image

"Testlijnmedewerkers kunnen uitslagen coronatests onbevoegd inzien"

woensdag 16 september 2020, 20:30 door Redactie, 23 reacties

Uitslagen van coronatests en bijbehorende persoonlijke gegevens zijn toegankelijk voor medewerkers van de coronatestlijn die hier eigenlijk geen toegang toe zouden moeten hebben, zo meldt Nieuwsuur vandaag. De medewerkers plannen afspraken in en bellen negatieve testuitslagen door.

Met een geboortedatum en achternaam, een straatnaam en postcode of een burgerservicenummer kunnen alle medewerkers die toegang tot het CoronIT-systeem hebben alle testafspraken, uitslagen, medische aantekeningen en telefoonnummers inzien.

CoronIT is het digitaal registratiesysteem dat GGD'en ondersteunt met het aanmelden van te testen mensen, het inplannen van afspraken voor te testen mensen, afname en registratie van monsters, het vastleggen van testuitslagen en het genereren van landelijke en regionale overzichten van het aantal afgenomen testen en resultaten.

Testlijnmedewerkers kunnen zo testgegevens van bekende Nederlanders, collega's, familie of kennissen opvragen, ook al hoeven ze deze personen niet te bellen. Nieuwsuur meldt dat er ook gevallen bekend zijn waarbij medewerkers uitslagen met kennissen deelden die hierom vroegen. Ook worden gegevens, zoals 06-nummers en testuitslagen, soms gedeeld in Whatsapp-groepen van medewerkers die elkaar om hulp vragen.

De Autoriteit Persoonsgegevens laat weten op het moment geen onderzoek te zullen doen. "De wet bepaalt dat de coronatestlijn er zelf voor verantwoordelijk is dat dit in orde is. Medewerkers mogen niet meer persoonsgegevens verwerken dan in die situatie nodig is. Dat kan bijvoorbeeld door het afschermen van informatie voor bepaalde medewerkers", aldus de toezichthouder.

Reacties (23)
16-09-2020, 23:39 door Anoniem
Welke Accountant werkt in vredesnaam voor CoronIT en de GGD?
Hebben die accountants naar de RACI verdeling gevraagd?
Is er afgeweken van de info die aan accountants is verschaft?
17-09-2020, 08:46 door Erik van Straten
Deze mensen werken thuis. Je junt er op wachten tot malware op een thuis-PC de gegevens van veel mensen weet te roven waarmee vervolgens identiteitsfraude, phishingaanvallen en andere ellende mogelijk is. Of dat foute medewerkers claimen dat malware de oorzaak geweest moet zijn.
17-09-2020, 08:51 door Anoniem
Door Erik van Straten: Deze mensen werken thuis. Je junt er op wachten tot malware op een thuis-PC de gegevens van veel mensen weet te roven waarmee vervolgens identiteitsfraude, phishingaanvallen en andere ellende mogelijk is. Of dat foute medewerkers claimen dat malware de oorzaak geweest moet zijn.

Afgezien dit eigenlijk altijd via citrix aangeboden wordt, ivm mfa.
Iets wat de scope en impsct drastisch verminderd.
17-09-2020, 09:06 door Anoniem
Goh. Verbazend. Want de privacy was gewaarborgd. Toch?
17-09-2020, 09:45 door Anoniem
Echt geen praktisch probleem! Er is zo weinig testkapaciteit beschikbaar door de zorg van Hugo de Schoenenman dat er nauwelijks data in de gegevens te vinden is.
17-09-2020, 09:47 door Anoniem
Welk informatiesysteem is er nu weer in elkaar gehoddeld? Privacy by design, wat zegt u? Waarom kan het niet in een keer goed gemaakt worden?
17-09-2020, 09:47 door Anoniem
Door Anoniem:
Door Erik van Straten: Deze mensen werken thuis. Je junt er op wachten tot malware op een thuis-PC de gegevens van veel mensen weet te roven waarmee vervolgens identiteitsfraude, phishingaanvallen en andere ellende mogelijk is. Of dat foute medewerkers claimen dat malware de oorzaak geweest moet zijn.

Afgezien dit eigenlijk altijd via citrix aangeboden wordt, ivm mfa.
Iets wat de scope en impsct drastisch verminderd.

nee hoor, malware kan eenvoudig vol automatisch screenshots maken.
17-09-2020, 10:02 door Anoniem
Dat een systeem dat snel uit de grond gestampt moest worden om verder te kunnen onvolkomenheden heeft is onvermijdelijk. Dat men daarbij in eerste instantie vooral gericht is geweest op het ondersteunen van handelingen die uitgevoerd moeten kunnen worden en minder op het afschermen van handelingen die niet de bedoeling zijn is duidelijk niet ideaal maar ik snap hoe het gebeurt.

De GGD reageert met de mededeling dat er scherp wordt gecontroleerd op misbruik en mensen die zonder reden in een dossier kijken worden opgespoord. Dus logging is geïmplementeerd en natuurlijk moet een gebruiker aanloggen om het systeem te kunnen gebruiken. Maar het moet voor elk ontwikkelteam dat niet uit totale beginners bestaat geen grote moeite zijn om drie groepen gebruikers (GGD-medewerkers, callcenter-medewerkers, testlab-medewerkers) te onderscheiden die elk alleen geautoriseerd zijn voor bepaalde functies van het systeem.

Als de haast in eerste instantie zo groot was dat dat werd overgeslagen kan het in tweede instantie worden toegevoegd, en kan daar meteen aan worden doorontwikkeld. Ik haal uit de reactie van de GGD niet dat dat ook gebeurt. Dat vind ik onterecht, want het gaat hier om duidelijk te onderscheiden groepen gebruikers waarbij duidelijk is welke gegevens domweg nooit ingezien hoeven te worden. Controle achteraf aan de hand van logbestanden is de enige werkbare mogelijkheid bij bijvoorbeeld ziekenhuispersoneel dat door een noodsituatie onverwacht aan een patiënt kan worden gekoppeld, maar van dat soort situaties is hier geen sprake.

De gehanteerde werkwijze maakt overigens wel dat niet alles af te schermen is. Bij een positieve uitslag wordt namelijk door de GGD contact opgenomen met de betrokkene terwijl het bij een negatieve uitslag door een callcenter wordt afgehandeld. Dat impliceert dat bij het callcenter het onderscheid tussen positieve en negatieve uitslagen zichtbaar of afleidbaar is.

Ik trof hier wat meer informatie over CoronIT aan:
https://ggdghor.nl/thema/informatie-externe-aanvragers-coronit/
17-09-2020, 10:48 door Anoniem
Door Anoniem: Dat een systeem dat snel uit de grond gestampt moest worden om verder te kunnen onvolkomenheden heeft is onvermijdelijk.

Daar gaan we weer en privacy is kind van de rekening. Uitvoerder zou beboet moeten worden voor grove nalatigheid.
17-09-2020, 10:50 door Anoniem
Door Anoniem:
Door Erik van Straten: Deze mensen werken thuis. Je junt er op wachten tot malware op een thuis-PC de gegevens van veel mensen weet te roven waarmee vervolgens identiteitsfraude, phishingaanvallen en andere ellende mogelijk is. Of dat foute medewerkers claimen dat malware de oorzaak geweest moet zijn.

Afgezien dit eigenlijk altijd via citrix aangeboden wordt, ivm mfa.
Iets wat de scope en impsct drastisch verminderd.


Behalve het zinnetje:

[quoqte}Nieuwsuur meldt dat er ook gevallen bekend zijn waarbij medewerkers uitslagen met kennissen deelden die hierom vroegen. Ook worden gegevens, zoals 06-nummers en testuitslagen, soms gedeeld in Whatsapp-groepen van medewerkers die elkaar om hulp vragen.[/quote]
Dan wordt namelijk de Citrix "veiligheid" omzeild.
Er komt (gevoelige) data ook bij FB/Whatsapp terecht.
En bij de kennissen (niet-collega's).

