Ministerie van Justitie meldt datalek met persoonsgegevens van 65.000 ambtenaren

Demissionair minister Ferd Grapperhaus maakt melding van een datalek bij het Ministerie van Justitie en Veiligheid. Daarbij zouden de persoonsgegevens van 65.000 ambtenaren terecht zijn gekomen bij twee andere overheidsinstanties, waar die gegevens niet horen.

Grapperhaus schrijft in een brief aan de Tweede Kamer dat het beveiligingsincident is veroorzaakt door een externe medewerker, die kwaliteitscontroles uitvoert op toegangsdiensten bij het ministerie van Justitie, zoals de Rijkspas waarmee medewerkers het overheidsgebouw kunnen betreden en verlaten. Deze medewerker zou een analysetool van het ministerie van Justitie gekopieerd hebben naar 'een eigen werkomgeving'. Vervolgens zou hij de software en de daaraan gekoppelde gegevens opnieuw gekopieerd hebben naar twee andere overheidsdiensten waarvoor hij opdrachten uitvoerde.

De medewerker wilde volgens Grapperhaus de tool kopiëren, maar hierbij werden ook de gekoppelde gegevens meegekopieerd. Het zou de persoonsgegevens van 65.000 overheidsmedewerkers betreffen, die voornamelijk bij het Ministerie van Justitie en Veiligheid werken. Volgens Grapperhaus zou het gaan om persoonsgegevens zoals namen, ID- of paspoortnummers, Rijkspasnummers, geslachten, nationaliteiten, geboorteplaatsen en -data en mailadressen van deze medewerkers. Het datalek zou geen privéadressen, telefoonnummers of wachtwoorden bevatten, meldt de minister.

Het datalek is volgens Grapperhaus ontdekt door de GGD GHOR. Deze instantie trof de gekopieerde data aan tijdens een routinecontrole van zijn netwerk, waarnaar de gegevens onder andere zijn gekopieerd. De gegevens zijn ook bij het OM aangetroffen. Het lek zou op 30 juni aan demissionair minister Grapperhaus gemeld zijn, waarna de Autoriteit Persoonsgegevens is ingelicht.

Drie lopende onderzoeken

De data is na ontdekking verwijderd of onbruikbaar gemaakt bij de twee overheidsorganisaties en de betreffende medewerker, meldt de minister. Momenteel lopen er drie onderzoeken naar het incident. Het ministerie voert onder andere een forensisch onderzoek uit, samen met cybersecuritybedrijf Fox-IT. Doel van dit onderzoek is het opzetten van een technische reconstructie om te bepalen of meer personen buiten Justitie en Veiligheid toegang hebben gehad tot de gegevens. Grapperhaus heeft naar eigen zeggen vooralsnog 'geen indicatie' dat de gegevens zijn ingezien door onbevoegden. "Het onderzoek dat hierover uitsluitsel moet geven, is nog niet afgerond."

De Auditdienst Rijk moet verder een audit doen naar het incident en moet uiteindelijk verbetermaatregelen voorstellen, meldt Grapperhaus. "De ADR doet hiervoor onderzoek naar de werkprocessen, systemen en waarborgen binnen het departement." Grapperhaus heeft ook het Bureau Integriteit van de Dienst Justitiële Inrichtingen gevraagd een onderzoek te doen naar de 'feitelijke handelingen rond dit incident op de werkvloer'.

"In totaal lopen nu dus drie onderzoeken naar dit informatiebeveiligingsincident. Op advies van de beveiligingsautoriteit van mijn ministerie wordt op basis van de uitkomsten van deze onderzoeken bekeken of nadere stappen moeten worden ondernomen", schrijft de minister. De personen die voorkomen in het datalek worden vrijdag geïnformeerd, samen met de bestuurders van de getroffen organisaties. Voor medewerkers is een centrale mailbox geopend waar ze terecht kunnen met vragen over het beveiligingsincident.

