken mogen bezighouden.

meerdere kleine edits voor tekstverbetering

[Reactie gewijzigd door BuZZem op 22 juli 2024 15:27]

Eerder zijn bij het CIBG al eens persoonsgegevens van 350.000 zorgverleners (potentieel) gelekt en daar werden toen ook geen consequenties aan verbonden. Was dat wel gebeurd, dan was er misschien iets beter omgegaan met de registratie van welke backups er waren en welke schijven inderdaad misschien keurig netjes zijn gewist voordat ze zijn hergebruikt/verloren gegaan.

Edit: Typo (gemist->gewist)

[Reactie gewijzigd door Skit3000 op 22 juli 2024 15:27]

Dat is ook waar ik direct aan dacht. Of opgehaald voor vernietiging, maar ja, registreren is moeilijk he. "Doen we ooit wel een keer."

Maar je kan niet ontkennen dat het bijzonder is dat dit kan gebeuren. Toegang tot een kluis zou normaal gesproken ook gelogd moeten worden. Beleid hierop moet dus aangescherpt worden bij de overheid instanties.

Lijkt mij dus een leuk uitzoek klusje wie deze HDD's als LVT heeft beschouwt. Indien dat gebeurd is dan kan je de betreffende medewerker mooi op straat zetten met een strafblad aan zijn broek.

Het meest kwalijke aan deze zaak is dus dat men niet weet waar ze zijn. Er zijn dus procedures niet gevolgd (of er waren geen procedures). Maar er moet dus wel actie ondernomen worden.

Gezien het feit dat de Overheid het gemeld heeft, weet men dus niet waar de HD's zijn en is het dus een datalek.

Wat een prutsers en sukkels. Sta er dus ook op.

Daar kom je ver mee (bagatelliseren/ontkennen/onderschatten etc).

Mensen gaan er vanuit dat hun gegevens veilig bewaard worden, of er nu misbruik gemaakt wordt van gegevens of niet is daarbij totaal niet relevant, er is gewoon zeer slecht mee omgegaan.

Daarnaast, als de gegevens wel verspreid zijn, houdt het nog niet per definitie in dat het te herleiden is naar het verlies van die harddisks. De herkomst van veel gelekte data is n.l. vrij moeilijk om na te gaan.

Waarom praten over straffen?
Omdat dit ook de manier is waarop de overheid met de burger communiceert.
Je hebt helemaal gelijk dat de kans groot is dat iemand die schijven heeft hergebruikt en dat er nog Harm done is.
Maar als ik niet kan aantonen dat ik mijn zorgtoeslag rechtmatig heb aangevraagd dan is de overheid onverbiddelijk en zullen ze mij met alles dat ze tot hun beschikking hebben.
Een overheid die op zo'n manier met zijn burgers omgaat moet niet raar opkijken dat de burger ook een oog om oog wil.

Alleen al de laatste 3 jaar zijn mijn medische gegevens 4x gelekt door verzekeringsmaatschappijen inclusief financiële gegevens en 1x een lekkage van algemene persoonsgegevens door de gemeente ondanks afschermen gegevens in BRP. Da's 5x op 3 jaar...

Alle gevallen ben ik zelf achter gekomen en zijn in eerste instantie ontkend waarna later schriftelijk toegegeven. Dus doofpot beleid is nog altijd groot aanwezig.

Ik ben al jaren voorstander van hoofdelijke aansprakelijkheid/boete bij grove blunders. Pas dan geloof ik dat medewerkers echt goed gaan nadenken voordat ze iets doen.

PS. Ben ik trouwens de enige die het nut van een backup qua 'donor-voorkeur' uit 2010 niet zie?

[Reactie gewijzigd door Delakhan op 22 juli 2024 15:27]

Tsja, want hoe belangrijk zullen schijven in een kluis zijn. Die liggen daar voor de lol nietwaar?

Hoge werkdruk is geen reden voor dit soort fouten. Sommige zaken moet je nu eenmaal even een stap terug durven / kunnen nemen, hoe hoog de werkdruk ook is.

In het beste geval zijn ze vernietigd (door andere data erop te zetten of doordat ze een bepaalde leeftijd hadden bereikt). In het slechtste geval liggen de gegevens op straat.

Hoe dan ook, hierop zullen mensen serieus aangesproken moeten worden. Indien er een kop moet rollen, dan ook die van leidinggevenden / verantwoordelijken. Opruimen die "sukkelige bende" en mensen neerzetten die hun gezonde verstand kunnen gebruiken.

In de context van de AVG en AP is het begrip 'datalek' breder dan alleen 'onbevoegden hebben toegang gekregen'. Ook dingen als zoekraken, verwijderen of vrijkomen is een datalek.

Overigens was het het CIBG zelf dat melding heeft gemaakt van een datalek bij de Autoriteit Persoonsgegevens.

".....Wie zegt dat er data is gelekt?....." Data weg == lek (volgens AVG) einde discussie.

Dat schiet op. we geven die mensen 100 euro.
Vervolgens moeten we de belasting weer met 690 miljoen verhogen. + nog eens 100 miljoen aan verwerkingskosten en administatie kosten. (al is het alleen maar om iedereen een brief hierover te sturen)

[...]
Het is exact bekend wie hier slachtoffer van is geworden, want het betrof een backup die op meerdere plekken was opgeslagen.

In plaats van een boete kan de overheid beter een schadevergoeding uitkeren richting de 6,9 miljoen burgers wiens gegevens zijn uitgelekt.

De overheid, dat ben je zelf in dit soort gevallen...

Om de schadevergoeding te betalen gaat men de belasting verhogen met 7,9 miljoen keer de vergoeding aangezien er nog wel een commercieel bedrijf tussengezet moet worden die moet controleren of het wel goed gaat en die moet ook 1 miljoen keer de vergoeding als gage krijgen

Nee,

Dat is gewoon weg van het budget en dat levert dus op zn minst in dat boekjaar gezeur en ellende op voor die club. Eigen ongemak is een zeer effectief leermiddel.
Bovendien gaat iemand er dan in theorie (hopelijk) op aangesproken worden omdat ‘de rest’. in de toko er last van heeft. Geen afdeling wil boeten door een budgettekort veroorzaakt door een andere afdeling.

Mag ik er op gokken dat jij niet bij de overheid werkt?

Beter dan zoals het nu was gedaan.
Encrypten kan ook in een enterprise omgeving

Bitlocker is prima enterprise-waardig.