Suwinet op/na Koninginnendag 2009 all over again.
17-09-2020, 11:54 door Anoniem
Door Anoniem:
Door Anoniem: Dat een systeem dat snel uit de grond gestampt moest worden om verder te kunnen onvolkomenheden heeft is onvermijdelijk.

Daar gaan we weer en privacy is kind van de rekening. Uitvoerder zou beboet moeten worden voor grove nalatigheid.
De grondwet geeft niet alleen de burger recht op privacy maar verplicht ook de overheid om maatregelen te nemen die de volkgsgezondheid bevorderen. In crisissituaties kan de situatie ontstaan dat het niet lukt om alles tegelijk waar te maken en dan moet geroeid worden met de riemen die men heeft.

Als je de rest van mijn reactie had gelezen en begrepen dan had je geweten dat ik echt niet heb gesteld dat het dan allemaal wel in orde is. Maar misschien zijn dat soort nuances te moeilijk voor je.
17-09-2020, 12:09 door MathFox
Door Anoniem:
Door Anoniem: Dat een systeem dat snel uit de grond gestampt moest worden om verder te kunnen onvolkomenheden heeft is onvermijdelijk.

Daar gaan we weer en privacy is kind van de rekening. Uitvoerder zou beboet moeten worden voor grove nalatigheid.
Kan onze anoniem van 10:48 mij duidelijk maken hoe een medewerker van een telefonische helpdesk zijn werk effectief kan uitvoeren als hij niet snel bij de voor zijn werk gegevens van de bellende klant kan komen? Oftewel, hoe wil je voorkomen dat de medewerker gegevens opvraagt van een klant die hij niet op dat moment aan de lijn heeft, maar hem later op de dag wel kan bellen?

Ik zeg: met toegangslogging, auditing en de dreiging van ontslag bij misbruik.
17-09-2020, 12:45 door Anoniem
Door MathFox:
Door Anoniem:
Door Anoniem: Dat een systeem dat snel uit de grond gestampt moest worden om verder te kunnen onvolkomenheden heeft is onvermijdelijk.

Daar gaan we weer en privacy is kind van de rekening. Uitvoerder zou beboet moeten worden voor grove nalatigheid.
Kan onze anoniem van 10:48 mij duidelijk maken hoe een medewerker van een telefonische helpdesk zijn werk effectief kan uitvoeren als hij niet snel bij de voor zijn werk gegevens van de bellende klant kan komen? Oftewel, hoe wil je voorkomen dat de medewerker gegevens opvraagt van een klant die hij niet op dat moment aan de lijn heeft, maar hem later op de dag wel kan bellen?

Ik zeg: met toegangslogging, auditing en de dreiging van ontslag bij misbruik.

Wat je stelt kan inderdaad, achteraf de medewerker ter verantwoording roepen. Het gaat echter al veel eerder mis. Volgens het nieuwsartikel krijgen medewerkers weinig tot geen training over privacy. De opdrachtgever neemt het blijkbaar niet zo nauw met privacy, als het maar werkt en door. Opdrachtgever ook op de bon slingeren vanwege grove nalatigheid.
17-09-2020, 13:02 door Anoniem
Door Anoniem:
Door Anoniem:
Door Erik van Straten: Deze mensen werken thuis. Je junt er op wachten tot malware op een thuis-PC de gegevens van veel mensen weet te roven waarmee vervolgens identiteitsfraude, phishingaanvallen en andere ellende mogelijk is. Of dat foute medewerkers claimen dat malware de oorzaak geweest moet zijn.

Afgezien dit eigenlijk altijd via citrix aangeboden wordt, ivm mfa.
Iets wat de scope en impact drastisch verminderd.

nee hoor, malware kan eenvoudig vol automatisch screenshots maken.
Waar Citrix je ook weer tegen kan beschermen of extra maatregelen kan aanbieden.
Daarnaast ziet de malware dan alleen de informatie die toevallig op het beeldscherm staat.


Door Anoniem:
Door Anoniem: Dat een systeem dat snel uit de grond gestampt moest worden om verder te kunnen onvolkomenheden heeft is onvermijdelijk.

Daar gaan we weer en privacy is kind van de rekening. Uitvoerder zou beboet moeten worden voor grove nalatigheid.
We hadden natuurlijk ook alle tijd, om dit systeem eerst volledig op papier uit te werken en daarna rustig te implementeren.

Was het ook grove nalatigheid, als door IT falen mensen overleden waren, omdat de GGD niet snel genoeg kan handelen?

Natuurlijk kan het beter laten we dat voorop stellen. Maar overdrijven is een vak, wat vele op Securty natuurlijk heel goed kunnen.
17-09-2020, 13:05 door Anoniem
Door Anoniem:
Door Anoniem:
Door Erik van Straten: Deze mensen werken thuis. Je junt er op wachten tot malware op een thuis-PC de gegevens van veel mensen weet te roven waarmee vervolgens identiteitsfraude, phishingaanvallen en andere ellende mogelijk is. Of dat foute medewerkers claimen dat malware de oorzaak geweest moet zijn.

Afgezien dit eigenlijk altijd via citrix aangeboden wordt, ivm mfa.
Iets wat de scope en impsct drastisch verminderd.

nee hoor, malware kan eenvoudig vol automatisch screenshots maken.

App Protection implementeren?
https://www.citrix.com/blogs/2019/05/21/protect-apps-from-keyloggers-and-screen-scrapers-with-citrix-workspace/
17-09-2020, 13:08 door Anoniem
Door Anoniem:

Dan wordt namelijk de Citrix "veiligheid" omzeild.
Er komt (gevoelige) data ook bij FB/Whatsapp terecht.
En bij de kennissen (niet-collega's).

Suwinet op/na Koninginnendag 2009 all over again.

Citrix kan dit inderdaad niet voorkomen, al bied App Production wel bepaalde mogelijkheden.
https://www.citrix.com/blogs/2020/04/23/secure-sensitive-data-while-your-employees-work-from-home/

Maar Watermark kan dit tot een zekere hoogte, het traceerbaar bij wie het vandaan komt. Ofwel traceability.
https://www.citrix.com/blogs/2017/12/04/a-new-option-to-protect-your-workspace-in-session-watermark/

Natuurlijk niet perfect, maar wel heel gemakkelijk te implementeren en activeren.
17-09-2020, 13:35 door MathFox
Door Anoniem:
Citrix kan dit inderdaad niet voorkomen, al bied App Production wel bepaalde mogelijkheden.
https://www.citrix.com/blogs/2020/04/23/secure-sensitive-data-while-your-employees-work-from-home/

Maar Watermark kan dit tot een zekere hoogte, het traceerbaar bij wie het vandaan komt. Ofwel traceability.
https://www.citrix.com/blogs/2017/12/04/a-new-option-to-protect-your-workspace-in-session-watermark/

Natuurlijk niet perfect, maar wel heel gemakkelijk te implementeren en activeren.
Begrijp ik dat jij de privacy van de GGD klanten (een beetje) wil verbeteren door de privacy van de GGD medewerkers te grabbel te gooien?
17-09-2020, 13:48 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Deze mensen werken thuis. Je junt er op wachten tot malware op een thuis-PC de gegevens van veel mensen weet te roven waarmee vervolgens identiteitsfraude, phishingaanvallen en andere ellende mogelijk is. Of dat foute medewerkers claimen dat malware de oorzaak geweest moet zijn.

Afgezien dit eigenlijk altijd via citrix aangeboden wordt, ivm mfa.
Iets wat de scope en impsct drastisch verminderd.
Of de informatie via Citrix wordt ontsloten weet ik niet, maar zelfs dan kan malware op een PC hetzelfde als een interactieve gebruiker van die PC. Ook kan, met enige social engineering of tegen betaling, zijn/haar scherm en toetsenbord op afstand worden overgenomen.

Door MathFox: Ik zeg: met toegangslogging, auditing en de dreiging van ontslag bij misbruik.
Uit https://nos.nl/nieuwsuur/artikel/2348623-ik-kan-zo-uitslagen-van-kennissen-zoeken-zeggen-medewerkers-coronatestlijn.html:
"Je werkt met een vrij complex systeem, met meerdere programma's naast elkaar die allemaal nieuw zijn. Ik had niet het gevoel dat ik er klaar voor was, maar toch ben ik begonnen", zegt een ex-medewerker, die gestopt is omdat 'de manier waarop Teleperformance omging met medewerkers zoveel stress gaf dat het het niet waard is voor 10 euro bruto per uur'.
Je plukt wat jongeren van de straat, leidt ze nauwelijks op, geeft hen toegang tot medische gegevens en betaalt slecht. What could possibly go wrong? Dreigen met ontslag zal weinig indruk maken vermoed ik.

En eerder ging het al fout: https://www.ad.nl/rotterdam/oplichting-bij-coronanummer-ggd-er-vraagt-geld-voor-gratis-test~a9c20f7b/
17-09-2020, 14:27 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Erik van Straten: Deze mensen werken thuis. Je junt er op wachten tot malware op een thuis-PC de gegevens van veel mensen weet te roven waarmee vervolgens identiteitsfraude, phishingaanvallen en andere ellende mogelijk is. Of dat foute medewerkers claimen dat malware de oorzaak geweest moet zijn.

Afgezien dit eigenlijk altijd via citrix aangeboden wordt, ivm mfa.
Iets wat de scope en impsct drastisch verminderd.

nee hoor, malware kan eenvoudig vol automatisch screenshots maken.

App Protection implementeren?
https://www.citrix.com/blogs/2019/05/21/protect-apps-from-keyloggers-and-screen-scrapers-with-citrix-workspace/

dit kan fundamenteel niet;

gebruiker draait thuis een OS met malware. malware maakt elke sec een screenshot. gebruiker logt in op citrix en start app.

niets is in staat 100% tegen een rootkit op een OS hetzelfde OS te beschermen .

omdat er door de cirix software tegen het OS gezegd wordt, laat gebruiker niet toe screenshots te maken, moet citrix software maar aannemen dat het OS niet liegt en als antoowrd 'ok' geeft maar stiekem wel dingen doet. de werkwijze van een goede rootkit dus.
17-09-2020, 14:55 door karma4
Het is een verwonderlijke situatie.
- De corona-app zou zeer privacy vriendelijk zijn, het was zowat het enige waar het om ging.
- Deze app heeft als enige resultaat het advies van je laten testen. En dan ....
De faal: je moet de hele keten overzien.
17-09-2020, 15:59 door MathFox
Door karma4: Het is een verwonderlijke situatie.
- De corona-app zou zeer privacy vriendelijk zijn, het was zowat het enige waar het om ging.
- Deze app heeft als enige resultaat het advies van je laten testen. En dan ....
De faal: je moet de hele keten overzien.
Klok, klepel, dit heeft niets met de corona-app te maken.
19-09-2020, 08:17 door [Account Verwijderd]
Door Anoniem: Goh. Verbazend. Want de privacy was gewaarborgd. Toch?

Wat wil je nu zeggen? Zekerheden bestaan niet, dat weet je toch? Je kan tóch neerstorten met dat veilige vliegtuig dat je hebt geboekt. Je kan tóch bijwerkingen krijgen bij dat veilige medicijn. Je kan tóch longkanker krijgen, ondanks dat je niet rookt. Et cetera, et cetera...
24-09-2020, 13:19 door Anoniem
De NOS is net zo onbetrouwbaar als Rutte en consorten..

https://nos.nl/nieuwsuur/artikel/2348581-testlijnmedewerkers-kunnen-bij-persoonsgegevens-ook-als-dat-niet-mag.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.