Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Zoekgedrag in coronasystemen GGD werd alleen steekproefsgewijs gecontroleerd

GGD's controleren slechts steekproefsgewijs wie gegevens in hun coronasystemen inziet. Daardoor kon grootschalige diefstal van gevoelige data onopgemerkt blijven, zegt minister Hugo de Jonge in een Kamerdebat. 8000 werknemers hadden toegang tot de gegevens.

De minister reageerde dinsdagmiddag in een Tweede Kamer-debat op onderzoek van RTL Nieuws. Dat schreef op maandag dat er grootschalige handel plaatsvond in persoonsgegevens die afkomstig waren uit twee veelgebruikte ict-systemen van de GGD bij het afnemen van coronatests. De systemen zijn sinds de zomer actief. Daarop wordt 'continu' gemonitord, zei de Jonge, maar dat klopt niet. In de praktijk worden er alleen steekproefsgewijs controles uitgevoerd of medewerkers onterecht bij gegevens komen en er is nog geen actueel logsysteem dat continu bijhoudt welke gegevens door wie worden opgevraagd. Dat systeem is pas eind maart klaar.

Ook zegt de minister ten onrechte dat werknemers alleen toegang hadden wanneer dat nodig was. In totaal hadden 8000 medewerkers die toegang. Het gaat om medewerkers van bijvoorbeeld callcenters die hielpen met het bron- en contactonderzoek. De vraag is of GGD's wel alles hebben gedaan dat 'redelijkerwijs kan worden verwacht' om de handel van gegevens uit coronadatabases te stoppen. Volgens de minister heeft de GGD de omvang van het datalek nog niet helemaal helder. Wel is inmiddels duidelijk dat er onder andere een export-knop in de systemen zat waarmee het mogelijk was gegevens te downloaden. De GGD zegt zelf dat het verschillende manieren heeft om misbruik te detecteren. Medewerkers moeten een Verklaring Omtrent Gedrag overleggen en een geheimhoudingsverklaring tekenen.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

26-01-2021 • 17:36

228 Linkedin

Reacties (228)

Wijzig sortering
Zelf voor het project gewerkt, ik kon al aan de slag zonder VOG, ook het tekenen van een geheimhoudingsverklaring was geen harde eis. Simpelweg postcode + huisnummer en alles van de geteste persoon kwam in beeld.

Leuke toevoeging: thinscale remote worker werd ingezet om te voorkomen dat er screenshots werden gemaakt (of niet productief was en in de tijd tussen gesprekken in bezig bent met Python). VM deed wonderen.

[Reactie gewijzigd door Mauricevsdb op 26 januari 2021 20:34]

Tsja, het kan niet voorkomen dat je met een camera een foto ervan maakt. En dat zag je precies in het artikel van RTL nieuws die het hadden ontdekt.
Met alle respect maar als jij met een bloknote bij het UWV intern werkt of bij welke organisatie dan ook en je schrijft gegevens over met pen en papier, dan maakt er niemand een probleem van en als jij die gegevens op het eind van de maand gebundeld verkoopt dan doe je dat ...

Maw.. dit kan altijd plaatsvinden.


Degene die nu allemaal zo zitten te klagen, zijn dezelfde mensen die klagen als hun gedrag door hun werkgever compleet wordt gescand.


Want dan hebben ze zelf als werknemer geen privacy meer...

Het heeft twee kanten dus let op wat je zegt..

Er moet altijd vertrouwen zijn... Om tot een leefbare maatschappij te komen. .. in een staat leven waar mis ruik van vertrouwen niet kan, dat zou pas een vervelende samenleving zijn..

Want ja die kan ik wel bedenken.. ik plaats een chip in je hoofd die al je gedrag monitort incl. Je gedachten.. kijken hoe blij je daar dan van wordt..
Maar je voorbeeld mist precies waar het juist zo veel erger is met IT systemen.

Success om in je kladblok gegevens van een paar duizend personen over te schrijven.

IT maakt het dan wellicht veiliger op persoons niveau maar tegelijkertijd is het kwetsbaarder voor grote groepen, want als er iets fout gaat is het gelijk een enorm probleem.
In de kern is er geen verschil.
Het blijft in beide gevallen misbruik van vertrouwen.
En beide is inbreuk op een strafrechtelijke norm.

De frequentie ligt hoger bij een IT issue.

Maar waar reageer je precies op ?
En volgens mij begrijpen een aantal van jullie mijn opmerking niet.

Ik zou zeggen begin eens met wat criminologische literatuur te lezen mbt Risk society en mbt het aanvaarden van bepaalde risico's en wat er gebeurt als we in een complete beveiligde sameecjng zitten society leven.

In principe kunnen we dit probleem oplossen door elke thuiswerker zijn gedrag compleet via een camera in zijn werkkamer te laten plaatsen en hem zo via de camera laten volgen over wat hijbkf zij doet.

Ik ben benieuwd wat er dan voor reacties komen op het thuiswerken onder controle van je baas.

Maw verplicht meerdere camera's met video en geluid om te kijken wat jij doet 30 min voor en 30 min na werktijd plus je hele werktijd. Misschien zijn we dan zeker dat je geen misbruik maakt.

Ik denk dat niemand dan nog gaat thuiswerken. Behalve degene die altijd roepen.. ik heb niets te verbergen, dus doe maar...

[Reactie gewijzigd door Dragonheart-03 op 27 januari 2021 10:57]

ik denk dat ik in de kern juist wel een verschil zit.
In grote lijnen ben ik het met je eens: JA, zonder vertrouwen zijn we nergens, en NEE, dit is nooit helemaal te voorkomen.

Echter, de overheid heeft ook een beschermplicht naar de burger toe.
Je opmerking
De frequentie ligt hoger bij een IT issue.
klopt wel, maar gaat aan die bescherming voorbij.
Ik kan met mijn koksmes prima iemand vermoorden. Met een samurai zwaard zal ik de frequentie al wel iets omhoog krijgen denk ik. Met een volautomatisch wapen zal dat zeker lukken. Daarom zijn er veel wetten die ook uitgaan van risico analyse om te kijken in hoeverre we mensen kunnen / willen vertrouwen, en wat we absoluut gewoon niet willen.

In het geval van IT is dus de frequentie hoger, en daarmee ook het risico voor misbruik van gegevens, schade etc. Daarom moet er gewoon goede logging zijn, een goed rechtenbeheer etc
Maar dat is er wel. Dat rechte beheer is niet het probleem.

Wat er gebeurt mbt de inbreuken is alleen te voorkomen met dat ik een camera in de thuiswerkgeving installeer en zowel het scherm als de gebruiker contenu monitor.

Je kunt niet voorkomen dat iemand in een thuiswerkgeving een foto maakt met zijn telefoon van een scherm, ook al maak je een printscreen blokkade technisch.
Aan wat voor gegevens moeten we dan denken?

[Reactie gewijzigd door Hatsieflatsie op 26 januari 2021 17:48]

In het dossier/profiel: testuitslagen (positief/negatief), datum, tijdstip en locatie van testen, show/no-show, BSN nummer, telefoonnummer + adresgegevens. Daarnaast ook te zien welke medewerker het profiel voor het laatst bewerkt heeft.

Data is alleen op te vragen op het moment dat een dossier/profiel van een patiënt bestaat. Het dossier/profiel kan alleen aangemaakt worden met een BSN nummer van een persoon.

Medewerker kan dit dossier ophalen door BSN nr, Combi postcode huisnummer of dossiernummer te gebruiken.

Nu heb ik er geen kwade bedoelingen mee gehad en ben ik blij dat ik naast mijn studie deze mensen heb kunnen helpen maar het is wrang dat het zo kinderlijk eenvoudig is geweest om het op te vragen.
Het is niet eens zo bedroevend dat dit allemaal uitlekt, dat was immers volkomen te verwachten. Maar waarom zegt het ministerie niet gewoon eerlijk dat wegens de crisis en het snel moeten opschalen van systemen de veiligheidseisen niet nageleefd zijn en dit niet de prioriteit had? Ik snap dat dit niet ideaal is, dat mensen hier boos over zijn, maar dat is simpelweg de realiteit en de waarheid waarin we momenteel leven.
De minister is ook geen IT-er en word door anderen geïnformeerd op dit gebied. Wellicht snapte hij dit gewoon niet of wist het gewoon niet.