Door Daan van Monsjou

Redacteur

Feedback • 16-07-2021 18:57
89 • submitter: robcoenen

16-07-2021 • 18:57

89 Linkedin

Submitter: robcoenen

Lees meer

Fox-IT maakt eigen toolset voor incident response open source beschikbaar Nieuws van 4 oktober 2022
GGD's bieden 1250 slachtoffers van datalek schadevergoeding van 500 euro aan Nieuws van 13 mei 2022
Belgische toezichthouder onderzoekt mogelijk beveiligingslek in CovidScan-app Nieuws van 13 oktober 2021
Minister Knapen: 'Nederland kan leger inzetten bij ernstige cyberaanvallen' Nieuws van 7 oktober 2021
Door kwetsbaarheden in infuuspomp kon medicatiedosis worden aangepast Nieuws van 24 augustus 2021
Provincie Gelderland doet aangifte van hack Nieuws van 21 augustus 2021
Radboudumc meldt datalek van accountgegevens medewerkers en partners Nieuws van 12 augustus 2021
Vaccinatiegegevens van 700 mensen zijn zonder toestemming gedeeld met RIVM Nieuws van 26 juli 2021
Kledingwinkel Guess meldt datalek aan klanten na ransomware-aanval Nieuws van 13 juli 2021
Gepersonaliseerde kledingwebwinkel Spreadshirt waarschuwt voor datalek Nieuws van 12 juli 2021
UWV krijgt 450.000 euro AVG- en Wbp-boete voor slechte beveiliging en datalekken Nieuws van 7 juli 2021
Gegevens van honderden bezoekers discotheek op straat door datalek bij GGD Nieuws van 6 juli 2021
Ticketverkoper licht zelf klanten in over datalek na klacht van AP Nieuws van 5 juli 2021
New York Pizza waarschuwt klanten voor datalek - update Nieuws van 2 juni 2021
WhatsApp-accounts van Eerste en Tweede Kamerleden zijn vorig jaar overgenomen Nieuws van 19 mei 2021
Autoriteit Persoonsgegevens verbetert meldformulier datalekken Nieuws van 4 mei 2021
Datalek bij Allekabels betrof niet 5000 maar 3,6 miljoen mensen Nieuws van 15 april 2021
Belastingsamenwerking West-Brabant had opnieuw datalek Nieuws van 19 maart 2021
Cryptocurrencyhandelaar LiteBit meldt datalek van Nederlandse persoonsgegevens Nieuws van 3 maart 2021
Meer producten en artikelen
Networking en security Politiek en recht Datalek Overheid

Reacties (89)

-Moderatie-faq
89
89
43
7
0
25
Wijzig sortering
Afwezig
16 juli 2021 19:28
Als werknemer bij justitie vind ik het vooral kwalijk dat dit soort dumps van databases te maken zijn. Zeker in deze tijden waarin georganiseerde misdaad collega’s intimideert zou je hopen dat er werk gemaakt zou worden van het beveiligen van elke vorm van persoonsinformatie. Ongeacht of je nu werknemer bent van justitie of zoals in dit geval een externe medewerker. Dit moet beter kunnen.
PhilipsFan
@Afwezig17 juli 2021 01:21
Je kunt vast het dumpen van een database technisch onmogelijk maken. Maar dat leidt elders dan weer tot veel ongemakt bij gebruikers die deze data wel echt nodig hebben (en er ook legaal over mogen beschikken). Overal waar je (technische) barrieres opwerpt, gaan gebruikers daar wegen omheen verzinnen. En meestal succesvol. Het resultaat is helemaal niet dat je data veiliger is.

Als de uitleg van minister Grapperhaus klopt, dan is dit een eenmansactie van een medewerker die zijn hoofd er niet goed bij had. Hoe haal je het in je hoofd om een tool te kopieren van een klant (via je eigen 'omgeving' nog wel) en die weer te gebruiken bij een andere klant. Alleen al die manier van werken gaat tegen alle best practices in. Als je medewerker informatiebeveiliging bent, dan mag je best wel even over je eigen werkwijze nadenken (een officiele reprimande zou ook op z'n plaats zijn). Volgende keer dat je een tool wilt gebruiken, dan neem je als bron de officiele aanlevering van de leverancier. NIET een instantie die je al bij een andere klant hebt gebruikt.

Daarnaast mag het ministerie inderdaad wel even nadenken over hun eigen procedures, want hier kon blijkbaar iemand met informatie aan de haal gaan zonder dat collega's daar iets van wisten en/of een mening over hadden. Dat mag natuurlijk nooit gebeuren, als een medewerker met een set gevoelige data werkt, dan moeten collega's daar iets van af weten en moeten ze elkaar kunnen controleren of ze veilig genoeg met die data omgaan.
CivLord
@PhilipsFan17 juli 2021 13:09
Je kunt vast het dumpen van een database technisch onmogelijk maken. Maar dat leidt elders dan weer tot veel ongemakt bij gebruikers die deze data wel echt nodig hebben (en er ook legaal over mogen beschikken). Overal waar je (technische) barrieres opwerpt, gaan gebruikers daar wegen omheen verzinnen. En meestal succesvol. Het resultaat is helemaal niet dat je data veiliger is.
Klopt. Misbruik lastiger maken betekent vrijwel altijd ook geautoriseerd gebruik lastiger maken.
djwice
@PhilipsFan17 juli 2021 13:22
Een tool kan een script zijn of een set met SQL queries. Een externe medewerker kan de indruk hebben dat hij voor justitie werkt en het OM niet als een ander bedrijf, maar gewoon een andere divisie/team zien. Wellicht delen ze meerdere IT-systemen, bijvoorbeeld het systeem waar deze lek uit komt.

En een eigen omgeving kan een virtuele machine zijn gekregen van de opdrachtgever, waar hij wellicht zelfs toegang tot de 3 betrokken omgevingen op kreeg.
teacup
@PhilipsFan17 juli 2021 15:42
Nu is dat dumpen natuurlijk niet de enige manier waarop een informatielek kan worden bewerkstelligd. Wel biedt dat dumpen de uitgelezen kans om in een klap over een grote dataset te kunnen beschikken.

Bij testen voor update of migratie ontkom je bijna niet aan het maken van database kopieën voor testdoeleinden voor test, acceptatie, productie omgevingen. Je opmerking dat goed naar procedures moet worden gekeken herken ik in zoverre dat bij het gebruik van de data meer bewust met een enkele informatie bron moet worden gewerkt. Dit houdt in dat duidelijk is wie verantwoordelijk is voor het beheer van de informatie (inhoudelijk, maar ook veiligheid, IT en organisatorisch). Verder zou die toegang eigenlijk alleen op database niveau zelf moeten worden geregeld (ADA, authorized data access logica). ADA kan zo specifiek en fijnmazig zijn dat data niet zomaar meer op straat komt. Het is dan nog altijd mogelijk informatie te stelen, maar de kans dat de complete dataset zo in omloop komt is dan kleiner. Bijvangst is trouwens ook dat de partij verantwoordelijk voor het beheer beter kan bewaken dat de data wordt gebruikt voor het doel waarvoor het is verzameld. Dit laatste is bij onze overheid ook belangrijk om draagvlak bij de bevolking te houden voor het verzamelen van informatie.

Edit:typo

[Reactie gewijzigd door teacup op 18 juli 2021 16:44]

RobbieB
@Afwezig17 juli 2021 00:05
Precies. Het is nooit de schuld van 1 persoon zoals hier nu wordt voorgesteld door Grapperhaus. Hier hebben vele mensen, processen, etc gefaald.
King4589
@RobbieB17 juli 2021 00:37
Dat steld Grapperhaus stelt helemaal niet dat één persoon de schuld heeft. De ADR heeft niet voor niets de opdracht gekregen om met verbeter voorstellen te komen. Er wordt alleen gesteld dat het lek veroorzaakt is door een bepaalde medewerker.
demonite
@King458917 juli 2021 10:11
Een medewerker die bezig was met een kwaliteitscontrole.. En als oplossing hiervoor gaan we een.... audit doen. De ironie!
SalmanKhawaja73
@Afwezig16 juli 2021 22:32
Je hoeft niet voor of bij een criminele organisatie te zitten om een database aan te bieden. Een exportfunctie, als is het maar een kijkfunctie, zegt helemaal niets tegenwoordig. Je kunt het innerlijk van iemand niet scannen, behalve het goede woord tijdens een sollicitatiegesprek.
Oon
@Afwezig17 juli 2021 08:12
Niet alleen dat, het gaat om een 'externe medewerker', oftewel een derde partij, die dus volledig toegang heeft tot deze systemen, inclusief de mogelijkheid om 65k persoonsgegevens te exporteren en dan per ongeluk ergens anders te importeren.

Klinkt alsof er dus directe databasetoegang is voor een derde partij?
wica
@Afwezig17 juli 2021 10:07
Stel ik ben sysadmin bij de overheid, laten we zeggen dat ik de storage beheer van de virtuele machines en backup.

Hoe wil je voorkomen dat ik bij die data kan en kan delen?
The Lord
@wica17 juli 2021 13:13
Encryptie.
WPNL
@The Lord17 juli 2021 13:18
Waar grapperhaus wel een backdoor in zou willen...
wica
@The Lord17 juli 2021 13:49
De data in de cm is encrypted. Waar denk je dat de met staat?
En nee je gaat niet bij 300 vm's handmatig Keys invoeren om de systemen te starten.
themadone
@wica17 juli 2021 15:14
Auditing, waardoor er een belletje afgaat als er grotere hoeveelheden data verschuiven?
iew
@Afwezig19 juli 2021 13:08
Blablabla en over een week ? maand ? jaar ? hebben we deze discussie en opgeheven vingertjes opnieuw.
Ondertussen zijn dit soort lekken en nieuwsberichten een dagelijks iets aan het worden en duren dit soort discussies inmiddels ook al jaren.
batjes
16 juli 2021 19:39
Waarom moet een derde partij bij die rijkspas gegevens?

Waarom kan iemand ongezien die gegevens uit de omgeving van Min JenV halen?

Mooi voorbeeld weer, Ministerie van Justitie en Veiligheid. Bij toeval is dit ontdekt, moet je nagaan hoeveel data er allicht ongezien hun omgeving verlaten heeft.

[Reactie gewijzigd door batjes op 16 juli 2021 19:39]

Bender
@batjes16 juli 2021 22:28
Waarom? Omdat overheid ook gewoon gebruik maakt van externe ingehuurd personeel, en dat is echt niet meer of minder betrouwbaar dan iemand omdat ze op de loonlijst staan.

Aanvullend heeft ook de overheid ook gewoon inkoop van hardware en de bijbehorende inkoop van installatie en configuratie
satya
@batjes16 juli 2021 19:51
Onderzoek naar correlaties tussen toegansmogelijkheden met de pas over departementen heen en misschien oneigenlijk of ontspoort gebruik er van. Met mijn pas kan ik bij meerdere bedrijven naar binnen, die lezen de code van de pas uit, en correleert die met hun systeem dan hoeven ze geen extra pas uit te geven.
batjes
@satya16 juli 2021 19:56
Dat kan het MinJenV niet intern doen voor hun eigen medewerkers of op de passen die toegang hebben tot JenV locaties? SSC-ICT en IVO vallen onder MinJenV. Mogelijkheden genoeg om dit intern te doen lijkt me

Zijn nogal belangrijke gegevens die dus ongezien het ministerie kunnen verlaten.

[Reactie gewijzigd door batjes op 17 juli 2021 14:09]

Hees
@batjes17 juli 2021 01:22
SSC-ICT valt onder BZK. https://actorenregister.n...d-service-centrum-ict-bzk
batjes
@Hees17 juli 2021 13:56
Oeps je hebt gelijk. MinJenV gebruikt wel -deels- SSC-ICT's diensten.
satya
@batjes16 juli 2021 20:18
Hoeveel bedrijven hebben zelf hun toegangs software en hardware voor hun poortjes en deuren ontwikkeld denk je, de centrale overheid heeft zelf bijna geen enkele IT'er meer in dienst en als ze er al lijken te werken zijn ze vaak nog ingeleend ook maar zie je het verschil met interne medewerkers niet meer?
batjes
@satya16 juli 2021 21:12
De overheid maakt volgens mij zelden die toegangspaaltjes/scanners zelf. Vele toegangssystemen stammen nog uit de tijd van voor men met rijkspassen ging werken, het is pas sinds vrij recent de norm eigenlijk. Maar die hoeven niet meer te weten dan het rijkspasnr en of de rijkspas authorisatie heeft voor de scanner, de rest regelt Binnenlandse Zaken volgens mij.

Er werken duizenden ITers voor de overheid. Alleen niet direct, maar onder diensten zoals SSC-ICT, DICTU of IVO (er zijn er nog een hele zooi). Beetje afhankelijk van de afdeling (frontoffices hebben meestal de meeste externen bv) is volgens mij slechts ~30% extern.

De overheid is de afgelopen ~5 a 10 jaar heel veel inhouse gaan doen. Nieuwe software wordt veelal door de overheid zelf ontwikkeld en er wordt steeds meer afhankelijkheid bij derden weggehaald.
resistme
16 juli 2021 19:08
Zonder precies te weten hoe het is gegaan is het natuurlijk altijd makkelijk om kritiek te hebben. Waar gewerkt wordt worden fouten gemaakt. Maar de persoon zal toch wel moeten hebben gedacht “goh…. Dat kopiëren/plakken duurt wel heel lang” :)
bytemaster460
@resistme16 juli 2021 19:16
Klopt, dit soort fouten zullen altijd blijven gebeuren, maar om het te minimaliseren zouden de beleidsmakers de privacyvoorvechters wat serieuzer mogen nemen het ongebreideld registreren van gegevens over burgers ook desastreus kan zijn, hoe goed de initele bedoelingen ook zijn.
kodak
@bytemaster46016 juli 2021 19:25
Wat heeft dat met deze situatie te maken? Er leken namelijk alleen gegevens bewaard te zijn die kennelijk nodig waren om als werkgever te hebben?
Dan ligt het toch meer aan gebrek aan kwaliteitscontrole (waar ook nog eens een extern bedrijf voor leek ingehuurd dat juist te weinig van kwaliteit leek te begrijpen)?
bytemaster460
@kodak16 juli 2021 20:06
Dat is dus precies wat ik bedoel. Er zal altijd een goed excuus bestaan voor een lek. Of dat nu kwaliteitscontrole, een falende externe partij of een hack is. Als je een stap eerder minder gretig bent met het massaal registreren van allerlei gegevens over mensen is achteraf het excuus ook niet nodig. In nieuwe wetten en regels ligt de nadruk op het doel van registratie en nauwelijks op de gevolgen als het ergens mis gaat. Men gaat er meestal vanuit de de verdere verwerking correct verloopt.
daellat
@bytemaster46016 juli 2021 22:28
Wat is precies wat je bedoelt? hij geeft toch juist aan dat het niet over massaal geregistreerde data ging maar om noodzakelijke gegevens voor werkgevers?
bytemaster460
@daellat17 juli 2021 04:04
Punt is dat men te veel gegevens als “noodzakelijk” bestempeld. Waarom zou je werkgever je geboorteplaats moeten registreren? Het probleem wordt gerelativeerd door aan te geven dat het alleen om noodzakelijke gegevens ging. Wat je niet registreert kan niet gelekt worden. Daarom zou veel beter gekeken moeten worden wat echt noodzakelijk is.
laptopleon
@bytemaster46017 juli 2021 09:49
Daar kunnen goede redenen voor zijn. Naam en geboortedatum zijn niet altijd een unieke combinatie. Het komt voor dat er twee Jan Jansens of Mohammad Erdogans geboren zijn op dezelfde datum of in dezelfde gemeente, of zelfs beide.

Dan kun je zeggen: Iedereen heeft een uniek bsn. Maar hoe houdt het bsn-register hen dan uit elkaar?
Crazy D
@laptopleon19 juli 2021 12:00
Op basis van het BSN nummer .... 8)7 Daar is dat nummer namelijk voor :P Maar goed, BSN opslaan bij de rijkspas controle lijkt me nog minder wenselijk.
laptopleon
@Crazy D19 juli 2021 13:29
Je hebt niets aan een bsn als dat het enige bekende unieke veld is.

Wat er in de praktijk dan misgaat, is dat iemands bsn-nummer wordt opgevraagd, register vraagt om de naam en geboorteplaats en dan blijkt dat die hetzelfde zijn bij meerdere personen. Dus elke van hen is het dan?

Daarom ontkom je er niet aan meer vast te leggen dan op het eerste gezicht nodig lijkt.
bytemaster460
@laptopleon19 juli 2021 19:49
Wat een nonsens. Geboorteplaats wordt daar nooit voor gebruikt. Het bsn is er om unieke personen uit elkaar te houden. Geboorteplaats registreren door je werkgever is helemaal nergens voor nodig. Binnen de organisatie krijgt iedereen een personeelsnummer om de verschillende werknemers met dezelfde naam en geboortedatum te onderscheiden.
Soldaatje
@resistme16 juli 2021 19:11
Dat valt wel mee denk ik, een Access database met zoveel gegevens zal niet super groot zijn?
Trippol
@Soldaatje16 juli 2021 19:21
65000 entries kopieren uit een database is toch bijna niks voor een moderne computer. Dat duurt hoogstens een paar millisecondes lijkt me.
Michelli
16 juli 2021 19:25
ADR is trouwens de Auditdienst Rijk, niet Accountantsdienst Rijk.

Ik kreeg vandaag ook een mailtje over dit datalek. Vorig jaar ben ik een periode (vanuit BZK) bij JenV gedetacheerd geweest, dus ik vermoed dat ik daarom in de dataset zit.
AuteurAverageNL
@Michelli16 juli 2021 19:27
Whoops, je hebt gelijk! Stond ook zo in de brief aan de Kamer - ik heb het meteen aangepast in het artikel, thanks :)
wica
@AverageNL16 juli 2021 19:35
Niet alleen ambtenaren hebben een Rijkspas, ook ingehuurde krachten krijgen een Rijkspas ;)
MedionAkoya
@wica16 juli 2021 20:14
Die krijgen niet dezelfde Rijkspas als de ambtenaren .. :P Externen krijgen volgens mij Rijkspas E paars en ambtenaren krijgen Rijkspas P blauw en de bezoekers B roze.
batjes
@MedionAkoya16 juli 2021 20:57
Ach ander labeltje, zelfde pas, zelfde mogelijke authorisaties. Zo heb je T en M ook nog. Ligt er ook aan voor welke overheidsdienst externen werken of ze uberhaupt een rijkspas krijgen of niet. Bij een aantal ministeries krijgen externen pas sinds dit/vorig jaar een rijkspas.
Hansbla
@batjes16 juli 2021 21:41
Voor een account met een label "Network en SECURITY" ben je verbazingwekkend openhartig over rijkspas details op een publiek forum. Maar dank voor de informatie. Leuk om te weten.
Glashelder
@Hansbla17 juli 2021 04:30
Wat denk je met die data te kunnen?

Je suggereert hier alsof hij over de schreef gaat. Ik weet vrij zeker dat deze info wel ergens openbaar op de website van de rijksoverheid staat.

Niet via de rijksoverheid, maar volgens mij kan je hier alle info vinden:
https://docplayer.nl/4840...veiligingsautoriteit.html

[Reactie gewijzigd door Glashelder op 17 juli 2021 04:37]

conces
@Hansbla17 juli 2021 06:47
Ijdelheid. Mensen willen vaak meepraten, daarom zitten ze op fora. Combineer dat met hun persoonlijke overtuiging dat ze weten waar zij over praten, controle denken te hebben en dat ook graag willen laten zien... en je hebt een perfecte informatiebron.
laptopleon
@conces17 juli 2021 09:32
Dit effect is er net zo goed bij onzekere figuren, misschien nog wel sterker.
batjes
@Hansbla17 juli 2021 13:55
Die rijkspassen zijn geen staatsgeheim. De labeltjes zijn niet belangrijk en vooral administratief. Zodat je bv de bezoekerspassen niet de verkeerde authorisaties geeft.
HSG
@MedionAkoya16 juli 2021 23:55
P pas is groen en E pas is blauw/paars. :)
Michelli
@HSG17 juli 2021 10:41
Mijn Rijkspas (P) is imo meer blauw dan groen :)
HSG
@Michelli17 juli 2021 23:28
Voor mij lijkt hij wat groenig. Maar goed er staat een "P" op. :P
_root
16 juli 2021 20:51
Het lijkt of het zwart maken van een overheidsinstantie hier tot kunst verheven is.
Doet een ambtenaar het zelf dan zijn de reacties "ze kunnen niets en hebben nergens verstand van, ze hadden en extern bedrijf moeten inhuren".
Is er een extern bedrijf die blijkbaar onderzoek doet naar het gebruik van passen en daar schijnbaar een relatie in wil zoeken, "gaat het weer lekker bij de overheid".

[Reactie gewijzigd door _root op 16 juli 2021 21:32]

kodak
@_root16 juli 2021 21:09
Je lijkt te klagen dat er kritiek is. Wat je daarbij weg laat is waarom er kritiek is: de wet is overtreden. Blijkbaar omdat er onvoldoende controle was en het bedrijf dat was ingehuurd kennelijk niet wist wat het met tienduizenden persoons aan het doen was. Dan is het toch redelijk te klagen dat dat niet goed is gegaan?
_root
@kodak16 juli 2021 21:24
De wet is overtreden omdat de data uit het ministerie is verplaatst, niet dat er teveel gegevens zouden zijn.
Het gaat er niet om dat er kritiek is, dat mag maar wel in redelijkheid, en dat mist te vaak.
Ik weet niet wat deze beste externe medewerker exact, en jij waarschijnlijk ook niet, voor opdracht had en kan dus ook niet vertellen of hij te veel informatie had die hij niet zou mogen hebben.
Het lijkt een fuckup van een externe en op 1 of andere manier kan dat gedraaid worden als weer de schuld van de overheid.

[Reactie gewijzigd door _root op 16 juli 2021 21:31]

kodak
@_root16 juli 2021 22:26
Het lijkt een fuckup van een externe en op 1 of andere manier kan dat gedraaid worden als weer de schuld van de overheid.
Er staat duidelijk dat die medewerker voor het ministerie werkte en de gegevens ongevraagd van het ministerie gekopieerd heeft naar plaatsen waar dat niet de bedoeling is. Daarbij doet het ministerie niet voor niets zelf melding bij de toezichthouder en de tweede kamer, het gaat om een lek onder verantwoordelijkheid van de overheid, die de gegevens had moeten beschermen en dat onvoldoende heeft gedaan. Het enige verdraaien is hier wat jij lijkt te doen: door zomaar diverse belangrijke punten weg te laten om het onterecht klagen op de overheid te kunnen noemen.
Natuurlijk heb je gelijk dat dit ook om de persoon gaat die het werkelijk heeft gedaan, maar die kon niet zomaar bij de gegevens en die kon niet zomaar de gegevens verplaatsen naar waar de overheid die er verantwoordelijk voor is geen controle meer over had.
_root
@kodak17 juli 2021 06:04
Jij en ik weten niet wat de opdracht van deze persoon was, hij kon deze data gewoon nodig hebben voor de opdracht die die aan het doen is. (was hoop ik).
Je kan binnen de ministeries GEEN data van het ene ministerie naar het ander copieren, TENZIJ je een account of rechten hebt gekregen aan beide zijde. Dus ik ga er voor het gemak maar van uit dat hij/zij aan beide zijde toegang nodig had voor het uitvoeren van de opdracht.
En ja, je bent als ministerie verantwoordelijk voor de data die je bezit en laat gebruiken.
Maar je kan toch niet zomaar roepen dat het de fout van het ministerie is als je een (gerenomeerd) bedrijf binnenhaalt die onderzoek moet doen (misschien 1 van de the big 4) en deze werknemer blijkbaar schijt heeft aan de basisregels en de regels van het ministerie. En natuurlijk moet er melding van gemaakt worden, deze data had de tent niet uit gemogen, practice what you preach.
Maar hoe had je dit kunnen voorkomen dan? met de aanname dat hij de data nodig had voor het uitvoeren van de opdracht.

[Reactie gewijzigd door _root op 17 juli 2021 08:01]

kodak
@_root17 juli 2021 09:49
Het lijkt er op dat je geen zin hebt om de brief te lezen, te geloven wat de overheid zelf zegt over verantwoordelijkheid en de beginselen van die verantwoordelijkheid bij persoonsgegevens niet erkent? Erg makkelijk om dat allemaal te negeren om te kunnen klagen dat mede-tweakers iets doen wat je niet lijkt te bevallen.
innerchild
16 juli 2021 19:04
"Volgens Grapperhaus zou het gaan om persoonsgegevens zoals namen, ID- of paspoortnummers, Rijkspasnummers, geslachten, nationaliteiten, geboorteplaatsen en -data en mailadressen van deze medewerkers. Het datalek zou geen privéadressen, telefoonnummers of wachtwoorden bevatten, meldt de minister."

Nee, die priveadressen, telefoonnumers en/of wachtwoorden plukken ze er wel uit via andere online gezette databases met gehackte informatie. Hackers gebruiken allang tools om data uit diverse bronnen compleet te maken. Net zoals facebook dat doet met whatsapp of via instagram..

Wel een blammage hoor, want dit is info die je niet op het internet wilt hebben staan. Met een beetje pech staat nu ook deze info in het grote boek van china, rusland etc..
dabronsg
@innerchild16 juli 2021 19:07
Ik heb nergens gelezen dat het op internet zou staan...
oef!
@dabronsg16 juli 2021 19:50
De term datalek is breder dan dat, gegevens hoeven niet perse publiekelijk toegankelijk te zijn.
PokeFace2
@oef!16 juli 2021 20:17
Ik kan het fout hebben, maar volgens mij is het beschikbaar maken van data die niet nodig is voor het werken al een lek.

Op een beveiligde locatie inloggen op een systeem die vervolgens alleen aan jou persoonsgegevens toont, maar die niet nodig zijn is in principe al een datalek.
CivLord
@PokeFace217 juli 2021 12:55
Klopt. Een lek betekent dus niet automatisch dat de gegevens op straat liggen.

In dit geval was er dus wel een lek, maar zijn de gegevens niet verkeerd terecht gekomen.
dabronsg
@oef!16 juli 2021 21:18
Klopt. Maar ik reageerde op innerchild.
wildhagen
@innerchild16 juli 2021 19:09
Zover bekend staat het helemaal niet publiekelijk op internet. Het is alleen bij 2 andere instanties (GGD en OM) beland, waar het niet thuis hoort.

Maakt het uiteraard niet goed, maar is wel heel wat minder ernstig natuurlijk.
Argantonis
@innerchild16 juli 2021 19:10
"Volgens Grapperhaus zou het gaan om persoonsgegevens zoals namen, ID- of paspoortnummers, Rijkspasnummers, geslachten, nationaliteiten, geboorteplaatsen en -data en mailadressen van deze medewerkers. Het datalek zou geen privéadressen, telefoonnummers of wachtwoorden bevatten, meldt de minister."

Nee, die priveadressen, telefoonnumers en/of wachtwoorden plukken ze er wel uit via andere online gezette databases met gehackte informatie. Hackers gebruiken allang tools om data uit diverse bronnen compleet te maken. Net zoals facebook dat doet met whatsapp of via instagram..

Wel een blammage hoor, want dit is info die je niet op het internet wilt hebben staan. Met een beetje pech staat nu ook deze info in het grote boek van china, rusland etc..
Heb je de post helemaal gelezen? De data is bij 2 andere overheidsinstanties terecht gekomen. Het stond niet publiekelijk op het internet.
Cluefull
@Argantonis16 juli 2021 20:06
Hoe is het op het netwerk van de GGD GHOR gekomen? Het OM? Nergens staat, dat het wel of niet op een via internet toegankelijke plek stond. Ook niet, dat het via een USB-stick is gegaan.
CAPSLOCK2000
16 juli 2021 22:34
Complimenten aan diegene die het lek gevonden en gemeld hebben.
Ze hebben het lek gevonden en gedicht voor iemand er misbruik van heeft kunnen maken.
En wat je verder ook vindt van de GDPR/AVG, het werpt z'n vruchten wel af. 10 jaar geleden had geen haan hier naar gekraaid.
litebyte
@CAPSLOCK200016 juli 2021 22:39
Correct! :) Maar 10 jaar geleden was het ook nog niet verplicht om te melden :)
jongetje
16 juli 2021 22:39
Lekker efficiënt om 3 onderzoeken te starten. Kost allemaal bakken met geld, daar kun je beter goede procedures voor laten inregelen.
fre0n
@jongetje17 juli 2021 08:39
En die procedures moeten ze dan gaan verzinnen, en maar duimen dat ze dan ook de oorzaak van dit lek hebben gedicht?
jongetje
@fre0n17 juli 2021 08:41
1 goed onderzoek lijkt mij voldoende. Dan kun je het geld van het 2e onderzoek gebruiken voor de procedures. En dan hoeft het geld van het 3e onderzoek nooit uitgegeven te worden.

Wat nu als elk onderzoek een andere uitkomst heeft?
fre0n
@jongetje17 juli 2021 15:17
Ze kunnen geen andere uitkomsten hebben, omdat de onderzoeken allemaal een ander doel dienen. Eentje is forensisch, eentje is technisch en eentje is precedureel
theeck
16 juli 2021 22:55
De ingehuurde medewerker doet kwaliteitscontroles doet kopieert data naar een privé laptop en neemt die mee het gebouw uit. Hier gaat het woord kwaliteit al compleet de mist in. Dat deze medewerker toegang had tot deze gegevens om zijn werk te doen lijkt me logisch. Maar dat hij/zij ze kopieert? Dat vind ik echt de grootste fout hier. En waarop? Een laptop. Is deze dan beveiligd? versleuteld? Zal wel niet. Wat als deze gestolen was? Ik denk dat hier voornamelijk de medewerker hier toch een beetje kwaliteit mist.....
Drogo
16 juli 2021 19:19
Dit is meer een theoretisch “lek”. En zo serieus zie ik een gemiddeld bedrijf een dergelijk lek niet oppakken.
kodak
@Drogo16 juli 2021 19:29
Dat een bedrijf of overheid groot is wil niet zeggen dat persoonsgegevens overal maar terecht horen te komen en zeker niet op plaatsen waar de verwerkers er niets mee te maken hebben. Dit is dus geen theoretisch lek, het is een lek.
CivLord
@kodak17 juli 2021 13:01
Het is een lek in de zin dat de gegevens gekopieerd zijn en in een andere goed beschermde omgeving terecht zijn gekomen. Het is geen lek in de zin van dat de gegevens openbaar zijn geworden.

Veel mensen gaan bij het horen/ zien van de term 'datalek' er meteen van uit dat de gegevens open en bloot op internet staan.
kodak
@CivLord17 juli 2021 13:39
Zelfs het aannemen dat het om lekken naar beschermde omgevingen gaat is niet juist. De persoonsgegevens zijn namelijk ongeoorloofd uit een omgeving die bescherming had moeten bieden gehaald, naar omgevingen waarvan niet aantoonbaar is dat die voor deze persoonsgegevens bescherming bieden. Dat begon al bij het kopiëren uit het netwerk naar een eigen systeem. Een systeem dat niet zomaar aan de nodige eisen van de personen en verwerker voldoet, waarbij de verwachting niet was dat het deze persoonsgegevens zou verwerken en net zo goed dus besmet kan zijn met een botnet of andere malware om persoonsgegevens te stelen. Daarom is het al een lek: geen controle meer, onduidelijk dat er voldoende controle was en vooral geluk dat een ander die gebreken wel door heeft en daarvan melding doet.
Cluefull
@Drogo16 juli 2021 20:10
ID of paspoortnummer, Rijkspas toegangskaartnummer, geboortedatum, geslacht, enz. Dit is heel serieus, of er verder gelekt is of niet.
satya
@Drogo16 juli 2021 19:48
Ik zou het een mogelijk lek noemen, misschien had de onderzoeker de data wel nodig voor zijn onderzoek en moest er naar bv correlaties gezocht worden over systemen heen.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee