Autoriteit Persoonsgegevens: GGD's moeten betere beveiligingsmaatregelen nemen

De GGD's in Nederland moeten meer maatregelen nemen om de gegevens van Nederlandse burgers te beschermen. De Autoriteit Persoonsgegevens zegt dat de beveiliging nog onvoldoende is en verplicht de koepelorganisatie tot actie.

De Autoriteit Persoonsgegevens controleerde drie systemen die werden gebruikt door de GGD's, die zich verenigen in koepelorganisatie GGD GHOR. De privacytoezichthouder onderzocht daarin de programma's HPZone, HPZone Lite en CoronIT. Dat zijn softwarepakketten die door de 25 regionale GGD's worden gebruikt om het bron- en contactonderzoek uit te voeren. In januari ontdekte RTL Nieuws dat er grootschalige datahandel plaatsvond door werknemers die met het programma werkten. Er is inmiddels besloten de software deels te vervangen, maar de termijn waarop dat gebeurt is niet bekend.

De AP deed vervolgens onderzoek naar de beveiliging van de ict-systemen van de gezondheidsorganisaties. De brief komt naar aanleiding van een datalekmelding, maar ook uit berichten uit de media rondom datadiefstallen en vanuit 'vele bezorgde signalen die de AP hierover vervolgens ontving'. De AP erkent dat de GGD's het door de uitbraak van de coronacrisis moeilijk hadden, maar wijst ook op de grote hoeveelheid gegevens die de zorgorganisaties verzamelen en de aard daarvan. Het gaat om gegevens van 'een uitzonderlijk grote groep burgers', en om medische gegevens die onder de AVG geclassificeerd worden als bijzondere persoonsgegevens. "Het treffen van technische en organisatorische maatregelen die zijn afgestemd op de hiermee gepaard gaande risico’s voor de persoonsgegevens is dan ook van zeer groot belang", schrijft de privacytoezichthouder.

De waakhond keek met name naar de manier waarop de toegang tot gegevens beveiligd was, en naar welke medewerkers toegang hadden tot die gegevens. Ook onderzocht de AP technische maatregelen zoals logging en of gegevens uit systemen konden worden geprint. Uit het onderzoek komen verschillende tekortkomingen naar boven.

Zo konden werknemers bij alle drie de systemen inloggen met alleen een url. Ze hoefden zich dus niet aan te melden via een apart, beveiligd netwerk. Wel was tweetrapsauthenticatie nodig om bij de systemen te komen. Er was bij de meeste GGD's 'geen eenduidig beleid' voor het gebruik van hardware. Daardoor was het mogelijk dat veel werknemers op hun eigen laptops werkten met de gegevens. De AP verplicht de GGD's om wel zo'n beleid op te stellen.

Ook het toegangsbeleid tot de beveiligde systemen was niet op orde. Op het gebied van autorisatietoestemming of -intrekking zijn net als bij laptopgebruik 'geen harde afspraken' gemaakt. Dat zorgde ervoor dat na het grote datalek van januari van dit jaar verschillende werknemers alsnog toegang tot de systemen hielden, ondanks dat ze niet meer in dienst waren. "De AP heeft tijdens het onderzoek geen duidelijk gedocumenteerde afspraken tussen de betrokken partijen aangetroffen, die zijn opgesteld naar aanleiding van het datalek in januari 2021, voor het toewijzen, wijzigen en intrekken van autorisaties", zegt de waakhond. Die afspraken moeten er nu wel verplicht komen. Het gaat om bestaande systemen, maar het beleid moet ook betrekking hebben voor toekomstige.

De GGD's houden tot slot ook geen toezicht op systeemtoegang omdat hun loggingbeleid ondermaats is. Logs worden wel aangemaakt, maar niet met regelmaat gecontroleerd. Dat gebeurde alleen als er een klacht kwam. De GGD negeerde ook een eerdere eis van de AP. Die wilde in september van 2020 dat de diensten geautomatiseerd logs zouden controleren, maar dat gebeurde niet. Pas in januari van dit jaar, nadat RTL meldde over het grote datalek, stapten de GGD's over naar automatisering.

Andere punten waar de GGD's op moeten verbeteren zijn het feit dat werknemers niet zomaar meer data kunnen exporteren, dat zoekfuncties worden beperkt en dat betrokkenen van datalekken beter worden geïnformeerd. Veel van de punten zijn van toepassing op vooral toekomstige systemen. De GGD's willen op termijn de software HPZone en HPZone Lite vervangen, maar daarbij moeten volgens de AP de nieuwe regels en eisen voldoende worden meegenomen.

De AP stelt dat de decentralisatie van de GGD's voor problemen zorgt. Ook zouden er zeker zes partijen betrokken zijn bij het bron- en contactonderzoek die bijvoorbeeld callcenters opzetten, en verschillende ict-leveranciers. Die maken vervolgens weer gebruik van tijdelijk personeel bij bijvoorbeeld uitzendbureaus. De belangrijkste aanbeveling van de AP is dan ook dat de koepelorganisatie en de lokale GGD's 'onderling en met de overige betrokken partijen per direct duidelijke afspraken op het vlak van informatiebeveiliging maken, vastleggen en actueel houden.'

Reacties (81)

GertMenkel

Beveiliging en antivirus

9 november 2021 13:05

Tjonge, de organisatie die nog steeds niet alle mensen van wie data gelekt en verkocht is op de hoogte heeft gesteld, hun eigen logbestanden niet heeft gelezen en gedreigd heeft een journalist aan te klagen omdat ze hun eigen datalek niet onder controle kunnen houden, heeft nog steeds problemen met hun privacybeleid. Wat een verrassing!

Die enorme rush om zoveel mogelijk mensen uit willekeurige callcenters zonder noodzakelijke vooropleiding of screening toegang te geven tot medische informatie kon alleen maar verkeerd gaan, ik snap niet hoe je een overheidsproject kan leiden met zulke kortzichtigheid.

honey @GertMenkel • 9 november 2021 13:51

Ik ben benieuwd hoe jij het zou organiseren. Ik heb wel inzicht in dit soort organisaties, en ik ben oprecht benieuwd hoe jij tijdens een wereldcrisis het zou doen. Roepen dat het beter kan is gemakkelijk, maar niemand verteld hoe het dan zou moeten.

GertMenkel

Beveiliging en antivirus

@honey • 9 november 2021 15:52

Deze software was al in gebruik voor corona, dus de basisconfiguratie, het gebrek aan monitoring en de logging heeft in elk geval niks met de crisis te maken. We hebben het hier over medische gegevens, je wilt van elke rij in de database weten wie wanneer welke informatie op wat voor manier heeft opgevraagd. Als de software je dat niet kan vertellen of dat standaard niet bijhoudt, had deze in mijn ogen eerlijk gezegd nooit in gebruik mogen worden genomen.

Zelfs in de pandemie had men via gemonitorde remote omgevingen in kunnen loggen in plaats van op de eigen laptop. De VOG, die verplicht was, had men kunnen verifiëren voor men het systeem in mocht. De massa-exportknop waarmee de eerste lekken gebeurde, had nooit in de algemene interface van de helpdeskmedewerkers moeten zitten. Aangezien een journalist de nodige informatie wel heeft weten te bemachtigen, is de informatie ergens te vinden. Als de GGD zelf de kunde niet heeft om hier wat aan te doen, zouden ze in dit soort gevallen de hele onderzoekszaak in mijn ogen maar moeten uitbesteden aan een gespecialiseerd bedrijf.

Ik was het eens met het hele "ze doen hun best, ze geef ze tijd"-idee, totdat ze aangaven gerechtelijke stappen tegen de journalist die hun fouten naar buiten bracht te ondernemen. Als een overheidsinstantie faalt en daarna besluit achter de pers aan te gaan, doet dat alle medelijden en vetrouwen die ik had in een klap verdampen.

Sindsdien is de situatie flink verbeterd, maar het datalekverhaal loopt nog steeds. In elk geval voor de slachtoffers van het lek; de GGD zelf heb ik er eigenlijk niet meer over gehoord.

honey @GertMenkel • 9 november 2021 16:38

Even als toelichting op je verhaal, waar ik het grotendeels wel mee eens ben.

HPZone werd in het verleden gebruikt door de NHS van het Verenigd Koninkrijk. De GGD'en zijn dit gaan gebruiken omdat met dacht dat het een goed product was. Op dat moment (en nog steeds niet) waren er zeer weinig software pakketten die de functionaliteit hebben om de taken van de infectieziektebestrijding goed te bedienen. HPZone is een draak van een programma, maar wel werkbaar. Dat er heel veel mis mee is, werd pas duidelijk toen HPZone door zijn hoeven zakte tijdens deze pandemie. Het bedrijf achter HPZone wilde eerst niet meewerken tijdens een audit, maar na een gerechtelijke dreiging ging het toch overstag. Twee ICT bedrijven hebben een audit gedaan. De resultaten waren schokkend. De ontwikkelaar zou geen kennis hebben van de meest gangbare en geaccepteerde theorie over de opzet van een datamodel. Er zaten o.a. meerdere fouten uit de OWASP top 10. Het bleek ook een product van een enkel persoon en het 'bedrijf' was ook zeer klein.Vanaf dat moment zijn ze bezig gegaan met een vervanger, maar het werk tijdens deze uitbraak moest wel doorgaan.

[Reactie gewijzigd door honey op 23 juli 2024 05:35]

Farmeur @GertMenkel • 10 november 2021 12:12

Aan GertMenkel:

je zegt "Als een overheidsinstantie faalt en daarna besluit achter de pers aan te gaan, doet dat alle medelijden en vetrouwen die ik had in een klap verdampen."

Inderdaad. Dan is het voor mij ook over.

Een overheid is van de burgers, is via een keurige procedure opgezet voor en door "iedereen". Het moet niet zo zijn dat die overheid zich tegen die burgers gaat keren, bijna als een vijand.

Stijnvi @honey • 9 november 2021 14:21

Volgens mij dragen de AP en andere organisaties genoeg concrete verbeterpunten aan
Dus er wordt weldegelijk verteld hoe het beter moet
Maar de GGD luistert nou eenmaal niet

honey @Stijnvi • 9 november 2021 14:24

Nee, ze roepen dat er iets verbeterd moet worden, niet hoe. Als je in deze tijd zoiets wilt doen, maar je hebt de mensen niet, je hebt de tijd niet, dan vraag ik me af waar je dat magisch vandaan kunt halen.

Farmeur @honey • 10 november 2021 11:55

Helaas worden argumenten zoals deze (die op zich juist zijn) te vaak gebruikt om misstanden goed te praten of om ermee door te gaan.

Dat ten eerste.

Bovendien is het bijvoorbeeld een feit dat men onvoldoende was voorbereid op een pandemie, terwijl dat wél een eis was (jazeker). Elk jaar heeft de GGD een "zelfonderzoek" moeten doen naar dit aspect. En elk jaar werden alle vinkjes "ja" weer gezet, "ja we hebben dit voorbereid en ja we hebben die en die reserve" enz enz terwijl dat niet waar was. Dan waren ze er weer een jaar vanaf. Zo gaat dat, en degenen die dit invullen, sussen hun geweten met b.v. "mijn baas wil dat dit vandaag nog wordt afgehandeld". Ik zou zeggen: nee, weiger dat dan maar een keer, en zorg dat je collega's het ook weigeren.

Zo zijn er veel redenen om hier best boos over te mogen worden.
Zoals de AP nu dus ook doet.
Prima.

Het is een schande dat hiervoor een separate instantie voor nodig is. Vroeger probeerde of deed een overheid dat zélf. Ander voorbeeld: de Nationale Ombudsman is ook opgezet voor echte schrijnende gevallen, voor de echte blunders van een overigens goedwillende overheid. Maar tegenwoordig gaat de overheid onafgebroken zó ver dat die Ombudsman niet meer gemist kan worden. Dan zeg ik: wat raar dat een overheid het zelf niet meer doet?

Al 1,5 jaar wordt geroepen, en terecht, dat we overal te weinig ruimte hebben, dat we overal op beknibbelen totdat de boel volledig is geoptimaliseerd. Steeds NET niet doen wat er moet gebeuren, de boel NET niet afmaken. Als er dan 1 dingetje fout gaat, stort de hele boel in elkaar.

Er moet meer vlees op de botten, anders kunnen we allerlei problemen en probleempjes niet aan. Maar na die eerste deftige constateringen, gaat men gewoon door. Dus nu stort er elke week wel iets in elkaar. We leren niet, doen niet wat nodig is.

Zie ook mijn andere post over wat de gevolgen zijn.

[Reactie gewijzigd door Farmeur op 23 juli 2024 05:35]

honey @Farmeur • 10 november 2021 14:03

Het is goed te realiseren dat de GGD betaald wordt door de gemeenten en VWS. Al vele jaren geeft o.a. de infectieziektebestrijding van de GGD aan dat ze te weinig personeel hebben. Ze werken ‘onder het waakvlam niveau’ heet dat in de vele onderzoeken. Inderdaad wordt er al jaren gewaarschuwd voor een pandemie zoals deze. Door arts-microbiologen, door artsen infectieziektebestrijding, door instanties zoals het LCI (RIVM).
Je doet net voorkomen dat de professionals bij de GGD graag een vinkje zetten bij ‘ja’, dat is onjuist. Ze zetten al jaren een vinkje bij ‘nee’. Het probleem is dat gemeenten te weinig budget wilden vrijmaken voor een robuuste infectieziektebestrijding in Nederland. Op zich logisch. In de koude fase, als er nog weinig aan de hand is, dan zie je als gemeente weinig terug van je investeringen.
Ik kan nu al voorspellen dat er nog meer uitbraken komen. Mogelijk een stuk ernstiger. Ik durf nu ook al te vertellen dat als corona achter de rug is en vergeten, er weer geen budget is om te investeren in dit alles. Hoewel, misschien dat deze uitzonderlijke situatie wel wat heeft veranderd. In ieder geval veranderde er niks na bijv. de eerste SARS en Mexicaanse griep.
Ik weet hoe hard artsen, verpleegkundigen en iedereen van de GGD werken om dit te bevechten in een vijandige omgeving, met beperkte middelen, binnen een bureacratische landelijk systeem, en Hugo ook nog wel eens onverwacht dingen belooft/roept zonder afstemming met het veld. Het irriteert mij als leken een mening hebben over hoe het zou moeten. Iets van ‘beste stuurlui’.

[Reactie gewijzigd door honey op 23 juli 2024 05:35]

Farmeur @honey • 10 november 2021 14:46

OK, u legt nu uit wat u met uw post van 2 zinnen bedoelde. Dit is al een stuk beter. Jammer ook dat u een post plaatste die nogal ongepast was en daarom als "trollen" werd gemodereerd (9 nov 17:20).

Ik weet ook dat velen hun uiterste best doen, maar dat is het punt niet.

Ik denk dat we het meer eens zijn dan u misschien denkt. Mijn grootste frustratie, die u uit veel posts kunt opmaken, is dat de wereld totaal dol is geworden en dat er tegelijkertijd toch zo veel mensen zijn die hun best niet meer doen. Verder wil ik het erbij laten. Ik vrees dat het onoplosbaar is, en daar heb je dan meteen de vicieuze cirkel (een nog dollere wereld). PS misschien redt de wereld zich in de toekomst nog wel, maar dan niet op basis van "goed begrip, normaal overleg en met normale samenwerking" maar op basis van aanzienlijk negatievere methodes zoals manipulatie, waar je in de digitale wereld gemakkelijker mee wegkomt, omdat ze niet opvallen.

In de jaren 60-70 was de groei enorm, en de discussie ging over "hoe verdelen we de weelde". Nu moeten we op verschillende terreinen terug, en nu is de discussie "hoe verdelen we de pijn". Ik denk dat velen die discussie niet aankunnen en de politiek al helemaal niet.

[Reactie gewijzigd door Farmeur op 23 juli 2024 05:35]

karma4 @Stijnvi • 13 november 2021 15:52

Dat is nu net het grote probleem, ze kunnen enkel aangeven wat niet goed is.
- bestand /database is niet goed
- Controle op medewerkers is niet goed
- rechten zijn niet goed ingeregeld.
Nog nooit iets gezien dat als het zus en zo is ingeregeld dan voldoet het. Kun jij een voorbeeld aangeven van iets dat met die insteek iets gedaan is door de AP?

Een autokeuring gaat uit van een beperkt aantal objectieve technische controlepunten.
Vrijwaart niets van het voorkomen van ongelukken, dat kan nog steeds. Ernstig achterstallig onderhoud wordt wel teruggedrongen. Nee is er geen vrijheid om met wat voor staat auto dan ook zo ,aar de openbare weg op te gaan.

Groningerkoek @honey • 9 november 2021 17:18

Net als veel andere landen, maanden eerder beginnen zodat je het goed op kunt zetten. Vanuit Zwitserland heb ik zoals wel vaker weer met verbazing naar Nederland gekeken, en je zag van te voren alweer aankomen dat het op een ramp zou uitlopen.

Groningerkoek @honey • 9 november 2021 17:51

Niet zo dom doen.

Terwijl wij hier al begonnen met het ontwikkelen van software en een personele structuur om grootschalig inenten en contactonderzoek in goede banen te lijden zat Nederland nog in de "laat maar komen, lang leve de groepsimmuniteit" fase.

Farmeur @honey • 10 november 2021 12:13

wat een vervelende post.

OK, mijn reactie is even kort en krachtig: er is jarenlang gewaarschuwd voor een pandemie zoals deze.

CAPSLOCK2000

Privacy
Beveiliging en antivirus
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming

9 november 2021 13:43

De grote gewetensvraag is hoeveel geld de GGD's krijgen, hoeveel daarvan naar IT gaat en wat kun je voor dat geld verwachten? Het is geen commerciele organisatie die de prijs kan verhogen als er meer geld nodig is.

Ik heb dus maar eens de begroting van een willekeurig GGD opgezocht, ik heb geen idee of dat representatief was. Die club had een budget van ongeveer 8 euro per inwoner voor gezondheid. Omdat er ook nog andere taken gedaan werden was het totale budget van die organisatie zo'n 12 miljoen.
Een andere GGD die ik vond had ongeveer het dubbele te besteden voor een vergelijkbaar aantal inwoners.

Hoeveel zou zo'n organisatie aan IT besteden? Van dat deel zal het grootste deel naar salaris gaan en en het op een na grootste deel naar hardware. Hoeveel blijft er dan over voor software en diensverlening? 1 miljoen per jaar lijkt me al vrij hoopvol voor een klein GGD. Wat verwacht je dan van de kwaliteit en veiligheid?

Hopelijk kunnen de GGD's een beetje samenwerken en samen inkopen maar zelfs in het beste geval zal het IT budget eigenlijk maar klein zijn. We kunnen niet verwachten dat de GGD's even 50 miljoen uit een oude sok halen om hun IT op te knappen.

Dit probleem is overigens veel groter dan de GGD's. In zo'n beetje de hele maatschappij geldt dat echt goede IT duurder is dan het budget van de organisatie die de IT nodig heeft. Dat is onhoudbaar. We spelen al jaren een soort Russisch roulette met onze IT. Als kleine organisatie moet je er op gokken dat je niet gekraakt wordt want dat is onmiddelijk het einde van je organisatie. Maar investeren om dat te voorkomen is onbetaalbaar.
We hebben nu het punt bereikt dat het 'huis' klaar is met gratis rondjes ter reclame. Nu moet er worden gedokt.

We moeten dit probleem zien te verplaatsen naar de leveranciers want de klanten en gebruikers kunnen het zelf niet beoordelen. Dat gaat pas als leveranciers worden beloond voor veiligheid. Dat is nu eigenlijk niet zo. De meeste software wordt gekocht/gehuurd zonder inzicht in de veiligheid en als er iets mis gaat dan wordt de leverancier niet verantwoordelijk gehouden. Meestal kan dat ook niet op grond van het gesloten contract. De meeste IT bedrijven zijn realitisch genoeg om geen garantie te geven bij hacks.
De enige manier die ik zie om dat te bereiken is dat de overheid minimumeisen gaat stellen. Net zoals we dat ook doen met elektrische apparatuur en auto's. Zolang er geen ondergrens is moet iedereen concureren met bedrijven die niks aan veiligheid doen en daarom goedkoop zijn. Daardoor is het voor de rest ook niet mogelijk om daar veel in te investeren. De klanten zien het verschil niet tot het te laat is en dan hebben ze hun geld al uitgegeven.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 05:35]

2pietjuh2 @CAPSLOCK2000 • 9 november 2021 15:36

Het zou volgens mij ook goed zijn voor de kosten als de overheid zelf een serieuze IT department opzet die binnen overheidsorganisaties IT'ers gaat verhuren. Geef die mensen een leuk salaris en zet ze intern weg voor 75 euro per uur. Willen er marktpartijen mee doen voor die prijs? Prima lekker doen uitbesteden/aanvullen.
Nu mag een GGD voor zomaar €1250 per dag(€156/uur) een consultant inhuren om hun systemen op orde te brengen. Dan zou je zeggen: dan krijg je vast en zeker ook een zeer ervaren professional. Maar in de praktijk kan het ook zomaar zijn dat je iemand krijgt van 25 met 2 jaar werkervaring.

Groningerkoek @CAPSLOCK2000 • 9 november 2021 17:17

Goede post, maar deze gaat voorbij aan het feit dat de overheid alle meerkosten die de GGD maakt wegens Corona zoals contactonderzoek allemaal zal vergoeden buiten het normale budget om.

Het probleem van de GGD/Nederland is dat men veel te laat is begonnen met het opzetten van dergelijke programma's voor inenten en contract onderzoek en dus ook met de software waardoor het wegens wat ik paniekvoetbal noem een lelijk en slecht broddelwerk is geworden.

