image

GGD schakelt printfunctie uit in coronasysteem wegens datadiefstal

zondag 31 januari 2021, 07:41 door Redactie, 22 reacties

GGD-medewerkers die overzichten of individuele dossiers in het coronasysteem HPZone Lite willen printen kunnen dit niet meer doen. De printfunctionaliteit is naar aanleiding van de recent ontdekte datadiefstal uitgeschakeld, zo meldt GGD GHOR, de koepelorganisatie van de GGD'en en GHOR-bureaus, via de eigen website.

HPZone en HPZone Lite zijn webapplicaties voor de registratie van infectieziekten. Het wordt gebruikt voor bron- en contactonderzoek. HPZone Lite is een variant van HPZone waarmee alleen coronagegevens aan GGD-medewerkers beschikbaar worden gesteld. Het bevat de data van zo'n één miljoen mensen. Het gaat om naam, adres, woonplaats, telefoonnummer, geslacht, geboortedatum en burgerservicenummer.

Verder wordt in HPZone ook informatie uit de bron- en contactonderzoeksgesprekken vastgelegd, waaronder medische gegevens, waar iemand is geweest en met wie hij contact heeft gehad. Ook wordt informatie vastgelegd van bronnen en nauwe contacten. Onlangs bleek dat persoonsgegevens uit het systeem op internet te koop werden aangeboden.

HPZone beschikt over een exportfunctie om een selectie van de gegevens in het systeem te downloaden als lijst in bijvoorbeeld Microsoft Excel. Het gaat dan bijvoorbeeld om leeftijd, postcode en testuitslag. De lijsten worden gebruikt voor onder andere de werkverdeling, analyses en rapportages om zicht te houden op het virus, aldus GGD GHOR.

Naar aanleiding van de datadiefstal zijn de belangrijkste exportmogelijkheden recentelijk al uitgeschakeld. "We werken ook aan het aanpassen van alle overige exportmogelijkheden. De rechten voor gebruik van de resterende, benodigde exportfunctionaliteit zijn aan minder mensen toegekend op basis van beperktere rollen", zo liet de koepelorganisatie eerder deze week weten.

Gisteren werd besloten om ook de printfunctionaliteit in HPZone en HPZoneLite uit te schakelen. Dit geldt voor zowel het maken van overzichten als het printen van individuele dossiers. Naast HPZone Lite maken de GGD'en ook gebruik van het coronasysteem CoronIT. Dit systeem beschikt niet over een exportfunctie, maar wel over een printfunctie. Die werd afgelopen maandag al uitgeschakeld.

Reacties (22)
31-01-2021, 08:46 door Anoniem
Een jaar te laat, maar goed.
Iets met een kalf en een put. Maar wat verwacht je anders van de overheid?

Ondertussen drammen dat alles digitaal moet. What could possibly go wrong?
31-01-2021, 09:04 door Anoniem
De lijsten worden gebruikt voor onder andere de werkverdeling, analyses en rapportages om zicht te houden op het virus, aldus GGD GHOR.
[...]
Naar aanleiding van de datadiefstal zijn de belangrijkste exportmogelijkheden recentelijk al uitgeschakeld. "We werken ook aan het aanpassen van alle overige exportmogelijkheden. De rechten voor gebruik van de resterende, benodigde exportfunctionaliteit zijn aan minder mensen toegekend op basis van beperktere rollen", zo liet de koepelorganisatie eerder deze week weten.

Oh, dus het systeem heeft wel de mogelijkheden (rollen) om deze functionaliteiten te beperken. Daar lag het dus niet aan.
Maar, hoort dit dan niet S.O.P. te zijn?
Waarom moeten alle gebruikers dit standaard kunnen. Doen alle (duizenden) medewerkers aan werkverdeling, analyses en rapportages maken. Welk helder licht heeft dat bedacht, en met welke argumentatie.

Het GGD GHOR had het in een eerder statement over een zwakste schakel. Zoek maar niet verder. Dit is hem.
31-01-2021, 12:13 door Anoniem
Door Anoniem:
De lijsten worden gebruikt voor onder andere de werkverdeling, analyses en rapportages om zicht te houden op het virus, aldus GGD GHOR.
[...]
Naar aanleiding van de datadiefstal zijn de belangrijkste exportmogelijkheden recentelijk al uitgeschakeld. "We werken ook aan het aanpassen van alle overige exportmogelijkheden. De rechten voor gebruik van de resterende, benodigde exportfunctionaliteit zijn aan minder mensen toegekend op basis van beperktere rollen", zo liet de koepelorganisatie eerder deze week weten.

Oh, dus het systeem heeft wel de mogelijkheden (rollen) om deze functionaliteiten te beperken. Daar lag het dus niet aan.
Maar, hoort dit dan niet S.O.P. te zijn?
Waarom moeten alle gebruikers dit standaard kunnen. Doen alle (duizenden) medewerkers aan werkverdeling, analyses en rapportages maken. Welk helder licht heeft dat bedacht, en met welke argumentatie.

Het GGD GHOR had het in een eerder statement over een zwakste schakel. Zoek maar niet verder. Dit is hem.

Precies, de GGD had dus wél de mogelijkheden om de zaak veiliger te maken dan wat het was, verwijtbaar datalek.
Geef maar geen boete AP, dat is allemaal overheiddsgeld dus de belatingbetaler mag het weer ophoesten. Oh, wacht de inkomsten zijn voor de ook voor de overheid. Vestzak, broekzak verhaal het maakt die overheidsdiensten allemaal geen bal uit.
31-01-2021, 13:09 door Anoniem
Door Anoniem: Een jaar te laat, maar goed.
Iets met een kalf en een put. Maar wat verwacht je anders van de overheid?

Ondertussen drammen dat alles digitaal moet. What could possibly go wrong?
Pen en papier is ook niet alles. Kijk maar hoe James Bond werkt.
31-01-2021, 14:41 door Anoniem
Door Anoniem:
De lijsten worden gebruikt voor onder andere de werkverdeling, analyses en rapportages om zicht te houden op het virus, aldus GGD GHOR.
[...]
Naar aanleiding van de datadiefstal zijn de belangrijkste exportmogelijkheden recentelijk al uitgeschakeld. "We werken ook aan het aanpassen van alle overige exportmogelijkheden. De rechten voor gebruik van de resterende, benodigde exportfunctionaliteit zijn aan minder mensen toegekend op basis van beperktere rollen", zo liet de koepelorganisatie eerder deze week weten.

Oh, dus het systeem heeft wel de mogelijkheden (rollen) om deze functionaliteiten te beperken. Daar lag het dus niet aan.
Maar, hoort dit dan niet S.O.P. te zijn?
Waarom moeten alle gebruikers dit standaard kunnen. Doen alle (duizenden) medewerkers aan werkverdeling, analyses en rapportages maken. Welk helder licht heeft dat bedacht, en met welke argumentatie.

Het GGD GHOR had het in een eerder statement over een zwakste schakel. Zoek maar niet verder. Dit is hem.
Dat lcht heet gemakzucht. Geen tijd om in te richten.
31-01-2021, 15:22 door Anoniem
En wat doet men aan de PrtSc functie??
31-01-2021, 15:47 door karma4
Door Anoniem: Een jaar te laat, maar goed.
Iets met een kalf en een put. Maar wat verwacht je anders van de overheid?
Ondertussen drammen dat alles digitaal moet. What could possibly go wrong?
Probeer eens een panepidemie te voorspellen. Aleid Wolfsen is vast helderziend met zijn affectie voor chinese toestanden. Privacy is enkel voor zij die meer gelijks zijn dan de gelijken.

Wat hier mis ging is dat iets wat gebouwd is voor kleinschalig gebruik niet zomaar geschikt is voor grootschalige inzet.
Even opschalen is gewoonlijk kansloos om het goed te doen als niet daarvoor ontworpen is.
Goed ontwerpen kost tijd en is veel duurder.
31-01-2021, 15:54 door Anoniem
Door Anoniem:
Dat lcht heet gemakzucht. Geen tijd om in te richten.
Wij stelden vroeger juist alles heel krap in, zodat de klagers bij ons mochten uitleggen, waarom ze een bepaalde functie wel nodig hadden. Zelden zoveel k*tsmoezen gehoord in die tijd.
31-01-2021, 16:22 door Anoniem
Door karma4:Wat hier mis ging is dat iets wat gebouwd is voor kleinschalig gebruik niet zomaar geschikt is voor grootschalige inzet. Even opschalen is gewoonlijk kansloos om het goed te doen als niet daarvoor ontworpen is. Goed ontwerpen kost tijd en is veel duurder.

Maar de koepelorganisatie zegt nu zelf: "De rechten voor gebruik van de resterende, benodigde exportfunctionaliteit zijn aan minder mensen toegekend op basis van beperktere rollen".

Het ontwerp beschikte dus al over rollen om functionaliteit te beperken voor groepen medewerkers.
Dat dit bij de kleinschalige GGD al slecht ingericht was, is geen excuus om dat dan maar zo te laten bij opschaling naar grootschalig gebruik.

De GGDs zijn al ruim een jaar (naar boven afgerond) opgeschaald. En dan hebben ze nog geen tijd gehad om de rollen aan te passen? Daarvoor moet eerst de boel gaan lekken als een zeef?

Er zijn het afgelopen jaar meerder momenten geweest waarop de GGD van zijn eigen medewerkers signalen kreeg, waar vervolgens niets mee gedaan is.
Want iedereen was aan het exporteren, werkverdelen, etc?
Er waren geen werknemers met ondersteunende functies die met hun leidinggevenden hier aan konden werken het afgelopen jaar? Bv ICT.

Overheid en ICT. Een eindeloos drama. En zowel politiek als uitveoerende organsiateis levren maar niet van het verleden.
Zo ook hier.

Advies: ICT afschaffen voor de overheid. Zij kan er blijkbaar niet (goed) mee omgaan en wil er ook niet in investeren Want dat kost veel geld en vereist opbouw van eigen inhuis-expertise.

Terug naar pen en papier.
Dat was ook niet zaligmakend, maar dan heb je geen grootschalige data-lekken meer.
En het is uiteindelijk goedkoper voor iedereen.
31-01-2021, 17:42 door Anoniem
Door karma4:
Door Anoniem: Een jaar te laat, maar goed.
Iets met een kalf en een put. Maar wat verwacht je anders van de overheid?
Ondertussen drammen dat alles digitaal moet. What could possibly go wrong?
Probeer eens een panepidemie te voorspellen. Aleid Wolfsen is vast helderziend met zijn affectie voor chinese toestanden. Privacy is enkel voor zij die meer gelijks zijn dan de gelijken.

Wat hier mis ging is dat iets wat gebouwd is voor kleinschalig gebruik niet zomaar geschikt is voor grootschalige inzet.
Even opschalen is gewoonlijk kansloos om het goed te doen als niet daarvoor ontworpen is.
Goed ontwerpen kost tijd en is veel duurder.
Door karma4:
Door Anoniem: Een jaar te laat, maar goed.
Iets met een kalf en een put. Maar wat verwacht je anders van de overheid?
Ondertussen drammen dat alles digitaal moet. What could possibly go wrong?
Probeer eens een panepidemie te voorspellen. Aleid Wolfsen is vast helderziend met zijn affectie voor chinese toestanden. Privacy is enkel voor zij die meer gelijks zijn dan de gelijken.

Wat hier mis ging is dat iets wat gebouwd is voor kleinschalig gebruik niet zomaar geschikt is voor grootschalige inzet.
Even opschalen is gewoonlijk kansloos om het goed te doen als niet daarvoor ontworpen is.
Goed ontwerpen kost tijd en is veel duurder.

Heeft niks met helderziendheid te maken en we kennen jouw afkeer tegen het AP nu onderhand wel.
Er is meerdere keren op meerdere momenten bij de GGD aangegeven dat het systeem een probleem is. Daar is NIKS mee gedaan, het verweer dat het niet zou kunnen is dus feitelijk onjuist gebleken aangezien het nu er een stuk beter uitziet dan een week geleden.

Het kon dus wel met dit HPZone pakket alleen ging men er vanuit dat er alleen maar betrouwbare mensen toegang zouden hebben. Niks druk en pandemie, gewoon laksigheid en niet nagedacht, niet vooraf en niet na meerdere waarschuwingen.
31-01-2021, 18:20 door Anoniem
Alles moet digitaal? Ja, wat de administratie zou anders een papieren draak worden. Verder is er niks mis met de software, printen had uit moeten staan voor bepaalde accounts in de rollenmatrix, dit is bij de GAT niet goed getest. Info delen vanaf het scherm is een typisch thuiswerkprobleem, denk eens aan de banken en BKR ... oh wat is het stil aan de overkant.
31-01-2021, 22:00 door karma4
Door Anoniem: Heeft niks met helderziendheid te maken en we kennen jouw afkeer tegen het AP nu onderhand wel.
Er is meerdere keren op meerdere momenten bij de GGD aangegeven dat het systeem een probleem is. Daar is NIKS mee gedaan, het verweer dat het niet zou kunnen is dus feitelijk onjuist gebleken aangezien het nu er een stuk beter uitziet dan een week geleden.

Het kon dus wel met dit HPZone pakket alleen ging men er vanuit dat er alleen maar betrouwbare mensen toegang zouden hebben. Niks druk en pandemie, gewoon laksigheid en niet nagedacht, niet vooraf en niet na meerdere waarschuwingen.
De afkeer van het AP wordt veroorzaakt door hun afkeer van privacy en proportioneel handelen. Het stil leggen van bron en contact onderzoek is ongeveer het zelfde als een systeem dat niet gebruikr wordt en uit staat is veilig. Je weet hopelijk dat het niet beschikbaar zijn van een verwerking ook een datalek is?

Het bstreffendd systeem is noout bedacht voor deze grootschalige inzet. Dat is kennis achteraf. Je had het april vorig jaar moeten melden niet de afgelopen weken. Je zit met tijd wat en wanneer gebeurd is er gewoon naast.
31-01-2021, 22:57 door Anoniem
Door Anoniem: En wat doet men aan de PrtSc functie??

Het zelfde wat men doet aan een smartphone met een camera. Alles wat onze ogen waarnemen kan je ook vastleggen
01-02-2021, 05:49 door [Account Verwijderd] - Bijgewerkt: 01-02-2021, 05:51
De betrokkenen mogen blij zijn dat ik niet heers. Ik liet kopers en verkopers executeren op het binnenhof met pers uit binnen en buitenland.

Eens kijken wie daarna nog interesse had om te kopen of verkopen.

Verder werkt anno 2021 niets meer. Helaas.
01-02-2021, 09:28 door Anoniem
Door Anoniem: En wat doet men aan de PrtSc functie??
Zolang het zichtbaar is, is het onmogelijk om lekken 100% uit te sluiten. Als je Print Screen al uitschakelt, dan is een foto met telefoon nog mogelijk. En als je telefoons niet toestaat op de werkvloer, dan schrijft iemand het wel over met pen en papier.
01-02-2021, 09:58 door Anoniem
Door Anoniem:
Door Anoniem: En wat doet men aan de PrtSc functie??
Zolang het zichtbaar is, is het onmogelijk om lekken 100% uit te sluiten. Als je Print Screen al uitschakelt, dan is een foto met telefoon nog mogelijk. En als je telefoons niet toestaat op de werkvloer, dan schrijft iemand het wel over met pen en papier.

Maar een export functie met > tig miljoen records is even iets makkelijker dan tig miljoen foto's maken.
01-02-2021, 10:16 door Anoniem
ik zie structuur ontstaan bij overheid en semi overheid. Nu GGD, eerder was een vergelijkbare zaak al bij Belastingdienst onze grote vriend. Vervolgens kwam dit ook aan het ligt bij onze broeders in blauw (politie). Ik weet niet hoor, maar volgens mij kun je bij de overheid niet alleen de ministers naar huis sturen maar ook al dat gepeupel eronder dat een verantwoordelijkheid heeft en moet nemen (en zich niet achter de wet verschuilen). Regel dient de mens niet andersom toch?

1x overkomt je.
2x is stom en een signaal
3x is een patroon.
4x is structureel.

was er bij BZK ook niet zo een akkefietje??
01-02-2021, 10:42 door SimonS
Een bedrijf had bij zo'n groot lek de tent kunnen sluiten...
01-02-2021, 14:39 door Anoniem
Door SimonS: Een bedrijf had bij zo'n groot lek de tent kunnen sluiten...

Kon je maar naar de concurrent overstappen :-)
01-02-2021, 14:46 door Anoniem
Door karma4: Het bstreffendd systeem is noout bedacht voor deze grootschalige inzet. Dat is kennis achteraf. Je had het april vorig jaar moeten melden niet de afgelopen weken. Je zit met tijd wat en wanneer gebeurd is er gewoon naast.

Niet hetzelfde blijven herhalen, tot je een ons weegt.

De GGD-koepel geeft zelf aan dat er rollen bestaan waarmee e.e.a. aan rechten ingeperkt kan worden.
Dit hadden ze dus ook al eerder kunnen doen (bij een van de eerdere interne meldingen), maar dat hebben ze nagelaten. Willens en wetens.

Schaalgrootte heeft in dit geval dus niets met dit probleem te maken.
Het goed inrichten of bijstellen van een inrichting van een systeem wel.

Dit is ook niet recht te praten met: pandemie, haast, andere prioriteiten.
Alsof de IT-ers een jaar lang niet naar hun systemen om hebben gekeken.
Hoe professioneel zijn de GGDs eigenlijk op ICT gebied, dit mega-lek in beschouwing nemende?
01-02-2021, 20:38 door karma4
Door Anoniem: Niet hetzelfde blijven herhalen, tot je een ons weegt.
..
Hoe professioneel zijn de GGDs eigenlijk op ICT gebied, dit mega-lek in beschouwing nemende?
Dat "mijn privacy" wordt ook onterecht herhaald tot ze een ons wegen.

De GGD koepel heeft woordvoerders, je moet een kijken naar het verschil in de praktijk en wat de woordvoerder zegt.
Besef dat eens dat het beleid is om aan te bestede en in te kopen. Gewoon even googlen en je vindt de leverancier en de beloftes. Ze kunnen er niet eens een jaar lang niet naar gekeken hebben, het is nog niet zo lang afgeleverd.

Dat laatste is veel meer correct op wat er speelt.
De GGD's zijn niet in control op ICT gebied, geen wonder het meeste is uitbesteed en wat er als gemeenschappelijke dienst overgebleven is is gericht op ondersteuning van onderzoekers niet het kwalitatief hoog inzetten van massa operaties.
02-02-2021, 16:47 door Anoniem
Eindelijk de waarheid waar de afkorting GGD voor staat....

Gigantisch Groot Datalek
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.