image

GGD: eind maart automatische en continue controle van systemen

donderdag 28 januari 2021, 16:52 door Redactie, 16 reacties

Eind maart zal de GGD de eigen systemen automatisch en continu monitoren, zo laat de dienst vandaag via de eigen website weten. Daarnaast zijn er vanwege het nieuws over de handel in privégegevens verschillende maatregelen genomen om data beter te beschermen en de kans op diefstal te verkleinen. "Wat deze maatregelen zijn, kunnen wij u nog niet vertellen in het belang van het politieonderzoek", aldus de GGD.

De GGD zou echter al maanden geleden door medewerkers zijn gewaarschuwd voor de privacyproblemen met de coronasystemen die de privégegevens van miljoenen Nederlanders bevatten. Gegevens die te koop op internet werden aangeboden. Leidinggevenden wuifden de kritiek echter weg, zo claimt RTL Nieuws op basis van gesprekken met medewerkers die anoniem willen blijven. De GGD zegt niet met deze signalen bekend te zijn.

Gegevens uit twee coronasystemen, waaronder burgerservicenummer, werden te koop aangeboden op internet. De systemen waarin deze gegevens staan zijn voor achtduizend medewerkers toegankelijk, zo liet minister De Jonge van Volksgezondheid deze week weten. Volgens de minister hebben werknemers alleen toegang tot noodzakelijke gegevens, maar GGD-medewerkers spreken dit tegen.

Zowel de GGD als minister De Jonge stelden dat personeel dat met deze gegevens werkt altijd een verklaring omtrent gedrag (VOG) moet inleveren. Medewerkers waarmee RTL Nieuws sprak hebben deze VOG naar eigen zeggen nooit ingeleverd of pas maanden nadat zij waren begonnen. Een aantal van hen werd deze week gevraagd om toch nog een VOG in te leveren.

Controles of medewerkers zich aan de regels houden vinden nauwelijks plaats en stellen weinig voor, laten de medewerkers verder weten. Werknemers zeggen dat ze hebben geklaagd over het gebrek aan controles en de omvangrijke toegang tot gegevens. Hier werd echter niets mee gedaan.

Controle aan de poort

De GGD meldt op de eigen website dat er een controle aan de poort plaatsvindt. "Mensen moeten een Verklaring Omtrent het Gedrag (VOG) aanleveren en een geheimhoudingsverklaring ondertekenen. Daarmee is duidelijk dat ze aansprakelijk zijn op het moment dat zij zich niet aan de voorwaarden van de overeenkomst houden."

Ook zegt de GGD al vanaf het begin het gebruik van de systemen te controleren en deze controles steeds verder te verbeteren. "Vanwege het belang van de virusbestrijding en de gevraagde snelheid zijn wij – op diverse manieren – met steekproefsgewijze controles van start gegaan."

Volgens de GGD mogen alleen mensen die voor hun werk noodzakelijk toegang moeten hebben tot een persoonsdossier, dit dossier inzien. "Hierop controleren we zoals gezegd steekproefsgewijs. Bij verboden toegang volgt ontslag en indien nodig aangifte." Vanaf maart zal de controle automatisch en continu zijn. Tevens zal de dienst mensen waarschuwen wanneer vaststaat dat hun gegevens zijn gestolen.

Reacties (16)
28-01-2021, 17:48 door Anoniem
Hoe kan het nu zo zijn dat een simpel registratie-systeem zo slecht beveiligd is?

Redelijker wijs was het in februari 2020 al te voorzien dat een registratie-systeem nodig was. Als (voorheen) software ontwikkelaar van webapplicaties schat ik in dat een dergelijk systeem binnen één of twee maanden ontworpen, getest en uitgerold kon worden.

Waar is de trots gebleven om dan toch zo'n slecht product op te leveren?
28-01-2021, 19:11 door Anoniem
Misschien gewoon ervoor zorgen dat men niet in bulk gegevens uit het systeem kan trekken?
28-01-2021, 19:16 door Anoniem
1 ding weet zeker ga me niet laten testen en wil niks te maken hebben met de GGD!
28-01-2021, 19:29 door Anoniem
Privé gegevens van miljoenen Nederlanders...
Zoveel zijn er niet getest. Blijkbaar ligt de hele GBA daar gewoon te grabbel. Voor 8000 (WTF!) man.

Tijd om een 'class act' zaak tegen onze dictators te starten. Allemaal een nieuw persoonsnummer. Zij hebben ze tenslotte gewoon te grabbel gegooid!

De praktijk: het zijn toch maar burgers. Glas. Plas. Was.
28-01-2021, 19:35 door Anoniem
Hij die in een papieren wereld leeft denkt dat systemen veilig zijn als de inhuurkrachten met lage lonen een VOG overhandigen, en een geheimhoudingsplicht ondertekenen. Zij die in de realiteit staan hebben daar een andere ervaring mee.

En in maart al eigen systemen automatisch en continu monitoren? Zo, dat geeft echt niet de indruk dat die systemen ontworpen zijn zonder security in gedachten vanaf het begin. Als je duct tape moet gebruiken om je vliegtuigje in de lucht te houden, dan blijf je niet lang een hoogvlieger. Too little, too late.

Security 101, anything not explicitly allowed, is explicitly forbidden.

Vraagje, is er zoiets banaals als een audit trail? Checks and balances, dat soort dingen.

Ander vraagje, gaan de aankomende verkiezingen (in anders dan traditionele vorm) ook zo aangepakt worden?
28-01-2021, 20:15 door Anoniem
Door Anoniem: Privé gegevens van miljoenen Nederlanders...
Zoveel zijn er niet getest. Blijkbaar ligt de hele GBA daar gewoon te grabbel. Voor 8000 (WTF!) man.

Tijd om een 'class act' zaak tegen onze dictators te starten. Allemaal een nieuw persoonsnummer. Zij hebben ze tenslotte gewoon te grabbel gegooid!

De praktijk: het zijn toch maar burgers. Glas. Plas. Was.

Daar lijkt het inderdaad op. Hele GBA staat gewoon open voor iedereen (ja, als het om duizenden mensen gaat die met een laag loon, lage betrokkenheid en snel omkoopbaar erbij kunnen, dan staat het praktisch gewoon open).

Ik steun de class action, maar ik denk dat ik geen "belanghebbende" ben, omdat ik bij voorbaat me niet laat testen door een overheid die vervolgens deze resultaten in een centrale database zet (gelinkt aan mijn ID).

Ik heb mijn collega's uitgelachen die bij een klein hoestje direct zich overgaven aan de GGD en zich lieten testen. Als ik een hoestje heb, dan blijf ik gewoon thuis. Helaas zit Nederland vol met bange schaapjes en watjes, zo is maar weer eens gebleken in deze coronatijd.
28-01-2021, 20:19 door Anoniem
Ook al zo'n fijne ontwikkeling:

https://nos.nl/artikel/2366362-beierse-burgemeester-zet-in-op-vaccinatiepas-voor-extra-vrijheden.html

rationeel gezien is het de grootste onzin.

Incompetent volk dat bestuur. En je staat machteloos tegenover deze rotzakken met hun waanideeën.
28-01-2021, 20:50 door karma4
Het is een systeem pas recent opgeleverd. 20 april 2020 me de druk van de epidemie.
De denkfout is dat als je de bekende voor de hand liggende testen doet, die welke vaak het nieuws, dan alles wel in orde is,
https://www.agconnect.nl/artikel/veiligheid-coronit-werd-voor-oplevering-getest Informatieveiligheid begint met een ontwerp. Vertrouwen op dat het werkt en we hebben het getest, maakt blind voor de echte tekortkomingen.
29-01-2021, 01:17 door DDK
TTvW ! (Te Triest voor Woorden ..) De meeste reacties hier gaan over het "hoe dan"..

er is een *wettelijke* verplichting om een risico inschatting te maken als men (bijzondere)persoonsgegevens verwerkt; de DPIA. Beste GGD; natuurlijk hebben jullie je netjes aan de regels gehouden en dus ook een DPIA uitgevoerd ? toch??

niet dus .. Ieder excuus is #kansloos. fout op fout in een globale noodsituatie, de meest extreme situatie die zich voor kan doen. Als je dit in het bedrijfsleven doet ziet je pensioen er niet zo uit zoals je had verwacht ....

En naast het prutswerk, is de bijvangst dat hiermee de motivatie om te vaccineren ondermijnd wordt...

Weet iemand of er een prijs bestaat voor het prutswerk van de eeuw ??
29-01-2021, 10:03 door Anoniem
Door Anoniem:
Redelijker wijs was het in februari 2020 al te voorzien dat een registratie-systeem nodig was. Als (voorheen) software ontwikkelaar van webapplicaties schat ik in dat een dergelijk systeem binnen één of twee maanden ontworpen, getest en uitgerold kon worden.

Als voormalig voorheen webapplicatieontwikkelaar en tegenwoordig opdrachtgever aan klantzijde, is mijn ervaring dat dit soort nattevingerinschattingen juist de kiem vormen van de meeste ellende. Dat is niet alleen de schuld van de inschatter, maar ook van opdrachtgevers die te graag in zo'n mooi verhaal willen stappen.
29-01-2021, 10:55 door Anoniem
Tevens zal de dienst mensen waarschuwen wanneer vaststaat dat hun gegevens zijn gestolen.

Dus miljoenen mensen krijgen van de GGD een brief(?) dat hun gegevens gestolen zijn en mogelijk misbruikt kunnen worden?
29-01-2021, 13:48 door Anoniem
@redactie
Het is misschien wel zinnig om even kort uit te leggen dat 'de GGD' (als in landelijk) niet bestaat.

Het is dus lokaal geregeld (van de GGD-website):
"De gemeente is verantwoordelijk voor de publieke gezondheid van haar inwoners.
De gemeente heeft deze taak (meestal) neergelegd bij de GGD.
GGD’en zijn gemeenschappelijke regelingen en worden bestuurd door de wethouders van deelnemende gemeenten".
Kortom elke wethouder is aansprakelijk/verantwoordelijk voor zijn/haar dienst.

Dat de GGD's eenzelfde soort ondersteuningspakket voor contactonderzoek (van besmettelijke ziekten) gebruiken staat daar los van. Bovendien is dat pakket NOOIT ontwikkeld voor het huidige gebruik voor CoViD. Er is vanwege de haast besloten dit te gebruiken. Begrijpelijk.
Maar goed, dan had je toen altijd nog even een PrivacyImpactAssessment moeten doen (kost 1 dag) om te weten hoe veilig het systeem dan was. Dan waren de gaten bekend en had je wel/geen maatregelen kunnen nemen.
En was dit nooit gebeurd.

Bovendien blijkt dat medewerkers van de GGD al in de zomer de leiding hebben gewaarschuwd voor deze zwakheden. Daar blijkt dus niets mee te zijn gedaan. Dat maakt het nog pijnlijker natuurlijk.
29-01-2021, 14:20 door Anoniem
Door karma4: Het is een systeem pas recent opgeleverd. 20 april 2020 me de druk van de epidemie.
De denkfout is dat als je de bekende voor de hand liggende testen doet, die welke vaak het nieuws, dan alles wel in orde is,
https://www.agconnect.nl/artikel/veiligheid-coronit-werd-voor-oplevering-getest Informatieveiligheid begint met een ontwerp. Vertrouwen op dat het werkt en we hebben het getest, maakt blind voor de echte tekortkomingen.

Informatieveiligheid begint met een organisatiebrede aanpak. Informatieveiligheid gaat over mensen en bedrijfsprocessen en het geautomatiseerde systeem maakt daar deel van uit. Als de organisatie op gebied van informatieveiligheid niet op niveau is, kun je systemen ontwerpen en testen wat je wilt, maar gaat dat niet helpen (sowieso helpt testen niet, testen toont hooguit gebreken aan).
29-01-2021, 15:46 door Anoniem
De GGD zou echter al maanden geleden door medewerkers zijn gewaarschuwd voor de privacyproblemen met de coronasystemen die de privégegevens van miljoenen Nederlanders bevatten. Gegevens die te koop op internet werden aangeboden.

Dit vind ik het meest ernstige. Ik lees dit als dat de gegevens al maanden te koop staan. Dan benadert de kans de 100% dat kopieën ver- en dus gekocht zijn. Door wie en met welk doel blijft afwachten... Maar nu is de tijd van reageren, van het nemen van passende maatregelen tegen misbruik, voor de slachtoffers dus gekomen.

Gezien niemand anders het doet, hier maar een brainstorm wat ze kunnen doen?
30-01-2021, 20:31 door Anoniem
Door Anoniem 29-01-2021, 13:48: @redactie
Het is misschien wel zinnig om even kort uit te leggen dat 'de GGD' (als in landelijk) niet bestaat.
Klopt! Men zou het eigenlijk moeten hebben over "GGD GHOR Nederland".

(https://nl.wikipedia.org/wiki/Gemeentelijke_gezondheidsdienst)
31-01-2021, 18:24 door Anoniem
Goed zo!! En Anoniem 29-01-2021, 13.48 haalt ook een ander probleem naar voren: de GGD Regio's mogen hun eigen beleid voeren. Er moet nog veel veranderen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.