Noord-Ierse politie deelt per ongeluk namen en werklocaties van alle medewerkers

De Police Service of Northern Ireland heeft te maken gehad met een datalek. De politie deelde per ongeluk een spreadsheet met persoonsgegevens van medewerkers. De spreadsheet bevatte onder meer de namen en werklocaties van de medewerkers.

De spreadsheet bevatte gegevens van alle ruim 10.000 medewerkers van de PSNI, schrijft onder meer de BBC. De Noord-Ierse politie deelde de spreadsheet als onderdeel van een Freedom of Information-verzoek. Daarmee kunnen burgers informatie van publieke instellingen opvragen, net als met Woo-verzoeken in Nederland.

In de spreadsheet stonden de voorletters en achternamen, rangen en werklocaties van politieagenten en personeelsleden, waaronder enkele medewerkers van inlichtingendiensten, schrijft de FT. Er stonden geen thuisadressen in de spreadsheet. De informatie was te vinden op een publieke website voordat het na een aantal uren offline werd gehaald.

Chris Todd, hulpchef bij de PSNI, verontschuldigt zich tegenover Britse media en zei dat de fout 'onacceptabel' is. "We opereren op dit moment in een omgeving waarin er een ernstige terrorismedreiging voor onze collega's speelt en dit is het laatste wat iemand in de organisatie wil horen", vertelt hij daarbij. Noord-Ierse politieagenten zijn doelwitten geweest van republikeinen die Noord-Ierland willen herenigen met Ierland. De recentste aanval op een agent vond plaats in februari, zegt de BBC.

IT-banen

Reacties (56)

RalphM. 9 augustus 2023 14:05

Waarom zou je überhaupt al die gegevens op 1 hoop bewaren en in een spreadsheet stoppen? En worden dit soort dingen niet gereviewd voordat ze de deur uitgaan?

Er moet echt een berg aan structurele fouten intern aan de gang zijn voor zoiets gebeurt...

wildhagen

Politie
Politiek en recht
Privacy
Datalek

@RalphM. • 9 augustus 2023 14:14

Waarom zou je überhaupt al die gegevens op 1 hoop bewaren en in een spreadsheet stoppen?

Omdat dat een gevolg was van een (Noord-Ierse versie van) een WOB-verzoek:

De Noord-Ierse politie deelde de spreadsheet als onderdeel van een Freedom of Information-verzoek.

En worden dit soort dingen niet gereviewd voordat ze de deur uitgaan?

Lijkt me wel, maar ook met een vierogen-principe kunnen er nog wel eens fouten doorheen slippen.,

Er moet echt een berg aan structurele fouten intern aan de gang zijn voor zoiets gebeurt...

Een berg is nogal overdreven, één fout is al voldoende voor zo'n blunder.

En er bestaat een oud-Hollandsch tegeltjes-spreuk die wel van toepassing is:

- Waar mensen werken worden fouten gemaakt
- Mensen die weinig werken maken weinig fouten
- Ik ken mensen die helemaal geen fouten maken

Ja, het is een heel domme, maar menselijke, fout. Laten we hopen dat het voor de mensen van wie de namen gelekt zijn geen gevolgen gaat hebben.

MacGyverNL @wildhagen • 9 augustus 2023 14:49

Waar mensen werken worden fouten gemaakt

En daarom kun je er op anticiperen en moeten er systemen en structuren zijn die die fouten afvangen als er met gevoelige data gewerkt wordt. Dus daarmee versterk je het punt:

Er moet echt een berg aan structurele fouten intern aan de gang zijn voor zoiets gebeurt...

stefanhendriks @MacGyverNL • 9 augustus 2023 16:00

Het is een illusie dat je menselijke fouten tot 0 kan reduceren met (nog) meer procedures en regeltjes

MacGyverNL @stefanhendriks • 9 augustus 2023 16:59

Allereerst: niemand heeft 't over tot nul reduceren, maar dat is geen reden om te stellen dat menselijke fouten nu eenmaal gemaakt worden en er dus niets schort aan het proces dat voorafgaat aan de fout. "Mensen" de schuld geven is vrijwel nooit nuttig, dat is bijvoorbeeld waarom er bij elk vliegtuigongeluk een flinke root cause analysis gedaan wordt, en de bevindingen regelmatig leiden tot verbeteringen in het proces, maar ook in de techniek.