CAPSLOCK2000

Privacy
Beveiliging en antivirus
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming

@Groningerkoek • 9 november 2021 17:28

Het probleem van de GGD/Nederland is dat men veel te laat is begonnen met het opzetten van dergelijke programma's voor inenten en contract onderzoek en dus ook met de software waardoor het wegens wat ik paniekvoetbal noem een lelijk en slecht broddelwerk is geworden.

Ik geloof het helemaal maar toch is het niet het hele verhaal. Als het GGD software bestelt, laat of niet, dan zou daar iets veiligs uit moeten komen. Misschien met weinig functionaliteit maar wel veilig. Maar zo werkt de markt niet. Het GGD kan hoog of laag springen maar er is eigenlijk niet veel te kiezen. Onze ontwikkelmethodes zijn niet inherent veilig. Voor veiligheid vertrouwen we voor een groot deel op de vaardigheid van de programmeur. Dat gaat vroeg of laat dus altijd fout. Als ik bij de bakker een brood koop weet ik zeker dat het brood niet giftig is. Zelfs het allergoedkoopste brood is nog geschikt om te eten. Zo niet dan mag de bakker het niet meer verkopen van de Keuringsdienst van Waarden.

Overigens is mijn oorspronkelijke stelling dat ook als het GGD wel voldoende geld en tijd had uitgetrokken voor 'marktconforme' security dat het eindresultaat niet echt goed zou zijn geworden. Dat als je alleen maar 'goede' software wil laten maken dat geen enkele normale organisatie dat kan betalen. (Organisaties als Google kunnen het wel, maar die hebben een schaal waar ons hele land niet tegen op kan).

Groningerkoek @CAPSLOCK2000 • 9 november 2021 17:57

De klant krijgt wat de klant besteld. Als de klant zegt we laten mensen thuis en op kantoor hiermee werken en die moeten brede toegang hebben om hun werk te kunnen doen regel dat voor ons dan is dat wat de klant krijgt, als de klant vervolgens de bakken bij de uitzendbureau's leeg trekt om met zulke software te werken dan zijn de rapen al snel gaar.

Men had met relatief simpele methoden omtrent controle en het activeren van goede logging niet kunnen voorkomen dat er gelekt werd want uiteindelijk kan iemand alles lekken wat die ziet, maar men had er wel veel eerder achter kunnen komen, en dan ook weten wie het deed. Dit ging fout op de meest simpele manieren en daar is tijd en geld een slecht excuus voor.

Sito @Groningerkoek • 9 november 2021 22:23

Kop. Spijker. Het ligt misschien iets genuanceerder, maar zo gaat het in de IT vaak wel. Even snel iets opleveren doordat de klant minder eisen stelt aan functioneliteit/veiligheid onder het mom van: “doen we later wel, eerst iets werkends opleveren”.

Ik kan je vertellen: dat gebeurd niet. Als leverancier moet je dat gedrag niet goedkeuren, maar ben je ook deel van het probleem.

Security issues worden over de hele breedte gemaakt: van eindgebruikers die er niks van snappen, tot de klant en de leverancier.

karma4 @CAPSLOCK2000 • 9 november 2021 17:32

Verwacht dat het grootste deel van data geld aan communicatie en loon opgaat.
ICT komt als laatste aan bod en dan heet het dat uitbesteding de oplossing is omdat de benodigde kennis niet in huis valt op te bouwen. Dan wordt het op een moment management bij escalatie.
Een kat in het nauw maakt rare sprongen.

Bender 9 november 2021 12:39

Het probleem is dat er geen consequenties zijn.

AP legt boete op, zeg 1 miljoen.
GGD betaald de boete, dit boetebedrag gaat naar de overheid.
GGD naar de overheid "we hebben 1 miljoen te kort, graag bijstorten".
Overheid stort 1 miljoen bij.

Dit is een voorbeeld van de GGD maar geld voor ook voor de belastingdienst en de meeste overheidsorganisaties.

[Reactie gewijzigd door Bender op 23 juli 2024 05:35]

Auteur

TijsZonderH Nieuwscoördinator @Bender • 9 november 2021 12:56

Dit argument mist altijd het punt. Een essentieel onderdeel van boetes is dat daarmee ook meteen de problemen moeten worden opgelost. Doen ze dat niet, dan volgt nog een boete of een dwangsom zodat je dagelijks 10.000 euro moet afdwingen als je het niet fixt. Je kunt dan echt niet aan blijven kloppen bij de overheid dat er meer geld nodig is.

Liberteh @TijsZonderH • 9 november 2021 13:07

Tuurlijk wel. Kom op, zeg. Dit is de overheid en ICT.... Helaas leren we wel vaker niet van het verleden, maar dat je dit zegt bij een onderwerp (overheid, ICT en financiën) als deze doet me denken dat je ergens onder een steen hebt geleefd of bewust niet wil erkennen hoe (ahum) gesmeerd alles nou eigenlijk loopt.

Maargoed, of we het nou op ICT of Corona gooien, maakt niet uit. D'r is genoeg geld. Kijk maar: https://www.rtlnieuws.nl/...apas-handhaving-gemeenten

Zer0 @TijsZonderH • 9 november 2021 13:10

Een essentieel onderdeel van boetes is dat daarmee ook meteen de problemen moeten worden opgelost.

Het afdwingen van de oplossing wordt niet door de boete gedaan, maar door de dreiging van de dwangsom. Eisen van een oplossing onder een dwangsom zou dus voldoen.

Het geld voor de boete moet toch ergens vandaan komen, en kan dus andere kerntaken van de GGD's in gevaar brengen, zoals jeugd- en geestelijke zorg.

Bender @TijsZonderH • 9 november 2021 13:10

De GGD bewijst in corona tijd dat dat prima kan, iets wat de belastingdienst al jaren bewijst.
Het is geen orgaan wat failliet verklaart kan worden, opgedoekt kan worden of zelfs gepauzeerd.

Wat niet wil zeggen dat het niet goed zou zijn volledig opnieuw te beginnen met die organisaties, maar dat gaat toc niet gebeuren.

Floort

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming

@TijsZonderH • 9 november 2021 13:33

Dat is niet hoe boetes werken. Boetes zijn een punitieve sancties en zijn bedoeld om herhaling (ook bij anderen) in de toekomst te ontmoedigen. Zo zijn er bijvoorbeeld overtredingen die niet meer te repareren zijn (bijv. het te laat melden van een datalek) of die dusdanig ernstig/nalatig zijn dat een boete gepast is. Maar die boete staat los van de verplichting om de overtreding alsnog te beëindigen.

Waar ik nog niet achter ben is welke bevoegdheid door de AP hier is ingezet. Het lijk een beetje op de art. 58(2)(d) bevoegdheid om een verantwoordelijke te bevelen om een overtreding te beëindigen. Maar dat staat nergens expliciet genoemd en ik mis over het algemeen een behoorlijke specificatie van hoe dat zou moeten en hoe snel om een fatsoenlijke invulling van art. 58(2)(d) te kunnen zijn. Bovendien mis ik op een aantal punten heldere conclusies en/of onderbouwing. De art. 34 meldplicht is overduidelijk binnen scope maar er wordt geen conclusie getrokken over de naleving ervan. Daniël Verlaan heeft heel expliciet uitgewerkt dat lang niet alle getroffen betrokken zijn geïnformeerd en de AP laat volledig in het midden of dat mag.

Het lijkt erop dat de AP geen beschikking wilde nemen zodat er geen bezwaar en beroep mogelijk is.

edit: Wel terecht om te benadrukken dat het onterecht is om alleen maar naar boetes te kijken. Boetes zijn (vaak) niet de meest ingrijpende of effectieve bevoegdheid die de AP in kan zetten.

[Reactie gewijzigd door Floort op 23 juli 2024 05:35]

IJzerlijm @TijsZonderH • 9 november 2021 13:06

Dan moeten de GGD's maar een weekje dicht om alles goed te patchen en alles goed voor mekaar te krijgen. En pas weer open na goede pen tests.

[Reactie gewijzigd door IJzerlijm op 23 juli 2024 05:35]

Verwijderd @TijsZonderH • 9 november 2021 13:56

Een essentieel onderdeel van boetes is dat daarmee ook meteen de problemen moeten worden opgelost. Dus je denkt dat de problemen die men 'destijds' had, nu opgelost zijn of worden? Is dat niet een beetje naïef als je kijkt naar het verleden?

Doen ze dat niet, dan volgt nog een boete of een dwangsom zodat je dagelijks 10.000 euro moet afdwingen als je het niet fixt. Je kunt dan echt niet aan blijven kloppen bij de overheid dat er meer geld nodig is.
Dat doen ze niet, ze gaan dan klagen dat ze hun werk niet meer kunnen uitvoeren en dan wordt de AP wel teruggeroepen (of gewoon van tafel geveegd). Hier een voorbeeld van een andere overheid instelling die er ook lak aan heeft:
nieuws: Belastingdienst overtrad AVG bij toeslagenaffaire
nieuws: Staatssecretaris: Belastingdienst voldoet pas in 2024 aan AVG

karma4 @TijsZonderH • 9 november 2021 17:36

Sommige problemen zijn onoplosbaar. Bepaalde wetgeving valt niet the handhaven dan wel onrealistisch, denk eens aan het boerkaverbod. Dee GGD's waren nooit opgezet voor een pandemie, dat kun je niet acteraf gaan eisen dat het wel zou had moeten zijn. Dan gaat het om beperkte aantallen.

Nog los van het feitt dat GGd's verplicht met persoonsgegevens omgaan en dat die van elders ook ingezien moeten kunnen worden.. Hier gaat de AP raar door de bocht door wat in hun ogen privacy is boven de volksgezondheid te plaatsen.

Een wonderlijk in de tekst de GGD's zijn nooit gedecentraliseerd. De gemeentelijke gezondheidsdiensten (ooit boven de 300) zijn samengaan ofwel gecentraliseerd zodat er nu 25 zijn. https://www.ggd.amsterdam.nl/ggd/organisatie/ggd/ Als dat al fout zit in het verhaal wat zit er dan nog meer niet goed?

Ik verwacht VPN's met virtuele machines (citrix) maar lees er niets over.
https://helpdesk.ggd.amsterdam.nl/

[Reactie gewijzigd door karma4 op 23 juli 2024 05:35]

Farmeur @karma4 • 10 november 2021 12:20

Misschien bedoel je dat de AP zijn verhaal wat zorgvuldig had moeten opbouwen?

Het helpt misschien als de AP niet structureel overbelast is, ook al zo'n schande.

De AP wordt beschouwd als een zeer belangrijke organisatie, maar krijgt niet het geld dat daarvoor nodig is. De AP geeft al meer dan eens aan dat ze te weinig kunnen doen voor het geld dat ze krijgen. Ze hebben een verdubbeling nodig. Het gaat niet eens om veel geld, maar de regering weigert het. Onvoorstelbaar.

Nu stop ik, ik word een beetje misselijk.

karma4 @Farmeur • 13 november 2021 15:37

Beterschap met je misselijkheid.

Structureel overbelast? Daar geloof ik niets van. Ja, de Stasi was ook structureel overbelast maar dat zul je vast niet bedoelen. Ik wordt erg droevig van die vreemde houding naar een sleepnet weens privacy. De boeken van Eric Arthur waren bedoeld als waarschuwing, niet als handleiding.

crzyhiphopazn 9 november 2021 12:27

In tijden van CPU tekorten is BYOD denk ik wel ingecalculeerd in het aanmaken van de systemen.
(Groot vermoeden van mijn kant dat gezegd hebbende)
Dat je niet in de systemen apart moet inloggen vind ik zeker een kwalijke zaak.

RBAC zie ik niet echt toegepast worden.
En controle op uitdienst treding al helemaal niet.

MAN MAN MAN. Dat ic.m. AVG en Bijzondere persoonsgegevens erbij is gewoon vragen om een keiharde hoge boete.

[Reactie gewijzigd door crzyhiphopazn op 23 juli 2024 05:35]

honey @crzyhiphopazn • 9 november 2021 12:42

Je moet in alle systemen apart inloggen. Je kunt deze systemen benaderen via een url, maar je moet via een authenticatieapp een tijdelijk paswoord invullen. Daarnaast zijn rechter per gebruiken ingesteld.

Het probleem is dat heel veel mensen gebruik moeten maken van deze systemen. Helemaal waterdicht krijg je het niet. Daarnaast was er ook te weinig tijd om alles opnieuw te ontwikkelen. Een nieuw systeem Corona Contact wordt nu net deels geïmplementeerd, zou al in maart dit jaar klaar moeten zijn.

Simon Weel @honey • 9 november 2021 13:42

Je kunt deze systemen benaderen via een url, maar je moet via een authenticatieapp een tijdelijk paswoord invullen.

Ah, dat is een helderder verklaring dan:

Zo konden werknemers bij alle drie de systemen inloggen met alleen een url. Ze hoefden zich dus niet aan te melden via een apart, beveiligd netwerk. Wel was tweetrapsauthenticatie nodig om bij de systemen te komen.

Krulliebol @Simon Weel • 10 november 2021 03:45

Volgens mij bedoelde Tweakers daarmee te zeggen dat de omgeving niet was afgeschermd met een VPN.

Iblies @crzyhiphopazn • 9 november 2021 12:42

BYOD is meer een kostenbesparing en gemakzucht vanuit het management dat gelijk een wit voetje haalt bij de medewerking “die het zo handig vinden”.

ICT die 10 verschillende type telefoons, 20 verschillende laptops, en daarnaast ook nog eens vragen krijgt waarom bepaalde functies toch niet werken op die dure Ipad, die maak je er niet blij mee 🙂

Hardware is tegenwoordig zo snel mbt basistaken dat dat niet duur hoeft te zijn en daarnaast komen er ook meer bedrijven die het als service aanbieden. Dan kan het zijn dat je als nieuwe medewerker een laptop van 2 jaar oud krijgt oid, maar kwa veiligheid makkelijker.
Het hippe gedoe van lekker meenemen wat je leuk vind en daar een vergoeding wordt steeds moeilijker houdbaar omdat het meer kost door het veilig houden.

crzyhiphopazn @Iblies • 9 november 2021 12:52

Kosten besparing valt wel mee als er GEEN hardware geleverd kan worden.
Ik heb daar nu ook mee te maken binnen mijn project.
2 maanden levertijd voor 25 laptops.

Veiligheid zou boven alles moeten -> Zero tolerance beleid voor sowieso Overheids systemen.

mvrhrln @crzyhiphopazn • 9 november 2021 18:25

ik krijg geen eens meer offertes op tijd binnen bij aanvragen voor laptops (dev machines),

coolkingler1 @crzyhiphopazn • 9 november 2021 13:43

Je moet wel apart inloggen bij een systeem. Ik werk er mee en het is een beveiligde omgeving waar je in moet loggen.

crzyhiphopazn @coolkingler1 • 9 november 2021 14:24

Zo konden werknemers bij alle drie de systemen inloggen met alleen een url. Ze hoefden zich dus niet aan te melden via een apart, beveiligd netwerk. Wel was tweetrapsauthenticatie nodig om bij de systemen te komen

Dit is niet echt secure werken.
URL is dus zoals ik het lees van een BYOD te bereiken.

Enige security laag is dus dat er 2FA is ingesteld, maar lees daar geen VPN verbinding.

coolkingler1 @crzyhiphopazn • 9 november 2021 14:26

Heb het zelf nooit geprobeerd maar zou kunnen, met een URL.

Ze zijn wel strenger geworden met beveiliging en checken wat je in CoronIT doet. Werk er al een tijd.

crzyhiphopazn @coolkingler1 • 9 november 2021 14:34

Had vanaf begin al gemoeten.
Helaas zijn er maybe door een crunchtime Risico aanvaard die niet compliant zijn met de AVG wetgeving.
Daar is in mijn ogen vooral met Overheidssystemen geen uitzonderingen op mogelijk en al helemaal niet als het om bijzondere persoonsgegevens gaat.

Niks ten nadelen van dat jij daar werkt alleen de eigenaar van de systemen kan van mij part minder budget krijgen volgend jaar om hun zaken in orde te krijgen.
misschien dat ze dan ene keer ahcter hun oren krabben en dan aan project management gaan doen en de Risk en Compliancy sectie goed bespreken.

Ik als systeembeheerder heb daar ook mee te maken en ik ging voor de AVG wetgeving er al secuur mee om.
Need to know basis.
Komt ook door een project waar ik heb gewerkt -> Zero tolerance beleid. Gescheiden netwerken voor interne en externe systemen.

Verwijderd @crzyhiphopazn • 9 november 2021 13:47

Dit krijg je als je in een systeem (overheid) werkt zonder ooit gevolgen hoeven te verwachten. Boetes zijn ook maar kleine ongemakken voor de organisatie want wat willen ze doen? De boel afsluiten? En net of iemand ooit die boete daadwerkelijk gaat betalen? Aan wie?

Er is inmiddels besloten de software deels te vervangen, maar de termijn waarop dat gebeurt is niet bekend.
Dit is ook zo'n rookgordijn... Ja, maar we zijn bezig om dit te vervangen!

GekkePrutser 9 november 2021 12:29

Goed punt, maar ik denk dat ze er deze winter geen tijd voor gaan hebben.

Natuurlijk zijn het niet dezelfde mensen die aan het bed staan en die de IT fixen, maar het is ook een kwestie van aandacht van het leiderschap binnen de organisatie en van budget. We gaan net weer een fase in van 'alle hens aan dek'.

Ik vind uit de opmerkingen in het artikel een beetje te veel aandacht voor procedures en 'beleid'. Een beleid van 'niet op prive laptops werken' heeft weinig zin als je het niet afdwingt, in mijn ervaring. Ik werk zelf met endpoints in een grote multinational en mensen een papiertje laten tekenen dat ze iets niet gaan doen, werkt gewoon niet. Een week of twee later moeten ze ergens aan werken en dan hebben ze er opeens 'geen actieve herinnering' meer aan. Dat is niet alleen iets uit de politiek

En dingen als logging zijn teveel achteraf.. Als je iets detecteert is het kwaad al gedaan.

Ik zie het meeste in cloud-based DLP oplossingen zoals Azure Information Protection (en er zijn alternatieven van andere bedrijven) met klassificaties en automatische encryptie waarbij de bestanden gewoon waardeloos zijn als je ze kopieert naar een onbeheerde computer. We zijn nu zoiets aan het implementeren en het is veelbelovend. Het is alleen een berg werk om alles over te zetten en een klassificatie te geven. Maar het is wel iets om naartoe te werken. Dan heb je echt de controle over je eigen documenten. Eigenlijk is het een soort DRM voor je eigen informatie.

Het is niet mijn eigen project maar ik zie er wel de meerwaarde van in. Zeker omdat je nu te maken hebt met wetgeving waarbij je dat soort dingen moet kunnen bewijzen in plaats van alleen maar beloven.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 05:35]

honey @GekkePrutser • 9 november 2021 12:45

Het werken op je eigen laptops snap ik wel. Je kunt niet als organisatie voor honderden tijdelijke gebruikers een eigen laptop kopen. Hoewel sommige GGDén dat geloof ik wel doen. In ieder geval heeft iedereen een iPhone gekregen weet ik. Gelukkig is er onbeperkt geld voor deze pandemie.

GekkePrutser @honey • 9 november 2021 12:50

Daar zijn gewoon huur/lease oplossingen voor. Als je een medewerker kan betalen dan kan er een laptop ook vanaf. Of desnoods een gezamenlijke computer op kantoor. Of thin clients. Er is zoveel mogelijk.

Met persoonlijke informatie op een prive laptop werken zou anno 2021 echt uit den boze moeten zijn. Tenzij streng gereguleerd met BYOD beheer, maar het probleem is dat desktop besturingssystemen zo 'open' zijn dat je er altijd wel omheen komt omdat je de gebruiker geen admin rechten kan ontzeggen op de eigen computer. Op mobiel heb je dat probleem veel minder.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 05:35]

honey @GekkePrutser • 9 november 2021 12:55

Kun je 100 laptops meteen huren? Lijkt me best een behoorlijke voorraad.

Ik weet niet zeker hoe ze het bij de GGD precies geregeld hebben. Wat betreft werken op je privé device, dat is best gebruikelijk en doe ik ook als arts. Het is helemaal niet handig als ik twee laptops, twee iPads en twee telefoons bij me draag. Ik heb twee telefoons, meer dan genoeg. Als ik al moet inloggen op een systeem, dan is dat extra beveiligd met een autheticatiecode. Dat lijkt me wel genoeg, toch? En ja, ik zou data kunnen copy-pasten, maar dat kan werkelijk iedereen en lijkt me ook niet te voorkomen als je kwade bedoelingen hebt.

[Reactie gewijzigd door honey op 23 juli 2024 05:35]

GekkePrutser @honey • 9 november 2021 17:20

Dat lijkt me wel genoeg, toch?

Nee, absoluut niet. Sinds GDPR heb je als organisatie een behoorlijke verantwoordelijkheid op het gebied van persoonsgegevens. Daarvoor eigenlijk ook al maar toen werd die niet afgedwongen.

Als grote organisatie moet je er zeker van zijn dat mensen geen rare dingen uithalen met die data. En ook wil je voorkomen dat ze gehackt worden en als het gebeurt wil je dat de schade beperkt blijft en niet over het hele netwerk rondwaart. Dus je wil je laptops "hardenen" (met gebrek aan een beter woord in het Nederlands). Als je op je prive laptop werkt, moet je bij de meeste mensen al blij zijn als ze een antivirus hebben en een behoorlijk wachtwoord. Vaak werken ze met admin rechten waardoor phishing exploits zo door kunnen gaan richting overname van de machine. Tegenwoordig zien we het meeste aan phishing binnenkomen via Office exploits. Of er komt een key/screenlogger binnen.

Bij ons hebben de workstations geen admin rechten,zijn allemaal versleuteld, goede antivirus waarvan we weten dat die up to date is (anders kom je het netwerk niet eens op), goede EDR (Endpoint Detection and Response) waarbij er meteen gesignaleerd en gereageerd kan worden als er wat gebeurt. USB drives kunnen uitgeschakeld worden of verplicht moeten versleuteld. En natuurlijk de documentbescherming (DLP) die ik hierboven aanhaalde. En dat zijn alleen nog de technische maatregelen. Opleiding van gebruikers helpt ook een hoop (meer dan alleen een beleidspapiertje laten tekenen van "foei dit mag niet" en er nooit meer naar omkijken)

We gebruiken hiervoor het 'clean source' principe. Dat betekent dat je alleen vanaf een veilige computer in veilige omgevingen kan. En eventueel onveiligere omgevingen (zoals internet), maar niet andersom. Een prive computer past daar totaal niet in want dat is een grote onbekende factor.

Ik snap dat dat voor een arts die zelfstandig werkt wat zwaar is maar zoiets zou je eigenlijk uit willen besteden. Maar voor een organisatie als een GGD kan je niet meer zonder. Je bent een veel te groot doelwit voor hackers. Geen wonder dat het zo vaak misgaat. Vandaag nog de mediamarkt bijvoorbeeld die praat over een losgeld van 50 miljoen. Is geen GGD nee, maar zoals het artikel al noemt is dat ook gatenkaas.

Het hele wannacry/petya/eternalblue gebeuren heeft de grote bedrijfsmarkt maar ook de hacker groeperingen wakkergeschud en sindsdien is alles in een stroomversnelling geraakt. Security stond opeens weer op de kaart in plaats van dat het een voetnoot was. De hele "cowboy IT" die je eigenlijk overal (!) wel zag is inmiddels wel verdwenen. maar bij de kleine spelers nog niet. Denk aan dingen die eigenlijk te idioot voor woorden zijn.. Overal hetzelfde local admin wachtwoord op alle PC's, dus een hacker kan je hele netwerk door als die binnen is. Vaste wachtwoorden in de trant van '1234' voor daemons die belangrijke diensten draaien. Lijstjes met wachtwoorden of data op onbeveiligde cloud shares enz. Maar het is een kwestie van de zwakste schakel en de endpoints (de computer van de gebruiker) begint dit steeds vaker te worden.

En ja 100 laptops is geen probleem. Er is een hele industrie die daarin voorziet. En ook in het beheer ervan trouwens.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 05:35]

V-Hyper @honey • 9 november 2021 13:12

Ja, het is mogelijk om laptops met 100-en tegelijk te huren.

Mauricevsdb 9 november 2021 13:25

Het blijft te zot voor woorden dat ik CoronIT vanuit huis in vmware draaide, het enige wat nog ontbrak was een scraper... maargoed, in soortgelijk posts heb ik hier genoeg woorden over gezegd.

mschuurman @Mauricevsdb • 9 november 2021 13:37

Reactie van een betrokken ontwikkelaar: In CoronIT zit gewoon audit/logging op alles wat je als planner/zorgprofessional doet, dus je werd dan gewoon dik betrapt hoor. De rede dat je thuis moest werken was uiteraard logisch, begin 2020 was nog niemand gevaccineerd en alle planners in een ruimte zetten met toezicht was dus geen optie.

Stijnvi @mschuurman • 9 november 2021 14:20

Die logging is leuk, maar volgens het artikel werden die dus helemaal niet gecontroleerd
Dus werd er ook niemand betrapt
Tot het grote datalek dus

mschuurman @Stijnvi • 9 november 2021 18:47

Even wat context info: in die periode was er enorme paniek, de pandemie kwam razendsnel en er was gewoon geen nationaal infectieziekte EPD. En al helemaal niet een systeem dat was bedoeld om door slecht gescreend personeel gebruikt te worden, die nog niet eens een VOG hadden aangeleverd.

Farmeur @mschuurman • 10 november 2021 11:44

Op dit moment is het november 2021. Dat is bijna 1 jaar verder. 1 jaar!
De GGD wist dat ze die beveiliging had verwaarloosd en ze deed het opzettelijk (uitspraak van de minister, vorig jaar).

Toen de diefstal van gegevens bekend werd, heb ik stevige mails gestuurd en na enige moeite zijn mijn gegevens allemaal gewist. Tenminste dat neem ik aan (en dat zal ook wel gebeurd zijn - er is geen reden om ook dááraan te twijfelen).

Sindsdien heb ik er enorm tegenop gezien om me nog te laten testen.
Jawel. Want dan sta je onmiddellijk opnieuw in dat lekke systeem.

Omdat ik tegelijk erg betrokken ben, trek ik daarbij wel de consequenties. Ik heb daarom extra moeite gedaan om niet besmet te raken. Of om überhaupt verkouden te worden. Want als je niet ziek wordt, ben je uiteraard alles vóór en dan hoef je je niet eens te laten testen.

Wat gebeurt hier dus nu, als je alles vanuit helikopterview bekijkt?
Ik raak behoorlijk in de stress en dat gebeurt DOORDAT die systemen niet goed zijn ingericht.
Zoals gezegd komt dit ook doordat ik betrokken ben, en ik probeer "dus" alles tegelijk: niet geregistreerd raken bij de GGD, maar ook niet ziek worden.

Ik schat dat 75% van alle Nederlanders hier niet eens over nadenken. De meeste Nederlanders willen of kunnen deze belasting in hun hoofd niet erbij hebben. Ze kunnen het niet "handlen".

Ze doen dus dingen die niet goed zijn. Als gevolg van die wandaden van de GGD, nota bene overheid. En dit is een uitstekend voorbeeld waarom de huidige data/privacycrisis zo schadelijk is. Men heeft het niet eens door, maar de maatschappij raakt hierdoor beschadigd.

Ikzelf ben in de stress maar ik weet tenminste nog wat ik doe. De rest laat zich testen (met onmiddellijk risico's van datamisbruik door derden) of laat zich NOOIT meer testen. Beide is fout, maar zo gaat het.

Het is even erg als de toeslagenaffaire.
Maar men leert er niets van, niet de GGD, niet de wetgever.
Want het recente wetsvoorstel voor opsporing van fraude, is opnieuw een dikke kans op een nieuwe toeslagenaffaire.
In het geval van de toeslagenaffaire werd meermaals keihard beloofd dat het binnen x maanden opgelostg zou zijn. Ook DAT is niet gebeurd.

De data/privacycrisis is dus echt een feit en gaat net zo erg worden als de klimaatcrisis.

alionfire @mschuurman • 9 november 2021 16:37

Logging heeft zowat elk systeem wel. Het probleem is alerting / monitoring van de logging. En daar gaat het bijna altijd mis, dat reactief handelen.

mschuurman @alionfire • 9 november 2021 18:42

Nee, het gaat niet om http-accesslog, het gaat om een log welke (delen van) dossiers worden geopend. Zorgverleners/leidinggevenden met meer rechten kunnen dan netjes in een UI zien wat alle medewerkers allemaal hebben uitgespookt.

Als je weet dat je baas eenvoudig mee kan kijken wat je uitspookt is de drempel echt wel hoger om misbruik te maken hoor.

alionfire @mschuurman • 9 november 2021 20:23

Dat is totaal niet waar het om gaat bij de GGD'en. Er zijn diverse doelapplicaties met duizenden logs op een dag en geen SIEM of leuk via een UI om verdachte activiteiten op tijd te signaleren. Dat gaat niet alleen over webapps, maar ook interne apps.

Wij hebben bij drie grote GGDen een project gedaan en je ziet het probleem keer op keer terugkomen. Dit gaat verder dan alleen de Corona-afdelingen.

kdekker 9 november 2021 17:19

IT op orde brengen (als dat al in korte tijd zou lukken) is nog niet hetzelfde als 'ethiek afdwingen'. Je hebt regels nodig en controle mogelijkheden, maar wie haalt het in z'n hoofd om deze gegevens door te verkopen? Dan hebben we het toch over ethiek en integriteit?

De reactie zal vast zijn: meer regels, nog meer regels, nog meer controleurs, en dan als het fout blijft gaan? Ontslag van betrokken personen gaat niet helpen - zoals dit artikel zegt - als datahandel op grote schaal plaatsvindt. Met meer regels dwing je geen ethiek af. Een beetje integer bestaat niet, lijkt me....

mvrhrln @kdekker • 9 november 2021 18:35

" maar wie haalt het in z'n hoofd om deze gegevens door te verkopen? Dan hebben we het toch over ethiek en integriteit?"
Yup, je ziet steeds vaker bij mensen dat het geld heerst, alles voor "de money", het is een trieste zaak en weer aan de overheid om hier iets aan te doen. Verder is het natuurlijk als je afhankelijk bent van goedkope uitzendkrachten de vraag of je die met bepaalde gevoelige gegevens kan en/of mag laten omgaan.

kdekker @mvrhrln • 9 november 2021 19:19

Ik weet niet of de overheid in staat is om de ethiek van de burger te verbeteren, als ze zelf in zoveel opzichten ook niet het goede voorbeeld geeft. De affaires buitelen over elkaar heen.

Maar ik denk toch dat in dit geval niet direct, of louter naar 'vadertje staat' moet wijzen, maar ook burgers zelf aan mag spreken. Eerlijkheid, integriteit en een hongerloontje zijn lastige c.q. onmogelijke combinaties, maar ik weet niet of in dit geval sprake van is. Naar verluid betaalt de GGD prima (bijv. t.o.v. de horeca). Maar goed, fraude en zucht naar het grote geld is niet beperkt tot minder verdienenden. Kortom: ik zou het hier nog niet direct op 'geld' gooien. Volgens mij gaat het hier over waarden en normen.

prodesk 9 november 2021 13:36

Zou het niet kunnen komen door de grote fragmentatie? Er is immers geen centrale regie.

PcDealer 9 november 2021 14:37

Ik heb een keer aangegeven dat Microsoft ISA Server 2004 al jaren end of extended support is die gebruikt wordt bij de GGD voor Verint. Maar ze vonden het niet nodig om te veranderen. Hoezo begin je al met verouderde software, ook als startup? De organisatie is inherent houtje-touwtje.

Ntr- 9 november 2021 12:40

Ik snap niet waarom ze met hun eigen laptops laten werken met zulke gevoelige data. Beter kan je een Azure Virtual Desktop hosten waarbij ze ook niet vanuit de sessie naar hun lokale computer mogen copy pasten enz. Dat zorgt al voor een betere beveiliging en de data zit niet zomaar op de laptop van de medewerker zelf. Daarnaast kan je ook policie's eenvoudiger toepassen en wanneer iemand uit dienst is kunnen ze er niet meer bij

Arfman @Ntr- • 9 november 2021 12:55

AVD was er in het begin van de pandemie nog niet. Maar ondertussen hadden ze al lang iets beters opgetuigd moeten hebben.

V-Hyper @Arfman • 9 november 2021 13:14

AVD, toen nog WVD, was er wel degelijk. Bron

Arfman @V-Hyper • 9 november 2021 13:16

Ah ja, je hebt gelijk. Ik had het anders moeten verwoorden:

"AVD was in het begin van de pandemie nog niet bruikbaar in productie". Kan het weten, zelf mee getest bij ons. Vrij instabiel, veel zaken die niet werkten of slecht te beheren waren, verplichte dataopslag in de VS, etc. Ondertussen allemaal zaken die opgelost zijn.

bussie66 @Ntr- • 9 november 2021 12:57

Snap niet waarom GGD uberhaupt toestaat dat je met eigen apparatuur binnen de GGD kan werken.

oef! @Ntr- • 9 november 2021 13:04

Je moet inventariseren, analyseren, inhuren, migreren, beheren, ondersteunen en beveiligen, alles binnen procedures. Je hebt te maken met ggds die los van elkaar opereren en niet afstemmen, met ministeries die het geld op moeten hoesten, bakken met stakeholders, tig leveranciers, ambtelijke cultuur en gebruikers die opgeleid moeten worden. Uiteindelijk dient alles te voldoen aan wetten en certificeringen.

De technische taak is al machtig maar de planmatige/organisatorische kant van dit verhaal is nog veel complexer.

[Reactie gewijzigd door oef! op 23 juli 2024 05:35]

mvrhrln @oef! • 9 november 2021 18:30

Blijf het een beetje raar dat de GGD (zowel landelijk als lokaal) niet op een operatie als dit is voorbereid.
Dit soort planning, software, en processen hadden natuurlijk al lang en breed klaar moeten liggen. Was het niet om in te zetten voor Corona, was het misschien wel wat anders geweest. Naast het tekort op de IC's etc, is dit toch echt iets voor de landelijke politiek om naar te kijken. Het zijn allemaal te korten in het maken van beleid, of nog erger het ontbreken van beleid en/of visie.
Word eens tijd dat die diknekken in de top van dit soort organisaties eens worden aangesproken en afgerekend op hun wanprestaties.

[Reactie gewijzigd door mvrhrln op 23 juli 2024 05:35]

Zer0 @Ntr- • 9 november 2021 13:11

Beter kan je een Azure Virtual Desktop hosten..

En waar gaat het geld vandaan komen om die te bekostigen?

Waterfietser @Zer0 • 9 november 2021 13:26

Waar komt geld vandaan bij de Overheid?

Steeds zie je in nieuws berichten:

"Er komt geld voor dit en voor dat"
"Er wordt geld beschikbaar gesteld voor ..."

Maar bijna nooit uit welke pot het komt... en dat gaat om een paar duizend euro. Zodra "iemand" het nuttig vind, komt het er. Er wordt gewoon geld gemaakt; of uit andere (minder belangrijke) potjes weggehaald (volgens mij).

Ntr- @Zer0 • 9 november 2021 13:55

Wat denk je van de test samenleving en de fieldlabs waarbij miljarden voor gegeven is?

Zer0 @Ntr- • 9 november 2021 14:06

Wat denk je van de test samenleving

.... ook dat is dus de GGD

Waterfietser @Zer0 • 9 november 2021 16:00

Ik antwoordde meer op de vraag "Waar gaat het geld vandaan komen".
Want dat is niet echt altijd transparant bij de overheid.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (81)

Sorteer op:

Weergave: