Datalek bij ministerie van Justitie en Veiligheid raakt 65.000 ambtenaren
Door een datalek bij het ministerie van Justitie en Veiligheid zijn de persoonsgegevens van 65.000 ambtenaren onterecht terechtgekomen bij twee andere overheidsorganisaties. Dat heeft minister Grapperhaus van Justitie en Veiligheid in een brief aan de Tweede Kamer laten weten.
Het datalek werd veroorzaakt door een voormalige externe medewerker bij het ministerie die tegen de regels in een analysetool kopieerde van de omgeving van Justitie en Veiligheid naar een eigen werkomgeving en vervolgens naar twee andere overheidsomgevingen. Deze medewerker voerde bij het ministerie kwaliteitscontroles uit op toegangsdiensten, zoals de Rijkspas.
Bij het kopiëren van de tool zijn ook de daaraan gekoppelde data gekopieerd. Het gaat om persoonsgegevens van zo'n 65.000 ambtenaren, waarvan een klein deel niet bij Justitie en Veiligheid werkzaam is. Het datalek bevat persoonsgegevens zoals naam, organisatie, soort dienstverband, ID/paspoortnummer, Rijkspasnummer, e-mailadres, geboorteplaats en –datum, geslacht en nationaliteit. Het datalek bevat geen privéadressen, telefoonnummers of wachtwoorden.
"Op dit moment heb ik geen indicatie dat deze data door onbevoegden zijn ingezien of gebruikt. Het onderzoek dat hierover uitsluitsel moet geven, is nog niet afgerond. De betreffende data zijn na ontdekking verwijderd dan wel onbruikbaar gemaakt bij de twee overheidsorganisaties en bij de betreffende medewerker. Ik betreur het incident zeer en neem dit hoog op", laat Grapperhaus weten.
Het datalek bij het ministerie werd ontdekt door koepelorganisatie GGD GHOR, doordat zij de gekopieerde data tijdens een routinecontrole op het netwerk, waar het naartoe was gekopieerd, aantroffen. Dit werd vervolgens aan het ministerie gemeld. Daarna werd de data ook aangetroffen bij het Openbaar Ministerie en bij de eigen werkomgeving van betrokkene. Na ontdekking van het datalek is dit gemeld bij de Autoriteit Persoonsgegevens en zijn er drie onderzoeken gestart.
Grapperhaus stelt dat het op het ministerie nadrukkelijk verboden is om vertrouwelijke of privacygevoelige informatie op onveilige apparatuur te verwerken, zoals op privémiddelen. "Deze informatie moet altijd met grote zorgvuldigheid worden behandeld en die zorgvuldigheid is hier met voeten getreden." De Accountantsdienst Rijk (ADR) doet nu een audit naar het incident om verbetermaatregelen voor te stellen.
Tevens is er een extern bedrijf ingeschakeld om een forensisch onderzoek uit te voeren. Daarmee moet worden bepaald of meer personen buiten Justitie en Veiligheid toegang hebben gehad tot het gegevensbestand. Verder doet de Dienst Justitiële Inrichtingen (DJI) onderzoek naar de feitelijke handelingen rond dit incident op de werkvloer. Afsluitend laat de minister weten dat alle personen die in het datalek voorkomen zijn geïnformeerd.
O ja, toch wel, onschuldige hardwerkenden monitoren.
En criminelen zoveel als mogelijk beschermen.
ben je toch van lottje getikt....ministerie van grappenmakers....
Maar ondertussen wel blijven drammen dat alles digitaal moet.
https://www.youtube.com/watch?v=W31ymDKgBPw ..."bellen wij het geheime nummer van de computer"...
De afkorting ADR staat voor de Audit Dienst Rijk. De ADR is een onderdeel van het ministerie van Financiën.
https://www.rijksoverheid.nl/contact/contactgids/auditdienst-rijk
Een oplettende systeembeheerder bij de GGD heeft Nederland dus behoed voor 'Italiaanse' toestanden, waarbij zo'n beetje alle ID gegegevens van de J&V ambtenaren mogelijk op straat zouden zijn beland.
Afhankelijk van de gelekte gegevens kun je immers een stuk vatbaarder zijn voor doelgerichte phishing of misschien zelfs identiteitsfraude. Het is goed dat je op de hoogte wordt gebracht dat je data helaas is uitgelekt, maar het voelt een beetje gek dat daarmee de kous af zou zijn.
Op basis van informatie van de Autoriteit Persoonsgegevens (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken), heb ik de indruk dat je pas iets kunt doen als je door het datalek verwijtbare schade lijdt. Daardoor voelt dit wel een beetje als de mededeling "Hoi, helaas zijn je gegevens uitgelekt. We gaan proberen ons leven te beteren. Wel vervelend voor je en succes ermee.".
Is het ter kennisgeving aannemen echt het enige dat je kunt doen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.