Daarnaast, ik had 't niet eens over procedures en regeltjes, ik had 't over systemen en structuren. Hoe je dat invult staat je vrij, maar als het resulteert in een datalek van deze proporties dan zijn er waarschijnlijk structurele fouten. Wat die fouten zijn weten we als buitenstaander niet, maar afschuiven op de mens die op "publish" heeft geklikt is te kort door de bocht.

"Betere systemen en structuren" kan bijvoorbeeld ook betekenen dat een dergelijke export van alle namen gewoon onmogelijk te maken is. Het voldoen aan een FoI-verzoek gebeurt dan door de geaggregeerde data direct uit de database te kunnen exporteren, in plaats van de aggregatie in Excel te moeten doen. Om maar een uit de lucht gegrepen voorbeeld te geven.

stefanhendriks @MacGyverNL • 9 augustus 2023 19:45

I stand corrected, 2 x zelfs

Mijn punt is dat het nooit 100% te voorkomen valt en dat er een balans moet zijn tussen werkbaar en veilig (genoeg). Alles heeft zn prijs.

Aldy @MacGyverNL • 10 augustus 2023 14:12

Het lijkt mij dat het uiteindelijk publiceren van de lijst door op een knop te drukken een menselijke fout is, want iedereen weet dat zo'n lijst nooit publiekelijk mag worden. En hoe die fout tot stand is gekomen, dat moet onderzocht worden en er moet geprobeerd worden om in de toekomst zo'n fout te voorkomen.
Dat dit een menselijke fout is, is sowieso zeker. In tegenstelling tot een vliegtuigongeluk lijkt het mij onwaarschijnlijk dat er opeens een toetsenbord doormidden brak en dat daardoor alles in één keer op internet stond.
Ook als de procedures niet juist waren is dit een menselijke fout, aangezien de procedures door de mens verzonnen worden. (Misschien had AI dezelfde fout gemaakt, wie weet)
Daarnaast blijft de eerder genoemde tegeltjeswijsheid staan.

Het werkelijke acute probleem is dat er een kans is dat al deze mensen nu gevaar kunnen lopen en je mag hopen dat de personen die het op internet gelezen hebben dit niet doorspelen.

the_stickie @stefanhendriks • 9 augustus 2023 18:20

Helemaal 0 waarschijnlijk niet. Maar er zijn wel verschillende methodes om heel weinig fouten toe te staan en daarenboven de impact van fouten zodanig te mitigeren dat die sterk nadert tot 0.

Enkel procedures en regeltjes zijn daarvoor niet voldoende, maar wel een noodzakelijke start. Je kan bijvoorbeeld het 4 ogen principe verplichten, maar je hebt ook methodes nodig om te valideren dat dat gevolgd wordt. In sommige industrieën (farma, luchtvaart,..) houdt men bijvoorbeeld statistieken bij van het gevonden aantal fouten: als er te weinig fouten gevonden worden, kan dat een belangrijkere indicator zijn dan teveel fouten.

CivLord

@the_stickie • 10 augustus 2023 10:19

Klopt. Er zijn altijd methodes te bedenken om het aantal fouten verder te verminderen.
Probleem is echter dat bij elke stap die je neemt om het aantal fouten te verminderen de procedures omvangrijker en bureaucratischer zijn. En wanneer je dan bij een afdeling werkt die regelmatig overspoeld wordt met woo-verzoeken, dan heb je een probleem.
Er zijn mensen die er een sport van maken om overheidsinstanties te overspoelen met tal van verzoeken. Zoveel dat de meeste afdelingen die die verzoeken behandelen voor het grootste deel van de tijd bezig zijn de verzoeken van die 'veelverzoekers' te behandelen. Doel is óf om een overheidsinstantie waar iemand mot mee heeft 'gek' te maken, óf om de vergoeding op te strijken die betaald moet worden wanneer de wettelijke behandeltermijn overschreden wordt. Er zijn gemeentes die veelverzoekers een limiet geven van 100 verzoeken per bepaalde periode, maar dat is eigenlijk een schending van de wet.
Wanneer je als afdeling die woo-verzoeken moet behandelen een bepaald budget krijgt waaruit je én het personeel én de vergoedingen voor termijnoverschrijdingen moet betalen heb je dus een probleem wanneer je een paar regelmatige veelverzoekers hebt die azen op die vergoeding. Je kan niet onbeperkt mensen aannemen om al die verzoeken af te handelen en wanneer je te veel vergoedingen moet betalen moet je zelfs mensen ontslaan om binnen je budget te blijven. Je bent dan gedwongen om alle regels en procedures die bedoelt zijn om fouten te voorkomen in te korten, waardoor je mogelijk fouten over het hoofd ziet. En een ingekorte zeer grondige procedure is nooit zo goed als een krtere minder grondige procedure.
Er is overigens nog een reden waarom iemand overheidsinstanties overspoelt met verzoeken. Journalisten en advocaten doen dit vaak in de hoop dat er fouten gemaakt worden waardoor ze meer informatie krijgen dan waar ze eigenlijk recht op hebben.

