image

Ministerie van Justitie neemt maatregelen naar aanleiding van datalek

woensdag 13 oktober 2021, 12:15 door Redactie, 9 reacties

Het ministerie van Justitie en Veiligheid gaat wegens een datalek dat 65.000 ambtenaren raakte verschillende maatregelen nemen, waaronder het aanscherpen van werkafspraken en procedures, een bewustwordingsprogramma en het invoeren van Data Leakage Protection, zo heeft demissionair minister Grapperhaus van Justitie en Veiligheid in een brief aan de Tweede Kamer laten weten.

Het datalek werd veroorzaakt door een voormalige externe medewerker bij het ministerie die tegen de regels in een analysetool kopieerde van de omgeving van Justitie en Veiligheid naar een eigen werkomgeving en vervolgens naar twee andere overheidsomgevingen. Deze medewerker voerde bij het ministerie kwaliteitscontroles uit op toegangsdiensten, zoals de Rijkspas.

Bij het kopiëren van de tool zijn ook de daaraan gekoppelde data gekopieerd. Het gaat om persoonsgegevens van zo'n 65.000 ambtenaren, waarvan een klein deel niet bij Justitie en Veiligheid werkzaam is. Het datalek bevat persoonsgegevens zoals naam, organisatie, soort dienstverband, ID/paspoortnummer, Rijkspasnummer, e-mailadres, geboorteplaats en –datum, geslacht en nationaliteit. Het datalek bevat geen privéadressen, telefoonnummers of wachtwoorden.

Volgens Grapperhaus kende de externe medewerker de geldende gedragsregels en handelde daarmee in strijd. "Op een aantal punten hadden de werkafspraken over de voorwaarden waaronder hij de persoonsgegevens waar hij toegang toe had verder mocht verwerken met de externe medewerker scherper kunnen worden gemaakt en vastgelegd", voegt de minister toe. De medewerker was naar eigen zeggen zich er niet van bewust dat door het transporteren van de data een datalek ontstond.

Vanwege het datalek werden drie onderzoeken uitgevoerd. Daaruit is naar voren gekomen dat er geen aanwijzingen zijn die erop duiden dat het bestand op andere locaties was of is opgeslagen en door onbevoegden is ingezien of gebruikt. "Hoewel dit door de beperkte beschikbaarheid van logbestanden niet met volledige zekerheid kan worden uitgesloten", stelt Grapperhaus.

Daarnaast laten de onderzoeken zien dat de naleving van procedurele en administratieve waarborgen kan worden verbeterd. Verder blijkt dat aan het gebruik van de MS Access-tool risico’s zijn verbonden die in eerder uitgevoerde risicoanalyses niet waren onderkend.

Aan de hand van de onderzoeken concludeert Grapperhaus dat het datalek het gevolg is van het individuele handelen van de externe medewerker en niet van ernstige tekortkomingen in de werkwijze bij de verwerking van de betrokken persoonsgegevens. Wel gaat het ministerie de werkafspraken en procedures bij inhuur van medewerkers en het databeheer binnen de betrokken afdeling aanscherpen.

Verder gaat het ministerie scherper kijken naar dataminimalisatie en is er een project gestart om de betreffende analysetool te vervangen. Op termijn staat de invoering van Data Leakage Protection (DLP) gepland. Het bewustzijnsprogramma "Weerbaar JenV" moet ervoor zorgen dat bewustzijn van beveiligingsrisico’s en de kennis van veilig digitaal werken van medewerkers die vergaande toegang hebben tot gegevens worden vergroot.

Afsluitend meldt Grapperhaus dat er vooralsnog geen aangifte tegen de externe medewerker wordt gedaan. Wel heeft de minister de externe medewerker, zijn werkgever en de mantelpartij via wie hij was ingehuurd aansprakelijk gesteld voor de door de Staat geleden of te lijden schade.

Reacties (9)
13-10-2021, 12:27 door Anoniem
Deze minister snapt hoe vingerwijzen werkt...

De minister:
Daarnaast laten de onderzoeken zien dat de naleving van procedurele en administratieve waarborgen kan worden verbeterd. Verder blijkt dat aan het gebruik van de MS Access-tool risico’s zijn verbonden die in eerder uitgevoerde risicoanalyses niet waren onderkend.

Wel gaat het ministerie de werkafspraken en procedures bij inhuur van medewerkers en het databeheer binnen de betrokken afdeling aanscherpen.

Verder gaat het ministerie scherper kijken naar dataminimalisatie en is er een project gestart om de betreffende analysetool te vervangen. Op termijn staat de invoering van Data Leakage Protection (DLP) gepland. Het bewustzijnsprogramma "Weerbaar JenV" moet ervoor zorgen dat bewustzijn van beveiligingsrisico’s en de kennis van veilig digitaal werken van medewerkers die vergaande toegang hebben tot gegevens worden vergroot.
en
Dezelfde minister:
Aan de hand van de onderzoeken concludeert Grapperhaus dat het datalek het gevolg is van het individuele handelen van de externe medewerker en niet van ernstige tekortkomingen in de werkwijze bij de verwerking van de betrokken persoonsgegevens.
13-10-2021, 12:31 door Anoniem
... die tegen de regels in een analysetool kopieerde van de omgeving van Justitie en Veiligheid naar een eigen werkomgeving ...
Deze medewerker voerde bij het ministerie kwaliteitscontroles uit op toegangsdiensten, zoals de Rijkspas.
De medewerker was naar eigen zeggen zich er niet van bewust dat door het transporteren van de data een datalek ontstond.

Dronken bestuurders moeten verplicht een bewustwordingscursus volgen.
Deze medewerker verplicht op compliance- en AVG-training?
13-10-2021, 12:42 door Anoniem
Ja en de datalekken waarbij burgers de dupe waren.
Wat doen we daar aan lachwekkend mannetje.
13-10-2021, 12:51 door Anoniem
Door Anoniem: Deze minister snapt hoe vingerwijzen werkt...
Snapte hij ook maar wat van IT. Of van privacy...
13-10-2021, 13:08 door Anoniem
Door Anoniem: Ja en de datalekken waarbij burgers de dupe waren.
Wat doen we daar aan lachwekkend mannetje.

Houd toch op!
Bent u er zo een die het leed dat anderen wordt aangedaan boven het leed van anderen stelt?
Wie bent u om zo te classificeren?
God?
In tegenstelling tot het zieke sentiment dat hier veel te vaak heerst dat ambtenaren verachtelijke onaanraakbaren zijn die vertrappeld mogen worden onder de hoeven van de zogenaamde 'hardwerkende mens', zijn ambtenaren voor misschien wel 99% gewone '9 tot 5 loonslaven' die naar de pijpen moeten dansen van hun werkgever (overheid in dit geval)
En het is gewoon treurig voor 65.000 van hen, dat hun persoonlijke gegevens zijn gelekt.
13-10-2021, 13:48 door Anoniem
Verder blijkt dat aan het gebruik van de MS Access-tool risico’s zijn verbonden die in eerder uitgevoerde risicoanalyses niet waren onderkend.
We weten allemaal dat MS Access, Excel, etc. totaal geen compliance/AVG kent, en dat was nota bene ook niet onderkend.
En dan toch gewoon gebruiken...
De enige oplossing is zorgen dat niemand, maar dan ook niemand, überhaupt zo'n programma kan gebruiken (dus ook niet stiekem).
13-10-2021, 14:49 door Anoniem
Door Anoniem:
Verder blijkt dat aan het gebruik van de MS Access-tool risico’s zijn verbonden die in eerder uitgevoerde risicoanalyses niet waren onderkend.
We weten allemaal dat MS Access, Excel, etc. totaal geen compliance/AVG kent, en dat was nota bene ook niet onderkend.
En dan toch gewoon gebruiken...
De enige oplossing is zorgen dat niemand, maar dan ook niemand, überhaupt zo'n programma kan gebruiken (dus ook niet stiekem).

Een programma op zich kent geen compliance/AVG. Degene die een programma gebruikt moet zich aan de AVG houden en toetsen of het programma dat hij gebruikt en de manier waarop hij het gebruikt, voldoet aan de AVG. Wie een access database maakt, moet dus de database aan dat onderzoek onderwerpen en controleren, dat zijn computer de gegevens niet op een ongeoorloofde manier beschikbaar maakt. Jij als gegevensverantwoordelijke moet controleren of je de regels volgt. Niet de programmeur die het raamwerk levert, wel de programmeur die in jouw opdracht de constructie bouwt, waarmee de gegevens verwerkt worden. En daarna controleer jij of alle regels correct worden opgevolgd.
13-10-2021, 14:58 door Anoniem
Door Anoniem:
Door Anoniem: Ja en de datalekken waarbij burgers de dupe waren.
Wat doen we daar aan lachwekkend mannetje.

Houd toch op!
Bent u er zo een die het leed dat anderen wordt aangedaan boven het leed van anderen stelt?
Wie bent u om zo te classificeren?
God?
In tegenstelling tot het zieke sentiment dat hier veel te vaak heerst dat ambtenaren verachtelijke onaanraakbaren zijn die vertrappeld mogen worden onder de hoeven van de zogenaamde 'hardwerkende mens', zijn ambtenaren voor misschien wel 99% gewone '9 tot 5 loonslaven' die naar de pijpen moeten dansen van hun werkgever (overheid in dit geval)
En het is gewoon treurig voor 65.000 van hen, dat hun persoonlijke gegevens zijn gelekt.

Kunt u lezen, waar haalt u dit hele verhaal vandaan,
13-10-2021, 17:48 door Anoniem
Moet bij J&V altijd denken aan het nummer:

I Get Along Without You Very Well.
Boulevard of Broken Dreams
https://www.youtube.com/watch?v=P6IpVnBP4S0
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.