De meeste "directeuren" van bedrijven die ik ken hebben geen enkel idee van IT. En en minister is echt niet anders. Voor een minister zijn hoef je ook geen diploma's te hebben. Alleen stemmen.
dat is geen excuus om dan maar onzin of onwaarheden te gaan vertellen
Wie zegt dat de minister dat deed? Dan moet je namelijk wel op de hoogte zijn van de situatie. De minister vertelt gewoon wat hem vertelt en verzekerd is.

Als een klant onze directeur vraagt "steelt jullie personeel als het bij mij op locatie is", dan zegt onze directeur ook nee. En hij (de directeur en de klant) mogen verwachten dat dit waar is.
Als iemand van het personeel toch steelt is het de directeur zijn taak er wat aan te doen, zodra hij op de hoogte is. Tot die tijd mag hij zijn personeel vertrouwen. Anders kun je nooit werken en kom je op micro-management uit. Er is alleen een probleem bij de directeur als deze niets doet met de melding van diefstal, of deze zelf aanmoedigt of regelt.
Voor een minister (welke ook mens is) en "directeur der Nederlanden" is dat niet anders. Heb je enig idee hoe een groot log apparaat er onder die mensen hangt en wat het betekend een land te besturen? En nee dat apparaat kun je niet zomaar even veranderen. Ministers komen en gaan. Ambtenaren zitten er wel wat langer dan 4 jaar.
Wie zegt dat de minister dat deed?
Tijs
En wie is Tijs?
De auteur van het artikel is niet belangrijk meestal. Ik kijk meer naar de inhoud. En die inhoud zegt niet dat de minister loog voor zover ik kan zien. Het beweert alleen dat wat de minister vertelde niet klopt. Dat wil echter niet zeggen dat de minister wist dat het niet klopte. Blijkbaar is nuance niet iets wat nog begrepen word door een hoop mensen.

Dan moeten we ook nog aannemen dat Tijs correct is in dit artikel. Wellicht is wat tijs zegt niet correct. Maar het is wel wat tijs denkt dat correct is. Of wil je zeggen dat tijs liegt als we een fout in het artikel zouden vinden? Nee, dan zou je zeggen hij wist niet beter. Er is een heel verschil tussen moedwillig liegen en niet anders weten. Dan kun je alleen nog discussieren over of hij beter had moeten weten.
De auteur van het artikel is niet belangrijk meestal. Ik kijk meer naar de inhoud
......................
die inhoud zegt niet dat de minister loog
ik heb het woord liegen niet in de mond gehad...
Wellicht is wat tijs zegt niet correct
Tijs heeft hier onderzoek naar gedaan en hoor- en wederhoor gepleegd. Als jij iets ontdekt wat niet klopt moet je dat onderbouwd doorgeven aan hem dan komt Tijs met een update voor ons
dat is geen excuus om dan maar onzin of onwaarheden te gaan vertellen
Ik weet niet wat jij liegen noemt. Maar onwaarheden vertellen komt bij mij als hetzelfde naar boven

De rest heb je blijkbaar ook niet begrepen. Daarin leg ik uit dat ALS Tijs een update zou moeten doen jij dat normaal vind en niet zou zeggen dat hij heeft gelogen, want tot de update vertelt Tijs wat hij weet en begrepen heeft. Het is vreemde is dat jij zegt dat de minister liegt (dat staat niet in het artikel, maar jij leest het zo). De minister vertelde ook de waarheid zoals hij hem kende. En toen bleek dat niet waar en moest de minister aanpassen. Maar vreemd genoeg vind jij het bij tijs normaal als hij dat doen en bij een minister niet. Dat is met twee maten meten.
De minister is ook geen IT-er en word door anderen geïnformeerd op dit gebied. Wellicht snapte hij dit gewoon niet of wist het gewoon niet.
Een minister draagt politieke eindverantwoordelijkheid voor alles wat er door zijn kabinet wordt besloten of gedaan.
Ja net als iedere directeur eindverantwoordelijk is. Echter ze nemen allemaal mensen in dienst met echte kwalificaties om die beslissingen te ondersteunen. Waarom denk je dat dit bij een minister ineens anders is? Dat roepen over "eindverantwoordelijk is zo een dooddoener.
Denk je nou echt dat het kabinet vergaderd over OS keuze en welke patches te installeren?
Denk je nou echt dat als een monteur van een bedrijf steelt bij een klant de directeur opstapt vanwege "verantwoordelijkheid". Nee die ontslaat de monteur en gaat verder. Hij pas wellicht het aanneem beleid aan.

Ik snap niet waarom mensen ineens zoveel meer lijken te verwachten van ministers dan van andere leidinggevende op andere terreinen. Blijkbaar als je minister bent, moet je ineens een soort "supermens" zijn. Nou verrassing, dat zijn het niet.
Denk je nu echt dat dit een onbelangrijk detail is? Want dat doe je uitschijnen in die opsomming van andere onbelangrijke details.

Nee dit is een zeer belangrijk detail. Het gaat om dataveiligheid en privacy. Veel mensen en instanties kunnen absoluut niet lachen als daartegen wordt geflaterd.

Ik vind namelijk dat dit afdoen als een onbelangrijk detail een dooddoener is. Nee, natuurlijk kan de minister niet elk detail vanbuiten kennen, maar ik hoop wél dat die aan de personen onder zich heeft laten weten dat hij belangrijk vindt dat zij hun werk goed doen, en zo verder tot aan de onderste laag die effectief de uitvoering als verantwoordelijkheid hadden. Geen idee welke laag hier geflaterd heeft, maar ik blijf hard en wijk niet van het standpunt dat uiteindelijk de minister de verantwoordelijkheid heeft om de goeie mensen aan te nemen die hun werk correct doen. De minister zou als topman van álle aspecten de grote lijnen moeten hebben meegegeven aan de mensen onder zich.
Ik zeg nergens dat dataveiligheid en privacy onbelangrijk is. Dat is iets wat jij er van maakt.

Wat ik zeg en jij niet lijkt te begrijpen is dat jij om de een of andere reden de lat voor minister hoger legt dan voor elke andere leidinggevende in dit land. Je zegt het zelf al, je weet niet een swelk laag geflaterd heeft.

De oorspronkelijke opmerking van 3raser waar ik op reageerde was de stelling dat de minister ergens oneerlijk over was. Wat ik probeer aan te duiden is dat er vele lagen zijn en dat de minister kan denken dat zijn instructies duidelijk waren, sommigen van de regels over privacy e.d. zijn gewoon wet.
Dus zolang niemand hem van iets anders op de hoogte stelt is hij eindverantwoordelijk, maar zonder dat je weet wat er aan de hand is heb je daar niets aan.

Zet jezelf eens in de positie van minister en kijk wat jij er van vind als iedereen jou beschuldigd moedwillig iets expres fout te doen. En dat terwijl er iemand 6 lagen onder jou met een stapel diploma's zich niet aan de regel hield. Ik betwijfel of jij nog steeds dezelfde houding zou aannemen, Als je beweert van wel zul je nooit ergens lang leiderschap hebben, want je bent continue bezig met "opstappen" of je "verantwoordelijkheid nemen" omdat iemand onder je een fout heeft gemaakt.
Wat ik zeg en jij niet lijkt te begrijpen is dat jij om de een of andere reden de lat voor minister hoger legt dan voor elke andere leidinggevende in dit land. Je zegt het zelf al, je weet niet een swelk laag geflaterd heeft.
Dat zeg ik niet, dat is wat jij ervan maakt. Ik leg de lat voor élke topman even hoog, exact op de hoogte die ik hier heb uiteengezet.

Ik zet mij niet in de plaats van een minister, want ik sta er niet voor te springen mij verantwoordelijk te voelen voor iedereen die zich onder mij bevindt. Idem in een privaat bedrijf.

Er zijn fouten en er zijn fouten. De CEO van Volkswagen AG heeft is wel mogen opstappen voor dieselgate, ook al was het zogezegd niet zijn fout.

De fout die in dit topic wordt aangehaald is er eentje van niveau 'nope, deze mag je niet afwimpelen op je onderdanen, dit is een flagrante en structurele fout die niet enkel te wijten kan zijn fouten van een uitvoerder maar enkel aan grove nalatigheid op elk niveau'.
Ik zet mij niet in de plaats van een minister, want ik sta er niet voor te springen mij verantwoordelijk te voelen voor iedereen die zich onder mij bevindt. Idem in een privaat bedrijf.
en
omdat ik geen zin heb om momenteel een bedrijf of een ministerie te leiden
Die twee quotes in combinatie met de gedachte dat je tenminste iets van een baan hebt. Leiden mij tot de conclusie dat je iemand bent die makkelijk naar een ander wijst zonder zelf in die positie van de ander te willen staan. Nu of later. Ik vroeg jou dat zelfs niet, ik vroeg mij alleen jezelf eens in de positie van de ander voor te stellen en zelf dat wilde je niet. Die lat van jou kan niet erg hoog liggen, alles met een uitdaging betekend namelijk een vorm van leiderschap op enig gebied en dus verantwoordelijkheid.

Het is belangrijk om de juiste persoon te straffen en verantwoordelijk te stellen en de juiste verantwoording aan de juiste personen toe te kennen.

Ofwel als in dit geval blijkt dat een ICT bedrijf zich niet aan de privacy wet hield dan maak je die verantwoordelijk voor de schending en dat bedrijf bestraf je. Daarna kijk je of de minister dat had kunnen weten. Als deze niet op de hoogte was dan is hij niet verder verantwoordelijk voor die misser. Hij is wellicht wel verantwoordelijk voor het beleid dat tot de keuze voor het verantwoordelijke bedrijf heeft geleid. Dus kan hij wellicht het selectie beleid aanpassen. Dat is dan waar de minister voor verantwoordelijk is.

Om jou voorbeeld met volkswagen terug te halen. Daar waren de directeuren actief bij de misdaad betrokken en op de hoogte van het gesjoemel. Ik hoor niemand zeggen dat de minister op de hoogte was. En ook niet zeuren dat hij dat had moeten zijn. Criminelen adverteren normaal niet dat ze crimineel zijn.
Misschien omdat het ministerie door eerlijk te zijn zichzelf in het beklaagdenbankje duwt? Zodra je gaat toegeven dat het niet naleven van de veiligheidseisen de bedoeling was dan kunnen mensen dat als bewijs zien om je aan te klagen.

Daarnaast denk ik dat onze minister president wel duidelijk heeft gemaakt dat onder zijn bewind zoveel mogelijk informatie onder de pet blijft. Openheid van zaken lijkt iets heel moeilijks voor onze ministers.
Data is alleen op te vragen op het moment dat een dossier/profiel van een patiënt bestaat. Het dossier/profiel kan alleen aangemaakt worden met een BSN nummer van een persoon..
Weet je of het ook mogelijk is om een dossier/profiel te verwijderen uit dit systeem als het eenmaal is aangemaakt?
M.a.w: Als ik bel met het verzoek mijn profiel te wissen, gaat dat dan?
(Zeg maar in het kader van het recht om vergeten te worden, bijvoorbeeld)

Ik sta er zelf pas sinds kort in met twee negatieve testen...
Zou de moeite waard zijn om gewoon te laten wissen nu blijkt dat onze gegevens nog tot Maart onbeschermd zijn...
Landelijk nummer bellen > verzoek aan de medewerker tot verwijdering van dossier/gegevens > medewerker benadert leidinggevende (via WhatsApp groep, ook heel secuur) en geeft hierbij het dossiernummer > (vanaf dit punt weet ik niet wat de supervisor ermee doet: zelf verwijderen of ook als doorgeefluik dienen)
Dat kan, zie deze screenshot van Daniel (techreporter RTL). Is een screenshot van interne GGD communicatie: https://pbs.twimg.com/med...jQV?format=jpg&name=large

De tweet in kwestie: https://twitter.com/danielverlaan/status/1354380505957982209

[Reactie gewijzigd door 0546timm op 27 januari 2021 11:49]

Ik ben zeer benieuwd naar het antwoord...
Ik dacht dat het niet helemaal mogelijk is. Anonimiseren van data kan dacht ik wel.
Ja zeker, op verzoek kan een dossier worden verwijderd of geanonimiseerd
Ik heb gevraagd of het mogelijk was om geen telefoonnummer te delen. Geen probleem. Bij mij staat dus 0000000000 :)
Wettelijk gezien mag een instantie alleen gegevens verwerken die het nodig heeft om een dienst te leveren. Voor inenten is het wat mij betreft genoeg om bsn en een datum op te slaan.
Dat is iets overdreven. "Toestemming" is ook een valide GDPR-grond. Zo kun je wel stellen dat een huisadres voldoende is om een brief te sturen. Als iemand liever gebeld wordt en daarom toestemming geeft om óók een telefoonnummer op te slaan, dan is het telefoonnummer legitiem verkregen en bewaard,

BSN + datum is zeker onvoldoende, want het moet mogelijk zijn om bij problemen contact op te nemen met de gevaccineerde personen. Stel dat er iemand uitslag krijgt, dan wil je weten of de andere 4 personen die met dezelfde dosis gevaccineerd zijn ook uitslag hebben.
Communicatie kan via de berichtenbox van de overheid. De aanvraag kan ook via digid dus adresgegevens opslaan die ook al in het GBA staan is niet nodig. Heb je na een afwijking meer info nodig dan vraag je op dat moment om meer gegevens. Op voorhand alle gegevens opvragen die je misschien wel is nodig zou kunnen hebben is ook niet vanzelfsprekend toegestaan.
Hoe is het tot "miljoenen" personen gekomen, waar RTL Nieuws het over had? Dat vereist zekere permissies over het hele netwerk en automatisering. En is er ook nog iets anders buitgemaakt dan enkel persoonsgegevens, zoals testresultaten in combinatie met tijdstip en locatie? Als die informatie wel afdoende beschermd blijkt te zijn dan is het aannemelijk dat er letterlijk met de pet naar gegooid is.
In het dossier/profiel: testuitslagen (positief/negatief), datum, tijdstip en locatie van testen, show/no-show, BSN nummer, telefoonnummer + adresgegevens. Daarnaast ook te zien welke medewerker het profiel voor het laatst bewerkt heeft.
Deze gegevens lijken mij heel relevant voor de GGD. Adresgegevens is misschien nog discutabel, maar de rest gaat vrijwel allemaal over de test, wie je bent en hoe ze je kunnen contacteren (waarbij huisbezoek of een brief niet direct tot een van de handige mogelijkheden lijkt te behoren in dit scenario dus vandaar dat ik adres buiten beschouwing laat). Toen ik me liet testen moest ik volgens mij ook een e-mail adres opgeven voor de uitslag.
Nu heb ik er geen kwade bedoelingen mee gehad en ben ik blij dat ik naast mijn studie deze mensen heb kunnen helpen maar het is wrang dat het zo kinderlijk eenvoudig is geweest om het op te vragen.
Tsja dat heet verantwoordelijkheid. Tijdens mijn opdracht bij het Kadaster had ik in principe ook allerlei notariële papieren kunnen kopiëren en doorverkopen, maar met een beetje goed fatsoen denk je daar niet eens over na.

Het is ook kinderlijk eenvoudig om met 200 Km/u over de A12 te scheuren. Toch doet vrijwel niemand dat. Dat iets kan betekent dan ook niet dat je het moet doen. Je hebt hier contractueel afspraken over gemaakt dat je dit niet gaat doen ook.

Kijk als je wil dan is er altijd wel een weg en helpt vrijwel niks. Corruptie en omkoping is eigenlijk niet te voorkomen en moet je bijna altijd achteraf constateren. Dat is jammer.
Maar zijn die gegevens van elke patiënt relevant voor elke medewerker, in elke functie, op elke locatie, op elk moment?
Dat weet ik niet. Ik kan me zo voorstellen dat je voor BCO ook gegevens van bezoek van buiten de regio moet kunnen zien.
Daar heb je een punt, maar dat is een specifieke situatie (niet iedereen doet contactonderzoek) en dan nog heb je waarschijnlijk niet alle gegevens nodig.

Het punt wat ik wil maken is dat je niet voor elke handeling altijd alle gegevens nodig hebt. En aangezien het vrijwel onmogelijk is om achteraf beveiliging toe te voegen, je beter vooraf kunt ontwerpen volgens 'geen toegang, tenzij'.
Het punt wat ik wil maken is dat je niet voor elke handeling altijd alle gegevens nodig hebt. En aangezien het vrijwel onmogelijk is om achteraf beveiliging toe te voegen, je beter vooraf kunt ontwerpen volgens 'geen toegang, tenzij'.
Dat ben ik ook met je eens. Ik kan alleen niet inschatten wanneer wat wel en niet noodzakelijk is en of er voldoende capaciteit is om mogelijk als extra ogen te fungeren. Ik heb even gekeken naar het opschalingsplan wat ze vorig jaar Mei gepubliceerd hebben en daar zie je dan ook wat er toen al aan "tekorten" was

https://ggdghor.nl/wp-con...actonderzoek-COVID-19.pdf

In drie kwartalen is de capaciteit namelijk vertienvoudigt op BCO gebied.

Dus die "tenzij" zou nog best wel eens issues kunnen opleveren.

Maar goed ik kan er ook vrij weinig over zeggen alleen dat ik het jammer vind dat er mensen op de wereld zijn die dit soort dingen denken te kunnen doen. Je kunt hier echt mensen het leven zuur mee maken
Klopt. Wat ik merkwaardig vind, is dat je toch zou verwachten dat 'schaalbaarheid' (ook qua beveiliging) wel een eerste uitgangspunt is voor een systeem dat bedoeld is voor virusuitbraken...
Heb je ooit op een klantenservice gewerkt van een telecomprovider.

Elke medewerker kan alle gegevens van je opzoeken incl. Je belgedrag naar 0906 en ook je porno abonnement van je tv incl. In de storingsmelding kan men zien wanneer je op zondagochtend hebt gebeld over de promo zender die het niet doen. Sterker, we kunnen zelfs zien welke porno je op welk moment kijkt.

Verder zien we je hele belgedrag desgewenst.

En als we heel goed zoeken bij abuse ook je internet gedrag. Want hoe kom.t brein anders bij jou uit...

Sterker er worden nog altijd en dat gebeurt al jaren ips gekoppeld aan klantgegevens op basis van informatie van VS bedrijven

We doen daar niets mee als NL provider maar we leggen wel de DB vast en aan.

Doen we dat niet als NL provider.. tja.. dan kom je ook wederom op een Blacklist..

Gebruik je gezond verstand.
Elk gegeven dat men vastlegt kan dus altijd gestolen worden.

En zie eerdere post. Wees blij dat er misbruik van vertrouwen gemaakt kan worden want als dat niet meer kan.. dan is er ook geen vertrouwen meer in. De maatschappij en dan wordt het pas echt eng.
Afgelopen zomer nog meegemaakt. Nieuw abonnement met een nieuw nummer en alleen gebruikt in de ipad (nooit mee gebeld of gesmst). Binnen 4 maanden stond er een ftmsc mobiele diensten abonnement van 5 euro per maand aangemeld op mijn nummer.
Reactie T-mobile: Dat ik mij er zelf voor heb aangemeld via een sms of link...

Sws dat dat hele mobiele diensten probleem ook komt door medewerkers en verkoop van actieve nummers.
https://www.rtlnieuws.nl/...odafone-mobiel-game-ftmsc
Je dient je toch zelf aan te melden. Anders gaat het niet. Dat dat sneaky gebeurt is mr wel bekend.
Ja daarom was ik dus ook zo verbaasd. Het was een 4 maanden oude nummer en heb uberhaupt nooit gebeld of gesmst op dat nummer (tevens sms en belgeschiedenis gecheckt op factuur) en heeft altijd in mijn ipad gezeten (messages app was ook geblokkeerd in settings maar volgens mij kan je sws niet smsen op de ipad)
Dan denk je dus aan een link, maarja zit 95% van de tijd op een vpn en daarnaast klik ik sws nooit op links. Zelfs al zou ik op een link klinken, dan zou ik in principe alsnog mijzelf moeten aanmelden door mijn telefoonnummer in te vullen (die ik niet eens uit mijn hoofd weet)
Tijdstip van de aanmelding was ik tevens niet eens online.
Kan niet anders dan dat het intern gebeurd.

[Reactie gewijzigd door D2FValinor op 27 januari 2021 14:29]

Zou gaan starten in Eindhoven op de XL straat.

VOG en geheimhoudingsverklaring waren required en verplicht. Maar kon ook met de functie te maken hebben.

Heb uiteindelijk zelf bedankt.
TempoTeam kreeg hun core business niet eens voor elkaar.
En als je er dan voorzichtig naar vroeg was je gelijk "wel erg negatief".
Na drie vragen besloot ik aan dat spelletje niet mee te doen.
Alsof een VOG en geheimhoudingsverklaring betekend dat je geen gegevens kunt lekken. Wat zijn ze toch dom tegenwoordig. Voor mij hebben die papiertjes geen enkele waarde.
Dat papiertje is wel een goede basis voor een stevige strafrechtelijke vervolging.

Toegegeven, dat is wel achteruit uiteraard.

Blijft evengoed triest dat mensen hier een slag uit slaan :’)
Blijft evengoed triest dat mensen hier een slag uit slaan :’)
tja, als je geen pillen meer kan verkopen op feestjes moet je iets doen hé :'(
Alsof die strafrechtelijke vervolging er ooit gaat komen, dan zullen ze het eerst moeten bewijzen en dat kan alleen als alles gelogd is, wat nog niet werkt.

Bovendien het lijkt me vrij logisch dat je geen medische persoonlijke gegevens dient te lekken, als je dat niet begrijpt als je aan zo'n baan begint gaat een VOG en geheimhoudingsverklaring die je in de meeste arbeidscontracten als standaard zinnetje vind geen enkel verschil maken. Dat soort verklaringen zijn echt voor de buhne.
als je dat niet begrijpt als je aan zo'n baan begint gaat een VOG en geheimhoudingsverklaring die je in de meeste arbeidscontracten als standaard zinnetje vind geen enkel verschil maken.
Mwah. Uiteindelijk wel natuurlijk. Je hoeft de komende 10 jaar iig niet te verwachten een baan te kunnen krijgen met de screeningsprofielen informatie, diensten en ws ook geld en personen
Maar dat is natuurlijk ook het probleem. Een VOG wordt gecheckt aan de hand van strafrechtelijke vervolging. Dus je moet eerst veroordeeld zijn voor een ander delict wil je niet meer in aanmerking komen.

Zo'n papiertje zegt helaas niets over de intenties van een persoon. Het is zelfs zo dat een VOG aangevraagd kan worden voor verschillende profielen (Financieel, werken met kinderen etc.). Is een persoon dus veroordeeld voor een financieel delict en de werkgever vraagt een VOG aan voor jou zonder dat component, wordt de VOG gewoon afgegeven.
Het is zelfs zo dat een VOG aangevraagd kan worden voor verschillende profielen (Financieel, werken met kinderen etc.). Is een persoon dus veroordeeld voor een financieel delict en de werkgever vraagt een VOG aan voor jou zonder dat component, wordt de VOG gewoon afgegeven.
Ja dat is juist express zo gedaan zodat je niet helemaal direct kansloos bent als persoon en de komdende 10 jaar geen enkele baan kunt krijgen door iets stoms.

Dat zie je ook hier. De mensen die nu bijvoorbeeld opgepakt zijn waren 21 en 23. Hoewel het natuurlijk hun eigen keuze is geweest durf ik te wedden dat ze geen besef hebben van de daadwerkelijke impact van zoiets. Met het niet kunnen krijgen van een positieve VOG ben je dan ook direct de sjaak voor alles wat je mogelijk zou willen doen op niveau fat je er ook een boterham mee kunt verdienen.
Maar dat is natuurlijk ook het probleem. Een VOG wordt gecheckt aan de hand van strafrechtelijke vervolging. Dus je moet eerst veroordeeld zijn voor een ander delict wil je niet meer in aanmerking komen.
Ja en wat wil je er anders tegen doen? Een dikke screening van iedereen en zijn moeder zoals bij de politie gebeurd? Nee dankje. Dat kost ontzettend veel tijd en geld en is in de meeste gevallen kompleet zinloos.
Dat papiertje is essentieel : het zegt iets over als we wel of niet vertrouwen in je mogen hebben of dat je het vertrouwen van de maatschappij in jou dat je altijd eerst krijgt, reeds beschaamd hebt.

Maar idd het doet niets aan of je wel of niet het vertrouwen kunt beschamen.

Maar zou jij in een maatschappij willen leven waar geen misbruik van vertrouwen kan plaatsvinden ?

Zo ja, wil jij die burger worden, zal ik de Voorwaarden bepalen. Denk dan aan dat we uit veiligheidsoverwegingen alles van jou vastleggen , je contenu monitoren, chips implanteren.. zodat wij ons veilig voelen zodat we zeker weten dat jij niets verkeerd gaat doen. Ook liefst een chip die ons waarschuwt voordat jij iets doet en ons vertelt wat er in jouw gedachten speelt.

[Reactie gewijzigd door Dragonheart-03 op 27 januari 2021 07:37]

Ik moest wel een VOG hebben voor de administratie bij GGD regio Utrecht, maar misschien was dat ook wel omdat ik de testen afnam }:O
In welke hoedanigheid heb je voor het project gewerkt als ik vragen mag?
Volgens mij heb je ook ondertekend om niet te spreken over informatie die bij jou bekend is, als je ervoor hebt gewerkt.
Security by obscurity? Ik ben nog altijd blij dat Edward Snowden wel sprak.
We hebben het hier niet over misstanden binnen de overheid. Lees overheidsmisdaden.

We hebben het hier over misbruik door criminelen. Dat kan altijd en over los van welke maatregelen je neemt.

Als meneer de melder even jouw gegevens hier gaat delen, kijken wat je dan zegt...
Ik verbaas me elke keer weer hoe knullig onze overheid is met betrekking tot ICT systemen en privacy.
Dat krijg je inderdaad als ik weet niet hoeveel departementen, afdelingen er een plasje over moeten doen... Het gaat over te veel schijven...
Dat zal best maar privacy is niet nieuw of zo. Het is niet zeg maar een dingetje. We zijn al 10 jaar bezig met privacy. Zelfs zo erg dat we GDPR en AVG hebben opgetuigd. En nu moet ik geloven dat bij al die departementen er geen een persoon is met een gemiddeld IQ die zegt: "Maar hoe zit het met de privacy en de waarborging hiervan???"
Ik ben steeds meer van mening dat het ligt aan het feit dat er geen echte consequenties voor zijn.
Neem nu bv het huidige voorbeeld dat een kabinet/minister opstapt.

Leuk en aardig, maar vooral een formaliteit.
Vaak ook nog met een leuke goodbye bonus

Als bedrijf krijg je in een vergelijkbaar geval direct een boete of rechtszaak aan je broek.
Dan denken veel mensen toch wel even wat langer na over wat ze precies doen.

Het tweede probleem is dat naar mijn idee mensen in de overheid echt in een enorme bubbel leven.
Totaal ontkoppelt van de praktijk en vooral naar rapportjes kijken.
Ik ken best wel veel mensen die in de overheid hebben gewerkt, en dit was dan ook de grootste reden waarom die mensen uiteindelijk een andere baan hebben gekozen.
In deze rapportjes was persoonlijk "mening" (lees; vooroordeel) vaak belangrijker dan daadwerkelijk goed onderbouwde argumentatie en wetenschappelijk onderzoek.
Vooral bijzonder naïef, wat ik persoonlijk heel zorgwekkend vind.

Ook allemaal dingen die je als bedrijf je niet lang kunt permitteren.
Vroeg of laat gaat dat tegen werken, met meestal als gevolg dat je klanten verliest.
De overheid komt er kennelijk steeds mee weg. Stapt een minister op, komt een nieuwe om vervolgens dezelfde fouten te maken zonder consequenties.
Het is niet alleen de GGD die dit soort praktijken erop nahouden. We worden ons bewust wat we met prive gegevens, schade, kunnen doen. En er big bucks mee binnen halen. Fijn toch om iemand de grond in te kunnen boren zodat jezelf beter probeert te voelen.

Er zit nog steeds een bak werk in het maken van ‘beveiligde’ systemen en hopelijk dat van hoog tot laag de boel op orde kan houden.
Geheimhoudingsverklaring en ook vog is een harde eis. Het is echter pas eind vorig jaar afgedwongen. Geen van de documenten overlegd = exit.
Toch maar even de privacyverklaring van CoronIT erbij gepakt. Ik zie niet helemaal in waarom het adres (buiten de cijfers van de postcode voor het bijhouden van de regionale ontwikkeling van de pandemie) en burgerservicenummer noodzakelijk zijn voor de procedure om een coronatest uit te voeren. Het lijkt me eerder een gevalletje informatiehonger, aka men heeft een informatiesysteem opgetuigd zonder na te denken over welke informatie ze werkelijk nodig hebben.
Normaal ben ik het snel eens met dit soort reacties, echter zijn zorgaanbieders of mensen die iets in de zorg doen, bij wet verplicht een BSN te registeren en door te geven bij uitwisseling van informatie. Dus het is misschien niet direct noodzakelijk voor de procedure zelf, maar wel voor de informatie verwerking.
Dank je voor de info.
Jammer dat BSN is ook gebruikt wordt in medische sfeer, en niet alleen in financiële. Dat kan sneller tot identiteitsfraude leiden.
In VS staat Social Security number altijd in aparte DB die met betalingen/verzekering werkt. Het is gekoppeld via patient id, en patient id wordt gebruikt voor alle medische data. ( nou, ik heb wel hospitals gezien die dat niet netjes doen, maar in het algemeen het is de regel)
Om BSN te gebruiken voor alles, is makkelijker, maar veel minder veilig.
Het is een bizar wet. Als overheid gewoon mijn sofi op straat legt door zulke wetten, dan moet de overheid ook opdraaien in het geval van identiteit fraude.
Simpelweg omdat de overheid, en dus ook de GGD's, álles relateren aan je BSN. En in dit geval is dat helemaal niet zo raar hoor: ze moeten je namelijk ten allen tijde kunnen contacteren in geval van een positieve testuitslag. Stel dat jij een foutief mobiel nummer doorgeeft, of je toestel weigert dienst - hoe gaan ze je dan bereiken als dat het enige houvast is? Daarnaast - je krijgt tegenwoordig gewoon een bericht in je berichtenbox van Mijnoverheid.nl als de testuitslag negatief is. Dat scheelt ze aanzienlijk in de werkdruk.

Covid-19 is een ziekte met meldingsplicht, dwz als de ziekte geconstateerd wordt moet daarvan via de GGD melding worden gemaakt bij het RIVM. Door de koppeling met een BSN kunnen herbesmettingen sneller worden geregistreerd, en ook kunnen in een later stadium makkelijker onderzoeken gedaan worden naar eventuele verbanden tussen een Covid-19-besmetting en andere aandoeningen.
Dat kan zijn, maar wat is het nut van het bewaren van persoonsgegevens van een negatief testresultaat?
Voor de statistieken zou je genoeg hebben als je weet waar en wanneer er een negatief resultaat was, maar er hoeven geen persoonskenmerken meer aanwezig te zijn.

De bewaartermijn van deze gegevens zou eens bekeken moeten worden.
Dat is een andere discussie. De vraag was waarom de GGD überhaupt het BSN nummer nodig heeft voor een Covid-19-test.
Overigens kan het voor bron- en contactonderzoek best nuttig zijn om ook een negatieve test enige tijd te bewaren.
Gegevens mogen volgens de AVG sowieso niet langer bewaard worden dan strikt noodzakelijk voor het uitvoeren van de betreffende handeling.
Ik had begrepen dat die gegevens moeten worden bewaard omdat het een medisch dossier betreft (art. 7:454 BW: vijftien jaar bewaartermijn). Je moet als arts iemands medische geschiedenis terug kunnen zien, is de achterliggende gedachte.
Niet helemaal relevant. Maar ook positieve uitslagen zijn in te zien via coronatest.nl. Positieve worden nog steeds gebeld door de GGD in kader van het bron- en contactonderzoek. Negatief geteste worden alleen gebeld door het landelijk callcenter als ze de uitslag niet online hebben ingezien. Als iemand telefonisch niet te bereiken is en de uitslag ook online niet ingezien is krijgt iemand een brief thuis gestuurd met de uitslag.
BSN is noodzakelijk omdat dat een unique identifier is en je krijgt meteen de beschikbare gegevens van de persoon te zien. Specifieke adres is ook noodzakelijk omdat mensen die niet bereikt kunnen worden met de uitslag een brief thuisgestuurd krijgen.
BSN is noodzakelijk omdat dat een unique identifier is en je krijgt meteen de beschikbare gegevens van de persoon te zien.
Hier hebben ze surrogate keys voor uitgevonden.
De (semi-)overheid werkt daar dus niet mee, want er is al een systeem. Een tweede identifier is dan leuk, maar werkt alleen maar verwarrend.
Verwarrend? Voor wie dan?
De mensen die met de getallen moeten werken in de software?
Jammer voor die mensen, in plaats van ene nummertje een andere intypen.

[Reactie gewijzigd door andru123 op 28 januari 2021 05:51]

BSN is een surrogate key, het is immers een meaningless identifier waar je als individu wordt geïdentificeerd. Niet met je naam, je woonplaats of geboortedatum maar een 9 cijferig nummer.
Het is geen identifier maar een primary key. Of eigenlijk: allebei. Als een identifier uitlekt is dat geen probleem, maar een sofinummer is net als een naam, adres, enz. een persoonsgegeven. Zelfs een vrij belangrijk, omdat je er bijna alle andere persoonsgegevens mee op kunt zoeken.
Dus als ik jou mijn BSN geef kun jij me mijn geboortedatum geven? Het BSN is naar mijn weten de enige manier om mijn identiteit met zekerheid vast te stellen. Laat dat nou net een vereiste zijn.
Zeker, via de Sectorale Berichtenvoorziening in de Zorg (SBV-Z) kun je met alléén een BSN alle persoonsgegevens zoals naam, geboortedatum, geboorteplaats en geslacht maar ook huidige bekende woonadres opzoeken. Dit kan je overigens alleen als zorginstelling met een zgn UZI-servercertificaat. Met alléén je BSN kan een zorginstelling ook (mits je toestemming hebt verleend) al jouw gebruikte medicatie ophalen bij jouw apotheek (LSP). Ook het opzoeken van je huidige zorgverzekering gaat met alleen je BSN (Vecozo).
Je BSN geheim houden is dus erg belangrijk.
BSN is GEEN primary key. Sommige BSN nummers zijn namelijk dubbel uitgegeven in het verleden. (dus meerdere personen met 1 identieke BSN)
Dank, weer wat geleerd. Ik vind wel dat je als IT bedrijf een haal en een breng plicht hebt. Dus als de klant (GGD, ministerie) om "rommel" vraagt hoef je geen rommel te leveren (het bekende "u vraagt wij draaien"). Maar dat schijnt nogal lastig te zijn in NL.
Toen ik mij liet testen ging dat via coronatest.nl. Daar moet je inloggen met digid dus wordt dat direct gekoppeld aan het BSN. Vervolgens werd mij op de testlocatie gevraagd naar de laatste cijfers van mn bsn ter controle dat ze de goede hadden.
er is nog geen actueel logsysteem dat continu bijhoudt welke gegevens door wie worden opgevraagd
Wanneer je het over zulke informatie hebt vind ik dat onaanvaardbaar. Je mag mensen zoveel laten ondertekenen, je weet dat er vroeg of laat iemand misbruik van gaat probleren te maken en dan moet je die mensen kunnen opsporen. Dat zulks een basisfunctionaliteit ontbreekt is voor mij onbegrijpelijk.
idd, waarom staat niet gewoon standaard aan dat het computersysteem ALLES wat je met de database doet logt????

helemaal bij een export functie
Die log functie had er moeten zijn, maar verwacht niet dat die alles oplost. Het gaat in de teststraten en call-centra veelal om tijdelijke medewerkers die geen echte binding hebben met de GGD als werkgever of het werk dat ze uitvoeren. Als de werkdruk dan een beetje toeneemt is het al snel een kwestie een account delen "want sneller", etc.

Hetzelfde zie je bij je bij het testen zelf. De persoon die de test afneemt verricht goed secuur werk, wisselt telkens handschoentjes, etc. Maar de hulpjes eromheen steken rustig hun hoofd door je raam zodat je ze beter hoort, raken je fysiek aan bij het overhandigen van een foldertje, wisselen vervolgens niet hun handschoenen, etc, etc. Als je nog niet besmet was raak je het daar wel. (N=1)
Alles wordt ook gelogd. Protocollering heet dat en is verplicht als je gegevens uit de BRP (Basis Registratie Personen) bekijkt. Alleen moet je de logging wel screenen of het werk gerelateerd is en dat is vaak moeilijk.
Een ziekenhuis komt daar niet mee weg, maar de GGD wel. Blijft toch frappant hoe de overheid zijn eigen vlees keurt.
Je kan een VOG helemaal niet ondertekenen, iemand heeft hier niet opgelet.
Ja kan een VOG aanvragen, en dan wordt die opgestuurd, of niet.
Medewerkers moeten een Verklaring Omtrent Gedrag overleggen en een geheimhoudingsverklaring tekenen.
Wie had er niet goed opgelet?
Ik vraag me af wat er gaat gebeuren. Wat moet ik nou bijvoorbeeld doen? Moet ik alvast aangifte gaan doen? Ik sta immers ook in die database.

Overheid is weer lekker summier met de informatie. Dalijk heb ik opeens 2 leningen en een creditcard afgesloten....
Je kan beginnen met een inzageverzoek bij je GGD*, zodat je weet wat er (mogelijk) gelekt is.

*De GGD van de teststraat, zie de privacyverklaring over het maken van een afspraak via coronatest.nl

Als iemand jouw identiteit gebruikt kan je aangifte doen, het lekken van gegevens an-sich kan je alvast via de AP aankaarten als je daarover geen informatie van de verantwoordelijke krijgt.

[Reactie gewijzigd door Cio op 26 januari 2021 20:08]

Aan Cio.

Destijds gaf ik mijn vertrouwen nog aan de GGD en de hele procedure. Nu heb ik die privacyverklaring maar opgehaald.

Want ik ga me voorbereiden op problemen. Ik weet niet of ik me opnieuw zo enthousiast laat testen. Dat is nu wel een beetje over. ID theft is verschrikkelijk. Je wordt totaal in de steek gelaten als het je overkomt.

Ik lieg zo veel mogelijk op internet (b.v. over geboortedatum of telefoonnummer). Dat wordt door professionals aangeraden en uitgebreide eigen ervaring geeft aan dat het zinvol is. Maar tegen dit soort diefstal kan ik niets beginnen. Bah.

Edit: ik schreef eerst dat de GGD de privacyverklaring op zaterdag nog even snel had veranderd. Maar ik keek niet goed. Dom! Ik heb die tekst zonet gewist.

[Reactie gewijzigd door Farmeur op 26 januari 2021 23:28]

Datalekken moeten gemeld worden, en de betrokkenen geïnformeerd. Bij medische gegevens is dat allemaal nog net een tandje strenger.

Als je je oprecht zorgen maakt of vragen hebt kun je contact zoeken met de Autoriteit Persoonsgegevens.
Hier zit ik ook mee. Wat ik begrepen heb wordt er contact met je opgenomen indien jouw gegevens bij de gelekte informatie zit. En dan ga ik er vanuit dat dit ook daadwerkelijk gedaan wordt. Op dat moment zou ik zeker aangifte doen.
Ik heb het idee dat de lijsten al goed verkocht zijn, of het is toeval.
Ben maanden bezig geweest mij uit spam en callcenters te verwijderen.
(Andere namen, e-mails tel. Nrs) en sinds aug heerlijk rustig.
Sinds vandaag is de ellende weer begonnen, zelfs uit Duitsland ontvang ik sms op mijn 06
Ook wel frappant dat de GGD zelf heeft aangegeven begin vorig jaar dat hun IT systemen niet opgewassen waren tegen de taak, maar dat er geen geld ter beschikking werd gesteld, ook niet door de ned. overheid.

Hoewel er vast en zeker meer fouten zijn gemaakt bij het beheersen van de problematiek, was een van de opmerkingen toen dat er moeilijk gecontroleerd kon worden wie toegang heeft tot welke gegevens. Er is toen ook besloten dat het bestijden van de pandemie de grootste prioriteit zou krijgen.

Het was ook vanaf het begin duidelijk dat er geen extra geld zou komen om software aan te passen of te vervangen. Natuurlijk moest dit fout gaan. Daar was geen ontkomen aan.

Ik vind dat de Nederlandse politiek, de Nederlandse media en onze privacy waakhond toen ook al hadden actiever kunnen reageren. Lekker gemakkelijk om nu dan te gaan prijsschieten.
Als ongeruste burger was ik nog wat aan koekelen op deze ellende en kwam dit bericht van 17 september 2020 tegen: Privacywaakhond wil uitleg van GGD over datalek coronacallcenter met een verhelderend filmpje over een niet-aan het werk gezette kandidaat callcentermedewerker die met alle logingegevens ALLES in kon zien.

Dat zou betekenen dat de GGD al 4 maanden weet dat medewerkers onveilig om (kunnen) gaan met alle persoonlijke gegevens, en sindsdien geen maatregelen heeft genomen.

[Reactie gewijzigd door verdroidnogaan2 op 27 januari 2021 16:51]

Zo mogen wij massaal een schadeclaim indienen!
En kunnen wij er op vertrouwen dat alle onbekwaam gebleken lieden op staande voet worden ontslagen!
Men komt overal maar mee weg,daar moet een eind aan komen.
Grapjas. Dat gaat dus niet gebeuren. Voorbeelden uit het verleden (beiden mee te maken gehad):

* Belastingdienst geeft BTW nummers uit op basis van je BSN. Na jaren worden ze daarvoor eindelijk op de vingers getikt, en dan mag je zelf de kosten maken van alle aanpassingen die je mag doen omdat je BTW nummer daarop aangepast wordt.

* UWV neemt het niet zo nauw met het afschermen van je CV, en dus is iemand via een bedrijfsinlog in staat om een flinke hoeveelheid CVs te downloaden met daarin vanzelfsprekend veel persoonlijke gegevens (die het UWV verplicht stelde om er in te zetten, anders had je geen goed CV en had dat gevolgen voor je uitkering). Er kon nog geen "sorry" vanaf.
Niet te dramatich! Deze systemen zijn binnen een heel korte tijd opgezet, zelfde met alle mensen die de GGD nodig had om de werkzaamheden uit te voeren. Het gevaar komt altijd van binnnen, in dit geval ook. Goed dat het gevonden is en hopen dat men in de tijd de zaken beter voor elkaar krijgt.
En beter voor elkaar krijgen gebeurt door.... mensen aansprakelijk te stellen.
Juist de softe aanpak is reden dat het systeem niet verbeterd maar alleen maar verder in elkaar zakt.
Ik weet dat het systeem snel in elkaar moest worden gezet,maar dat betekent niet dat er onvoldoende toezicht kon worden gehouden op het proces,er zou JUIST om die reden nauwkeurig toezicht worden gehouden,maar daaraan ontbrak het blijkt nu.
En het stelen van duizenden zeer persoonlijke gegevens vindt ik zeker wel dramatisch te noemen.
Ten eerste is dat geen goede reden om basale gegevensbeveiliging achterwege te laten.
Ten tweede had een dergelijk systeem er al lang moeten zijn vóór de corona-uitbraak. Uit de Wet Publieke Gezondheid:
Art. 6 Het college van burgemeester en wethouders draagt zorg voor de uitvoering van de algemene infectieziektebestrijding, waaronder in ieder geval behoort:
(...)
c. bron- en contactopsporing bij meldingen als bedoeld in de artikelen 21, 22, 25 en 26.

2 Het bestuur van de veiligheidsregio draagt zorg voor de voorbereiding op de bestrijding van een epidemie van een infectieziekte behorend tot groep A [i.c. SARS-CoVid-2], waarbij ernstig gevaar voor de volksgezondheid bestaat.
Met andere woorden: Dit had er al allemaal moeten zijn op grond van artikel 6 uit de Wpg (jaren eerder opgesteld naar aanleiding van de MERS en SARS epidemieën), net zoals crisisplanning en rapportage daarover (art. 8 ). Maar goed, de klucht vanwege het gebrek aan mondkapjes had ook al aangetoond dat de overheid zich hier weer niet aan haar eigen wet hield...

[Reactie gewijzigd door tympie op 26 januari 2021 20:41]

Daar valt van alles over te zeggen. Over de hele line en in alle landen is men overvallen hierdoor. Heb zelf ooit te maken met bron en contactonderzoek (1990) dat ging allemaal met het handje en bellen. De urgentie is er nooit geweest om zo een systeem op te tuigen. Wel vind ik dat het een en ander wel wat doortastender had gekund, het maken van een systeem maar ook het organiseren van het testen en vaccineren.

Natuurlijk moet er goed gemonitord worden wie en wat met data doet maar evengoed mag je uitgaan van de betrouwbaarheid van medewerkers. Een harde les.
Te beginnen met de Jonge. Zo ongeveer NIETS van wat hij de afgelopen 10 maanden heeft gedaan blijkt competentie uit.
Maar die is toch al weg? Decomissionair noemen ze het ;)
Hij zit er nog steeds. Want ja, de stoel moet warm blijven.

Het heet trouwens "demissionair".
Hij maakt het beleid nog steeds voor zijn deel, maar heeft niet de achtergrondkennis om medische en statistische besluiten af te wegen kennelijk.
Je bent ook afhankelijk van de (IT)-competentie van de mensen onder je.

Alles leuke en wel, maar WIE daar ook op de stoel van de Jonge had gezeten, dit was gebeurd. Alsof een Minister in deze grimmige tijden tijd heeft om in eigen persoon hierop toe te zien.

Maargoed, het volk en Fijinees wil gewoon dat er een kop rolt en dan kunnen we allemaal weer vrolijk verder. Dus de hoogste baas wordt weer eens ingewisseld maar elke IT Project Manager blijft vrolijk zitten. Tot het volgende schandaal.
Wat een onzin.
Natuurlijk is het achteraf makkelijk praten met de kennis van vandaag. Alsof ook maar iemand beter wist 10 maanden geleden wat corona in ging houden.
Taiwan wist het in januari. Voor de eerste maanden daarna kun je nog een beetje schuld leggen bij de WHO, maar deze hele zomer is er verder weinig meer gebeurd om vooraan te gaan lopen met maatregelen. De kennis van morgen is misschien niet haalbaar, maar probeer het dan op zijn minst met de kennis van vandaag in plaats van die van gisteren.

Net alsof het een verrassing is dat een luchtweginfectie in sterkte toeneemt als de R in de maand zit. Op dit moment blijven er ook nog minstens 2 belangrijke instrumenten op de plank liggen waar je nooit te laat mee kunt beginnen en die de exitstrategie minder laten hangen op vertraging bij vaccinaties (als er in september niet 70% is ingeënt hebben we een probleem). Sneltesten en vitamine D. Beide wetenschappelijk vrij hard onderbouwd, in tegenstelling tot bijvoorbeeld een avondklok.
Maar de verwachting was ook wel dat corona door de warme zomermaanden vrijwel zou uitsterven, bleek ook niet te gebeuren.
Dus een verwachting hoeft niet perse stand te houden, zeker als je er nog 5 verwachtingen (andere scenarios) kunnen zijn.. wat ga je dan kiezen.
Ik had denk ik ook wel andere soort keuzes gemaakt op bepaalde vlakken, maar dat zou ook weer ten koste gaan van iets anders.. wat is dan het beste?

Overigens vind ik het probleem ook niet alleen bij de overheid liggen, hoewel dat wel lekker makkelijk is.
Er wordt weinig aan maatregelen gehouden, daardoor blijft het verspreiden.
(van volle winkelstraten, tot verjaardagen en feestjes, tot de rellen)

[Reactie gewijzigd door Bender op 27 januari 2021 11:26]

Wie had die verwachting dan? ik heb dat eigenlijk nergens gelezen bij deskundigen. Wel bij politici natuurlijk, maar virologen hebben massaal de 2e en 3e golf voorspeld.

En scenario's maak je voor veel verschillende mogelijkheden, niet voor wat je denkt dat gaat komen. En altijd beginnen met worst case. Probleem is wel dat dat slecht over te brengen is naar de kiezer.

Dat mensen zich er niet aan houden ben ik met je eens, mensen zijn slap en moeten zuipen. Allemaal verslaafden.

In NL is nooit een harde keus gemaakt. Alleen deden ze het voorkomen alsof de volksgezondheid voorop heeft gestaan, en dat is gewoon niet waar.
Je kunt draaiboeken schrijven tot je een ons weegt, maar je hebt wel iets meer variabele factoren dan die er in het verleden waren.
Tenzij je vanaf maart zegt, alles dicht en op slot en niemand er in of er uit.. maar dat is wat niemand wil.

Het draaiboek wordt constant bijgestuurd, dit op basis van hoe mensen zich aan maatregelen houden (sterk wisselend), wisselende mutaties op corona (dit voorspel je niet) tot nu toe weer kansloze rellen.
Juist het continu bijsturen en laten wisselen van dat draaiboek zorgt er voor dat we een van de meest vrije landen nog zijn.
Aan Fijinees.

Je verspreidt verkeerde informatie. Ik wil je vragen dat niet te doen.

Deze minister heeft duidelijk gezegd dat de start van het vaccineren (daar heb je het over) verwacht werd op dag x maar alleen als alles goed zou gaan met de levering. Of woorden van die strekking. Het was géén keiharde datum.

Meer kon hij op dat moment niet toezeggen. Het is dus alleen maar prima als hij dat op dat moment dus ook niet doet. Want iedereen wil graag normaal geinformeerd worden. Nou doet hij dat, en het is wéér niet goed?

Kortom: het is simpelweg niet fair en niet correct om een bericht te verspreiden waarin staat dat hij geen juiste informatie heeft verstrekt.

edit: je voorliefde voor China moet je zelf weten, maar vergeet je niet de gigantische schendingen van de mensenrechten daar en de kampen waar hersenspoelingen plaatsvinden? Je zegt "Nederland is 1 van de minst vrije landen" -- dat is totale onzin en zéker vergeleken met China. Verder ga ik er niet op in.

[Reactie gewijzigd door Farmeur op 26 januari 2021 22:52]

En Nederlanders weten van China vooral wat de politiek en media in NL ze voorschotelen. Kom je er wel eens?

Heeft NL al verontschuldigingen aangeboden voor de vele massamoorden en misdaden tegen de menselijkheid die NL heeft gepleegd?

Natuurlijk niet. Zelfs nu worden die massamoordenaars nog vereerd door de hypocrieten. En worden mensen vastgezet die het beeld besmeuren.
En wat als iemand met mijn gegevens een abonnement ofzo afsluit?? :|
Weet iemand wat je dan moet doen?
Dat kan nog wel eens gezeik opleveren, direct aangifte doen en hopen dat je de juiste medewerker aan de lijn krijgt:) klantenservice moet het vaak doorzetten.
maar wanneer kom je er achter dat iemand met jouw gegevens een abbonnement heeft afgesloten?
Degene die een abonnement afsluit, moet ook jouw gegevens controleren he.

Lees, de verkopende partij. Het is niet zo dat het zo makkelijk is ... als jij denkt.

Veel van je gegevens deel je ook als je via Vraag en Aanbod een item koopt.
dan heeft ook ieand anders en je bankrekening nummer en ej persoonsgegevens.

Alleen je BSN niet.. en dat is in casu het problematische.
Ik heb heel lang uitgesteld om mijzelf te laten testen omdat ik deze systemen niet vertrouwde. Telkens als ik ergens last van had heb ik mijzelf in quarantaine
gezet. Uiteindelijk kreeg ik serieuze klachten en had ik tijdelijk niet de mogelijkheden om in quarantaine te gaan. Heb mijzelf dus moeten laten testen... Blijkt dat mijn gegevens nu op straat liggen. Stelletje %&#*%@*(#)! Continue gejank van oh onze corona melder app is zo veilig. En dan vergeten ze even het systeem van de GGD te auditten?

Geef mij maar een nieuw bsn :).
Een nieuw BSN nummer betekent ook dat je een nieuw rijbewijs, paspoort etc. moet aanvragen. Je BSN nummer staat hierin.
Naja die paar honderd euro betaal ik liever nu dan dat ik straks voor ettelijke duizenden kwijt ben aan identiteitsfraude.
Ik vind dat de overheid dan ook die nieuwe documenten mag betalen. Hun schuld toch?
Je zou de GGD voor die kosten aansprakelijk kunnen stellen.
Ik ben eigenlijk wel benieuwd hoe dat zit.
Ja dat gevoel heb ik dus ook. Als je weet dat al je gegevens inclusief bsn op straat liggen, dan graag een nieuw bsn.

Als er creditcard fraude is geconstateerd of wordt vermoed krijg je tenslotte ook een nieuwe creditcard.

Sowieso heel dat bsn nummer, dat kan toch niet meer van deze tijd zijn?
Sowieso heel dat bsn nummer, dat kan toch niet meer van deze tijd zijn?
Dat nummer is juist wél helemaal van deze tijd, waarin allerlei databases (met goede bedoelingen) aan gekoppeld kunnen worden.

Maar ik snap wat je bedoelt, een link tussen jou als persoon in het ene systeem en jouw testuitslag in het andere zou later niet door iedereen zo aan elkaar te knopen mogen zijn. Er zijn ook wel technische oplossingen te bedenken waarbij je wel de ene kant op kunt zoeken maar niet de andere.

[Reactie gewijzigd door Skit3000 op 26 januari 2021 19:59]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True