dasiro @MacGyverNL • 9 augustus 2023 17:33

ja en nee, het kan goed zijn dat er een bepaalde structuur/systeem juist is opgezet om bepaalde info vrij te geven, maar dat het onwetend foutief is gebruikt. Soms kunnen complexe systemen er juist voor zorgen dat er meer fouten worden gemaakt die soms te herleiden zijn tot automatisatie, waarbij sharepoint bvb een goed voorbeeld is waarbij je snel teveel rechten uitdeelt als onwetende gebruiker en voor je het weet staat er een map met financiële data met iedereen gedeeld.

Frame164 @MacGyverNL • 9 augustus 2023 16:20

Wat is jouw oplossing om fouten te voorkomen?

MacGyverNL @Frame164 • 9 augustus 2023 17:03

Nice try, maar ik hoef geen magische cure-all oplossing voor de hand te hebben om het onderliggende punt valide te houden.

Daarnaast, zie mijn reactie hier.

jeroen79 @Frame164 • 10 augustus 2023 01:18

Bijvoorbeeld de werkwijze vooraf goed door te denken.
Dump je eerst de hele medewerkers tabel in excel en ga je dan kolommen verwijderen?
Of stel je eerst vast welke gegevens je wil hebben en schrijft daar een query voor zodat je alleen de gewenste gegevens uit de database haalt.

En werk je alleen omdat dat lekker vlot gaat?
Of vraag je een collega om je werkwijze en resultaat te beoordelen?

CivLord

@jeroen79 • 10 augustus 2023 10:29

Het eerste deel van je reactie is afhankelijk van de systemen waar je mee werkt. Kan je een query draaien op een database, of ben je afhankelijk van een exportmogelijkheid van een propriëtair programma? Wanneer je afhenkelijk bent van de exportfunctie van je programma, kunnen de mogelijkheden zeer beperkt zijn om bepaalde gegevens te selecteren.

Het tweede deel van je reactie is afhankelijk van de beschikbaarheid van die collega. Misschien werk je met een handvol collega's op een afdeling die honderden verzoeken per dag moet verwerken en die moeite hebben om die hoeveelheid binnen de wettelijke termijnen, zonder al het werk van hun collega's te controleren.

Titusvh @jeroen79 • 10 augustus 2023 12:27

Precies dit had de McDonalds app een paar jaar geleden.
Er werd in de app een soort lijstje van 'winnaars' o.i.d. getoond; alleen de naam. Echter stuurde het backend het hele klantrecord over waarvan de app alleen de naam toonde.
Een studiemaatje die de http calls onderschepte zag dat en meldde dit bij McDonalds. Een zeer lauwe reactie volgde en er kon nog geen happy meal als bedankje vanaf.

gimbal @Frame164 • 10 augustus 2023 21:54

Elke keer als er een fout gemaakt wordt dat niet afwimpelen als "mensen maken fouten" - daadwerkelijk actie ondernemen om de kans te verkleinen.

Fouten maken mag, zo leren we. Fouten negeren dat is een zonde.

Douweegbertje @wildhagen • 9 augustus 2023 14:46

Dat is lief natuurlijk maar je doet het ook wel af als een klein foutje. De gevoeligheid van de informatie is dermate dat hier toch echt wel iets structureels mis is. Die berg aan fouten klopt toch wel degelijk. En nee, dat ligt niet bij de gene die uiteindelijk op de "versturen" knop heeft gedrukt. Denk aan het feit dat iemand zomaar aan die informatie kan komen, uit het systeem kan halen en zelf zijn of haar gang kan gaan.

Fouten is inderdaad menselijk, je verantwoordelijkheid nemen is echter ook iets wat van nature zou mogen zijn. Dat kan ook gewoon op organisatie niveau zijn.

Je zou je maar continue tegen criminaliteit inzetten voor een habbekrats en je werkgever gooit domweg even heel het personeelsbestand online. Praat dat alsjeblieft niet goed zeg. De kolere.

MIB75 @Douweegbertje • 9 augustus 2023 15:07

Het wordt niet goedgepraat, het wordt geduid.

The Zep Man

Politie
Datalek
Privacy
Politiek en recht

@wildhagen • 9 augustus 2023 14:29

Een berg is nogal overdreven, één fout is al voldoende voor zo'n blunder.

Dit is één fout die voor kon komen omdat er elders in het proces ook fouten zijn gemaakt. Er waren niet voldoende waarborgen.

Ja, het is een heel domme, maar menselijke, fout.

Elke fout veroorzaakt door mensen is een menselijke fout. Dat maakt iets niet meer of minder fout.

Vanuit het risico gezien is de impact gigantisch, en was de kans groot genoeg om voor te komen door enkel menselijk incorrect handelen. Dat houdt in dat het risico niet voldoende was afgedekt.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 00:12]

kodak

Datalek
Politie
Privacy

@wildhagen • 9 augustus 2023 15:03

Een berg is nogal overdreven, één fout is al voldoende voor zo'n blunder.

Het lijkt me niet dat dit één fout is, hooguit één oorzaak. Per persoon van wie de persoonlijke gegevens zijn is namelijk het recht geschonden, niet slechts één keer van één persoon. Het is vooral handig om het maar één overtreding te noemen als je geen zin hebt om niet per persoon verantwoordelijkheid te nemen over hun gegevens. Dat het in zeer korte tijd meerdere keren mis gaat doet daar weinig aan af.

Ryangr0 @wildhagen • 9 augustus 2023 15:54

Dit had natuurlijk voorkomen kunnen en moeten worden... Daar ga je hier wel mee aan voorbij. Dat het kan gebeuren wil niet zeggen dat het prima is als het gebeurt.

NotWise @wildhagen • 9 augustus 2023 14:34

Dit soort intelligente berichten kan ik erg waarderen. Je ziet ze veel te weinig in fora.

nullbyte @wildhagen • 9 augustus 2023 18:52

Dergelijke gevoelige informatie hoort in een DB te staan waar slechts via 1 applicatie of webinterface gegevens zijn op te vragen. NIET in bulk maar per persoon of max 3.

En dus zeker niet exporteerbaar naar een Excel sheet of PDF.

CivLord

@nullbyte • 10 augustus 2023 10:35

Maar een deel van die informatie is dus juist wel in bulk op te vragen met een woo-verzoek. Dus moet er ook een exportmogelijkheid zijn. Dat er nu een paar velden te veel gedeeld zijn betekent niet dat de andere velden ontoegankelijk moeten zijn.

nullbyte @CivLord • 10 augustus 2023 13:40

https://www.rijksoverheid...ien-ik-een-woo-verzoek-in

U mag informatie opvragen over wat de overheid doet. Dat staat in de Wet open overheid (Woo)

Ik zou zeggen dien een verzoek in en vraag om alle adresgegevens van elke ambtenaar van het Ministerie van Justitie.

[Reactie gewijzigd door nullbyte op 24 juli 2024 00:12]

CivLord

@nullbyte • 10 augustus 2023 16:27

Die adresgegevens vallen onder de AVG en mogen niet verstrekt worden.
Je zou wel kunnen vragen om hoeveel personen met welke functies er op elke afdeling van het ministerie werken. Wanneer het maar genoeg verschillende functies zijn, zodat er per functie per afdeling niet zo heel veel verschillende personen zijn, krijg je waarschijnlijk de personeelslijst van het ministerie, minus de kolommen met namen en personeelsnummers.

nullbyte @CivLord • 11 augustus 2023 04:46

Juist, zoals jij al aangaf, een deel van die informatie is juist wel op te vragen. Als dat in Ierland gebeurd was dan had dit artikel niet bestaan. De frontend van een DB dient er voor te zorgen dat gevoelige informatie niet in bulk geëxporteerd kan worden. Het deel dat jij beschrijft is een rapportage.

EmbeddedPower @RalphM. • 9 augustus 2023 14:16

Zolang mensen niet begrijpen dat gegevens (virtuele) dingen zijn die iets waard zijn, en het supermakkelijk is om eventjes een export te doen vanuit een database in een spreadsheetje, die je dan makkelijk op een interne 'Public' drive kan zetten, waar iedereen ook makkelijk die leuke fotootjes van de laatste borrel kwijt kan, denk ik dat je dit soort dingen nog wel eventjes zult meemaken.

Frame164 @EmbeddedPower • 9 augustus 2023 16:21

Dit is het gevolg van een "WOB" (maar dan de UK variant) verzoek. Het alternatief is alles wat gevoelig is aflakken maar dan weten we ook wel hoe de reacties zullen zijn.

CivLord

@EmbeddedPower • 10 augustus 2023 10:36

Zolang mensen niet begrijpen dat fouten niet enkel veroorzaakt worden door de stupiditeit van anderen, zal er ook weinig veranderen.

Janbraam @RalphM. • 9 augustus 2023 16:09

Stress.
Pesterijen.

Ik heb het zelf meegemaakt, ik zat op een gegeven moment op een afdeling bij een eerdere werkgever, waar ik mij niet veilig voelde. Dat uitte zich in vaak kritiek hebben op mijn manier van werken; het was óf veel werk verzetten op de Quick&Dirty manier (dat vonden zij de enige en beste manier van werken) óf zorgvuldig werken en er voor zorgen dat o.a. scans in zaken terecht kwamen (en die eis van kwaliteit leveren kwam bijzonder vaak voor kan ik je zeggen). Ik voelde veel antipathie, weinig mensen die open en eerlijk tegen mij durfden te zijn.

Bovenstaande zijn vaker voorkomende zaken die leiden tot stress en door stress begon ik steeds meer fouten te maken, fouten die niet nodig zijn, maar toch gebeurden.

CH4OS

Datalek

@RalphM. • 9 augustus 2023 14:22

Sowieso is dat natuurlijk afhankelijk van de bron. Bij een HR afdeling werkt men dagelijks met dit soort gegevens van het personeel bijvoorbeeld.

EstiematiesEnzo @RalphM. • 10 augustus 2023 11:36

De echte vraag is waarom dit soort shit niet encrypted is -_-

Tintel

Politiek en recht

9 augustus 2023 14:08

Na dat soort blunders heb je verder ook geen discussie meer met ICT beveiliging....

En dan komt de vraag weer

: waarom zou je zo'n sheet maken (en de data niet gewoon in de - beveiligde - database laten staan)? Maar goed, stel dat er een reden is - met 10.000 medewerkers daarin zou je toch wel een beetje omzichtig met zo'n sheet om moeten gaan....

Frame164 @Tintel • 9 augustus 2023 16:23

Staat in het artikel waarom het uit het systeem is gehaald. Het beste is om als overheid niet meer mee te gaan met dit soort verzoeken. Dan schendt je wel de wet maar vanuit security is het beter.

Tintel

Politiek en recht

@Frame164 • 9 augustus 2023 17:34

Ja, dat het er uit is gehaald is neit zozeer het probleem - het bewaren van dit soort 'handige' bestandjes wel. Want is dit wel documentatie of niet gewoon een invoer bestand voor een vervolg actie?

stuiterveer 9 augustus 2023 14:05

Noord-Ierse politieagenten zijn doelwitten geweest van republikeinen die Noord-Ierland willen herenigen met Ierland. De recentste aanval op een agent vond plaats in februari, zegt de BBC.

In die context is het voorval niet alleen kwalijk, maar vooral ook verontrustend te noemen. Wat betekent dit voor de werklocaties an sich? Worden die nu gerouleerd of iets vergelijkbaars? En wat als die personen de thuislocatie als werklocatie zouden hebben, er even vanuit gaande dat deze locaties ook zijn opgenomen in plaats van een HQ locatie?

CH4OS

Datalek

@stuiterveer • 9 augustus 2023 14:23

De werklocaties kunnen net zo goed politiebureaus zijn en kantoren van bijvoorbeeld justitie of de inlichtingendiensten. Van de Nederlandse AIVD weten we toch ook dat hun hoofdkantoor is gevestigd aan de Europaweg 4 te Zoetermeer? Dan zullen daar ook wel medewerkers van de AIVD zitten.

Dat is dus niet per definitie geheim.

stuiterveer @CH4OS • 9 augustus 2023 14:25

Dat snap ik ,vandaar dat ik ook duidelijk aangaf "er even vanuit gaande dat deze locaties ook zijn opgenomen in plaats van een HQ locatie". Voor de rest: goed punt, dan betekent de locatie an sich niet veel meer anders dan dat je nu dus, op basis van de persoon die je wil targeten, precies weet bij welk kantoor je moet zijn in plaats van bij verschillende locaties te posten.

OruBLMsFrl @CH4OS • 9 augustus 2023 17:10

Zal zoiets wel zijn die kantoorlocaties ja, tegelijk die namen uberhaupt al. Zit je undercover en/of bij een veiligheidsdienst als de AIVD, moet je alles geheim houden zelf waar en hoe je werkt voor iedereen, en dan lekt opeens jouw betrokkenheid bij de handhaving uit. Ik hoop dat er toch nog een soort filter voor die informatie zat, want anders kan dit lek de georganiseerde criminaliteit wel eens meer en langer helpen dan ons lief is.

[Reactie gewijzigd door OruBLMsFrl op 24 juli 2024 00:12]

Kenhas @CH4OS • 10 augustus 2023 08:39

Gezien de spanningen in Noord Ierland lijkt het niet meer dan normaal dat sommige agenten voor hun omgeving geheim houden dat ze politie zijn. Je woont in de ene stad en je bent agent in een andere stad. Werk en privé volledig gescheiden. Maar als er nu opeens op die lijst een vermelding staat van "C. H4OS, Belfast", dan kan er wel eens een belletje gaan rinkelen bij de onafhankelijkheidsgezinde buren.

Het is misschien wel een beetje met een korreltje zout te nemen, hoewel het al een paar keer bejubeld is voor het realisme, maar dit geeft wel een beetje de spanningen weer: https://www.imdb.com/title/tt14466018/

CH4OS

Datalek

@Kenhas • 10 augustus 2023 08:51

Ik sprak met name over de werklocaties en niet zozeer de impact van personeel, dat ben ik mij weldegelijk bewust.

Ozymandias @Kenhas • 10 augustus 2023 13:52

De PSNI werd na het Goede Vrijdagakkoord van 1998 opgericht om de Royal Ulster Constabulary (RUC) te vervangen, die zelf de opvolger was van het Royal Irish Constabulary (RIC), toen geheel Ierland een Britse kolonie was. Bij de RUC werkten alleen unionisten en die hadden de neiging om niet zachtzinnig om te gaan met gevangengenomen nationalisten. De PSNI werd opgericht om een betere afspiegeling van de bevolking te vormen, er werken dus niet alleen unionisten meer maar ook nationalisten. Hoe dit in de praktijk er aan toe gaat is lastig te zeggen, maar de meeste Noordieren zijn wel tevreden met de vreedzame situatie die nu bestaat. De nationalisten die agenten bedreigen zijn geen afspiegeling voor de gehele nationalistische bevolking, het zijn degenen die zich niet bij het Goede Vrijdagakkoord hebben neergelegd.

Verwijderd 9 augustus 2023 14:30

Zolang het maken van dit soort fouten kan worden afgekocht met een boete en een sorry, zal er helaas nooit veel veranderden.

Kijk naar de medische wereld: waarin je daadwerkelijk verantwoordelijk wordt gehouden voor je fouten.

Helaas staan datalekken nog op het niveau van ‘oeps kan gebeuren, zullen volgende keer beter opletten’

gekkeh3nk 9 augustus 2023 15:07

Er moet denk ik wel enige nuance gegeven worden bij dit datalek. Anderen gaven aan dat het niet vreemd is dat bijvoorbeeld een MI5 agent in een MI5 bureau werkt. Maar, de situatie in Noord-Ierland is precair en mensen die bij de Politie, MI5, of andere veiligheidsorganisatie in NI werken zijn daar niet open over. Het is niet vreemd dat de buren niet eens weten dat iemand bij de Politie werkt. Daarom is deze data erg gevoelig. Het betreft achternaam, initialen en werk locatie. Aan de hand daarvan is het vrij eenvoudig te achterhalen wie deze persoon is en kunnen slechteriken die persoon ook 'een bezoekje brengen'.

Dit lek is erg slordig en ik vraag me ook af hoe dit heeft kunnen gebeuren. Deze data is hopelijk niet voor een enkele administratie medewerker beschikbaar en meerdere mensen hebben hier toestemming voor moeten geven. Ronduit zorgelijk dus.

delpit 9 augustus 2023 16:12

Tja fouten, onacceptabele fouten nog wel. Welke fout was hier precies onacceptabel? De blunder om de hele spreadsheet naar buiten te brengen of het feit dat je blijkbaar heel eenvoudig deze gegevens in 1 spreadsheet kunt kleien of erger nog alleen deze spreadsheet hebt om de vraag te beantwoorden.

Waarschijnlijk zal het wel weer uitlopen op het bestrijden van het incident, het foei of erger tegen degene die de blunder heeft begaan zonder te kijken naar de onderliggende problematiek. Ik neem even aan dat het oorspronkelijke verzoek ging over aantallen agenten per bureau of regio, het feit dat je daarvoor niet een betrekkelijk eenvoudige query op een personeelsdatabase kunt loslaten, maar in plaats daarvan met excel gaat lopen kloten, dat lijkt mij het echte probleem.

SELECT a.employee_id
, b.station_name
, COUNT(a.employee_id) AS count
FROM employees a
INNER JOIN stations b ON a.employee_id = b.station_name
GROUP BY b.station_name
WHERE employee_id >0;

Antwoord zonder enige verwijzing naar mensen of andere gegevens

Annihlator @delpit • 9 augustus 2023 17:40

"Ja maar SQL leren moeilijk, excel kan bijna iedereen"
Slimme mensen zien ook direct de oplossing doordat dus zulke data dan inherent voor veel minder mensen *direct* toegankelijk is en als bijvangst fouten er ook moeilijker mee gemaakt kunnen worden

Gemak dient lang niet altijd de mens

nullbyte @Annihlator • 9 augustus 2023 18:57

"Ja maar SQL leren moeilijk, excel kan bijna iedereen"

Daarvoor is er een frontend nodig b.v. een webapplicatie waar deze gegevens hooguit voor een paar personen tegelijk zijn op te vragen. En zeker geen exportmogelijkheid naar Excel.

Een eindgebruiker dient NOOIT direct met SQL te werken in een productie database.

[Reactie gewijzigd door nullbyte op 24 juli 2024 00:12]

CivLord

@delpit • 10 augustus 2023 11:08

Maar dan ga je er dus van uit dat alle gegevens in een database staan waar je een query op kunt draaien.
Misschien staat het in een propriëtaire applicatie die enkel naar Excel kan exporteren.
En omdat deze informatie bedrijfstechnisch alleen relevant/ nodig is in combinatie met de individuele medewerkers, zal je als je al bepaalde records kunt selecteren die je geëxporteerd wilt hebben altijd de namen van de medewerkers erbij krijgen.

Daarbij zijn dit soort verzoeken die buiten de reguliere werkzaamheden om gaan typisch de klusjes die aan de stagair of jongste bediende worden uitbesteedt.

Anonymoussaurus

Datalek

9 augustus 2023 16:52

Officiële bronnen:

Simon Weel 9 augustus 2023 15:26

.... zei dat de fout 'onacceptabel' is.

Uhh, maar het is al gebeurt? Dus 'onacceptabel' lijkt me enigszins overbodig.

7ven @Simon Weel • 9 augustus 2023 15:35

Of iets al is gebeurt heeft natuurlijk niets met de accepteerbaarheid te maken. Als je iemand doodschiet kun je het toch moeilijk afdoen als 'ach het is al gebeurt'. Ja je kunt het niet terugdraaien maar acceptabel nee. Je kunt sancties treffen. Je kunt controles toevoegen om iets te voorkomen. Je kunt de dader verantwoordelijk houden. Je kunt de dader ook straffen.

Hierboven zag ik al wat spreekwoorden, dan hier nog één: "Als het kalf verdronken is, dempt men de put". Ja het is al gebeurt. Het was mooier geweest als dit was voorkomen en het lijkt mij vanzelfsprekend dat de put wordt gedempt.

Dan meer on-topic. Een Woo aanvraag (Ierse variant) en een personeelsbestand hoe komen die uberhaupt bij elkaar. Het lijkt mij dat er op zijn minst een security officer en een HR mederwerken en een Woo aanvraag opperhoofd bij betrokken zijn. Hoe komt dan een compleet/groot bestand daar terecht. Dat er gegevens van een enkele medewerker en of een groepje medewerkers in een Woo aanvraag komen. Om echter zo'n grote lijst met medewerkers naar Excel exporteren is een fout die op veel punten voorkomen had kunnen worden.

De IT'er had een zorg kunnen uiten (of weigeren)
De HR medewerker had achter zijn/haar oren kunnen grabben
De security officer is of boos omdat hij hier niet van wist of op zoek naar een ander baantje
De Woo aanvraag afhandelaar heeft zijn/haar ogen dicht gehad, niet handig als er gevoelige persoonsgegevens voorbij komen, zeker niet bij politiemedewerkers.

Kortom er zijn op zijn minst 10 ogen bij betrokken geweest. Dit is op veel punten fout gegaan.

[Reactie gewijzigd door 7ven op 24 juli 2024 00:12]

CivLord

@7ven • 10 augustus 2023 10:59

Het lijkt me dat iemand een complete lijst heeft gevraagd van hoeveel medewerkers, van welke rang per afdeling per locatie werkzaam zijn voor de politie in Noord-Ierland. Volgens de Ierse versie van de WOO zal daaraan voldaan moeten worden.
Dat verzoek wordt via de WOO-afdeling naar waarschijnlijk HR gestuurd. Dat zal ook in Noord-Ierland een permanent tot op het breekpunt kapot-gereorganiseerde en bezuinigde afdeling zijn met een groot personeelsverloop waardoor de helft van de medewerkers niet goed ingewerkt is en nauwelijks een idee hebben waar het mee bezig is. De situatie op de WOO afdeling zelf is niet veel beter en wordt waarschijnlijk ondergesneeuwd met dergelijke verzoeken die allemaal binnen een bepaalde termijn afgehandeld moeten worden.
Dan kan het heel goed gebeuren dat bij HR gedacht wordt dat ze een complete lijst aan moeten leveren en dat die bij WOO geschoond wordt van gevoelige informatie, en dat ze bij WOO gedacht hebben dat HR de lijst al geschoond heeft. En misschien was het ook de opdracht aan HR om de lijst te schonen en was dat normaal gesproken ook gebeurd wanneer het verzoek niet toevallig bij de verkeerde medewerker in de schoot was geworpen. En misschien was het de bedoeling dat bij WOO iemand controleerde of de lijst geschoond was en was dat normaal gesproken ook gebeurd wanneer het niet toevallig bij de verkeerde medewerker terecht was gekomen die al twee uur aan het overwerken was en tegen een burn-out aan zat.
De overige medewerkers waar je het over hebt hebben het al druk zat met hun reguliere werkzaamheden om zich met dit soort verzoeken te (kunnen) bemoeien.

7ven @CivLord • 28 augustus 2023 18:29

Ja dat kan natuurlijk. Wat zou er gebeuren als we een complete lijst van de bankrekeningnummers en toegangscodes opvragen? De wet kent over het algemeen toch wel een aantal uitzonderingen en het lijkt mij als er complete lijsten met medewerkers worden opgevraagd dat dit goed wordt bekeken en waar nodig wordt geanonimiseerd.

Dan kan het heel goed gebeuren dat bij HR gedacht wordt dat ze een complete lijst aan moeten leveren en dat die bij WOO geschoond wordt van gevoelige informatie, en dat ze bij WOO gedacht hebben dat HR de lijst al geschoond heeft.

Dit zou mij ergens ook niet verbazen, het is immers ook mis gegaan. Echter had je mogen hopen dat zowel HR en WOO op het vlak van deze personeelsinformatie beide deze aanname niet zouden maken. Niet in deze eeuw.

vinkjb 9 augustus 2023 16:51

Fijn zo'n Europees land waar al sinds mensen heugenis chaos is en verdeeld het, allemaal om het geloof. En de ene mars lokt de andere uit met alle gevolgen van dien.

Milanobrotchen 11 augustus 2023 10:40

*The IRA would like to know your location*
Dit is natuurlijk niet zo handig. Maar hoezo kunnen er dit soort gegevens zomaar weggegeven worden?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (56)

Sorteer op:

Weergave: