Als je een beetje weet wat het ICT-kennisniveau bij een gemiddelde GDD is, dan had je geweten dat gegevens daar niet veilig zijn.

Van den Heuvel heeft dan blijkbaar wat missers van de GGD gemist. Het was al lang duidelijk dat daar niet zorgvuldig genoeg met je gegevens wordt omgegaan. Overigens is dat een probleem binnen de hele zorgketen.

Wel naïef, v/d Heuvel. Terwijl je anders zo doortastend bent.
GGD is overheid. Overheid heeft sch**t aan de burgers en hun gegevens.
De uitkomst is toch niet heel moeilijk te voorspellen. Toch?

Tja, als je https://uitspraken.rechtspraak.nl/#!/details?id=ECLI:NL:RBMNE:2022:3538 goed leest, dan maakte de daders dus foto's.... dat is gewoon niet te beveiligen, tenzij je privacy wetgeving zou overtreden met bijv. slimme camera's die andere mensen, telefoons, camera's enz in de prive ruimte zouden detecteren (wat dus niet mag).

Hier is dus fetelijk niets aan te doen. Je kan wel zorgen voor watermerken en zulke dingen, maar dan is de schade alsnog al gemaakt.

Maw, de data bij de GGD was veiliger dan m'n denkt, foto's zijn gemaakt, duidleijk te lezen.
Hoe voorkom je, thuiswerkers maken foto's? Niet toch...

Dooddoener. Ik zou niet weten hoe ik me tegen identiteitsdiefstal moet beschermen; dat kan ik namelijk niet voorkomen, hoe hard ik ook mijn best doe. Dáár zit het probleem.
Zelfs al zou ik me volledig digitaal isoleren in de samenleving, met niemand niet-analoge contacten onderhouden dan nog ben ik de sjaak vroeg of laat.

Ook callcenter medewerkers van bepaalde verzekeringsmaatschappijen (kenteken opvragen iemand?) of de nationale postcodelotterij (heel veel NAW gegevens) staan vaker te koop op basis van "individueel verzoek"

Op een niet nader genoemd platform wordt er gehandeld. Er zijn dus gewoon mensen die gaan werken bij bedrijven en die trekken de boel leeg. Vaak hebben ze een lang CV , en soms worden ze ook de laan uitgestuurd wegens iets anders

Dus check altijd oud werkgevers als je iemand aanneemt want je weet gewoon niet wat je in huis haalt tegenwoordig

Niet alleen interim personeel of vakantiewerkers, ook systeembeheerders ,van die ZZP bedrijfjes met inlichtingen nevenverdiensten, die overal waar ze komen "helpen" gelijk de databases kopieren en backdoors installeren

Dit is crimineel dus en deze gasten horen in de bak te zitten maar vreemd genoeg doet de overheid niets, die pakt alleen ons aan, als we waarheid spreken

Da's wel heel naief van John.

Newsflash: hoe meer de overheid van je opslaat, hoe meer er misbruikt kan/gaat worden.

Retorische vraag: moeten we dat wel willen?

Of geen gegevens op internet die niet nodig zijn zoals bijvoorbeeld een telefoonnummer, geboortedatum.

Ik denk dat na de missers er verbeteringen zijn doorgevoerd.
Met dit bericht zie ik niet over welke periode het gaat. Is het over de periode dat die datalek naar buiten kwam of een nieuwe?

Met dat laatste ben ik het eens, maar hier speelde iets anders: het waren geen "callcentermedewerkers van de GGD" maar van Teleperformance, een organisatie die voor deze monsterklus willekeurige mensen van straat plukte.

Daar waarschuwde ik al voor op 23 april 2020, uit https://security.nl/posting/653782:
De link daaronder, https://nos.nl/nieuwsuur/artikel/2331268-grootschalig-contactonderzoek-nodig-maar-wie-moet-dat-gaan-doen.html, werkt overigens nog wel.

Pay peanuts, get monkeys (10 Euro per uur, niet doorbetaald bij de vele storingen in de GGD-systemen: https://www.rtlnieuws.nl/economie/bedrijven/artikel/5185669/coronatestlijn-ggd-fnv-teleperformance-loon-werk). VWS dacht met een kwartje op de eerste rij te kunnen zitten, en nu krijgt de GGD daar de schuld van.

Helemaal zuur daarbij is dat BCO, na een geconstateerde Covid-19 besmetting, grotendeels zinloos was. De doorlooptijden waren namelijk, in de meeste gevallen, te groot. Bovendien gingen veel gewaarschuwden, die nog géén symptomen hadden, niet in zelfisolatie (terwijl de besmettelijkheid vaak het grootst was vóórdat mensen klachten kregen). De overheid heeft dit gedrag zelfs aangemoedigd met hun TV-spotjes "Heb je klachten, blijf thuis".

Aanvulling 14:55: ik zie zojuist dat er inderdaad ook GGD-medewerkers betrokken waren bij het lekken.

Als je goed tot je laat doordringen, wat er in de maatschappij de afgelopen drie jaar is gebeurd,
hoeft je dat totaal geen verbazing te wekken.
Het is allemaal zorgvuldig gepland en zo wordt het uitgevoerd.

Als de demissionaire M.P. zegt dat er niets verandert in het uit te voeren beleid na de huidige verkiezingsuitslag,
is het duidelijk dat de "directieven' van elders komen en naadloos worden uitgevoerd.

Er is een agenda en die agenda is er niet voor ons, de grote bulkk van eindgebruikers.
Zoveel staat inmiddels wel vast.

De rest van de happy few is op weg naar mogelijhk een virtuele onsterfelijkheid,
althans dat is hun streven, de grote meerderheid der mensheid kan dan "sneven".

We weten het ergens wel, maar het wordt zelden verwoord.

Het probleem was dat een willekeurige callcentermedewerker bij de gegevens kon van 6,5 miljoen Nederlanders. Daar gaat het al mis. Waarom zou een willekeurige callcentermedewerker bij zoveel gegevens moeten kunnen? Was er geen audit trail met bijbehorende monitoring? Zat er een zoekfunctie in zodat mensen gemakkelijk konden worden opgezocht (ipv op basis van het geven van een aantal identificerende gegevens)? We weten al dat er dumps gemaakt konden worden. Er is daar (onder tijdsdruk) behoorlijk wat misgegaan in de inrichting van de systemen en procedures en processen erom heen.

100% kun je inderdaad eea niet voorkomen, maar als je iedereen toegang geeft tot alle gegevens dan kun je verwachten dat er een rotte appel tussen zit die daar misbruik van maakt en er eigen voordeel uit probeert te halen.

Niet voor niets heb ik destijds direct mijn gegevens weer uit de GGD systemen (gegevens werden in meerdere systemen redundant opgeslagen) laten verwijderen. Overigens duurde deze verwijdering toen ongeveer 3 maanden om over de backups maar te zwijgen.

Het kunnen werken met een stuk specifieke software vereist geen ICT kennis maar personen die zich netjes aan de afspraken en wetgeving houden.

Bepaalde info gewoon niet tonen... Niet hele dossier zichtbaar maar needvto know... Gaat om afspraak of resultaat.
Beller levert identificerende info aan, invoer per item op apart scherm bij match komt er of een afspraak moment of een resultaat in beeld....
Kan uitstekend voorbereid worden.

Hoofdregel dient dus te zijn:

Deel nooit met internet, hetgeen je niet met jan en alleman in de ganse wereld zou willen delen.
Eenvoudige stelregel. Punt uit.

Anders kun je wel een megafoon ter hand nemen.
Vervolgens op een zeepkissie gaan staan in het Vondelpark
en dan weet heel Oud Zuid en verre omgeving van jouw persoonlijke intimiteiten.

Op Internet gaat dat nog veel rapper.
Maar we whatsappen de buurvrouw liever dan een praatje maken over de heg. (nu een beetje koud dat wel).
Nooit doen dus.

Spreekwoord geldt nog onverminderd. Spreken is zilver en zwijgen is goud'
Het zwijgen bewaren, als het moet, is je mooiste en veiligste Sint Nicolaascadeau,
en hartstikke gratis, daar is deze ouwe heilige duidelijk over.

Zeker nu in tijden dat er maar zo heel weinig cybercriminelen in de zak gaan. ;)

hoe kan een misdaadverslaggever zo naïef zijn?
zal vast de leeftijd zijn... Schijnbaar zijn mensen boven de 50 en onder de 25 nogal digi-naïef.

Misschien is Van den Heuvel wel zo naïef over de overheid omdat hij in zijn werk volop mensen meemaakt die ervoor werken; voor een misdaadjournalist liggen contacten met OM en politie nogal voor de hand. Dan kan zijn blik wat van het zuivere "overheid dus kwaadaardig" afgeleid zijn geraakt doordat hij de overheid zowel op goede als op slechte manieren meemaakt en daardoor het rare idee heeft gekregen dat ze niet alleen maar kwaadaardig zijn.

Correctie:
Deel nooit met je huisarts, hetgeen je niet met jan en alleman in de ganse wereld zou willen delen.
Eenvoudige stelregel. Punt uit.

Dit dus. Je moet is bij een call center gaan kijken van gemiddelde organisatie of overheidsonderdeel...

Nou kijk van den Heuvel, beveiliging is zo sterk als de zwakste schakel.
Die zwakste schakel is vaak een werknemer die niet te vertrouwen is.
Als misdaadverslaggever weet je dat er heel veel van die zwakke schakels rondlopen.

SyRI was kennelijk niet les genoeg. Daar ging het ook aan de lopende band fout, er werd op allerlei manieren misbruik van gemaakt dat nauwelijks stevig aangepakt werd. Tot aan regelrechte criminele voorzien van uiterst gevoelige informatie waar stevig misbruik van werd gemaakt.

Toeslagenaffaire, ook zo'n les.

Die ingehuurde bedrijfjes, die goudgeld vroegen om wegwerpkrachten toegang te geven tot medische informatie en waar onder andere de nodige gekochte QR codes uit voortkwamen.

Ideologische radicalen, in posities overal en nergens, die vinden dat ze zelf boven de wet staan als ze het ergens niet mee eens zijn, en derhalve geen enkele moeite hebben om iedereen te doxen die ze niet zint, te bespugen, te bedreigen, aan te vallen, gezamenlijk over te gaan tot cancel acties, iemands broodwinning onmogelijk te maken, inclusief onschuldige kinderen, familieleden, vrienden en kennissen ook te slachtofferen, want stel je toch voor dat iemand een andere mening heeft. Helemaal een onderbouwde waar je geen weerwoord op hebt. Werden en worden dergelijke lieden op staande voet ontslagen? Voorzien van een stevig strafblad? Nee, nauwelijks, hooguit hier en daar voor de vorm.

In een dergelijke maatschappij leven wij momenteel. All animals are equal, but some animals are more equal then others. Het "politiek correct zijn" is een synoniem geworden voor achterbaks en hypocriet zijn, want alles wat jij geoorloofd ("noodzakelijk") vindt moet gesubsidieerd en toegejuicht worden, ook het strafrechtelijk te veroordelen daarvan, maar als iemand dat, wettelijk toelaatbaar, jouw aandoet dan moet dat desnoods door de ME neer geknuppeld worden, want "zou niet mogen". Evenzo de meest smerige scheldwoorden iemand toewerpen die vroeger behoorlijk kwetsend waren, maar tegenwoordig zo vaak te pas en te onpas misbruikt dat het inmiddels een Geuzennaam is geworden.

Daarbij komt dat steeds meer mensen een extra zakcentje kunnen gebruiken, dus het is te verwachten dat als je die, nagenoeg ongecontroleerd, laat staan bestraft als ze buiten hun bevoegdheden treden, als een kat op het spek bindt er misbruik van gemaakt gaat worden.

De principes van weleer, waar onze beschaving op gebouwd was, worden niet langer gewaarborgd, laat staan bekrachtigd. Greed is good, is het nieuwe mantra, evenals doorrijden terwijl de lichten op rood staan. Ieders nageslacht gaat daar uiteindelijk "de vruchten van plukken", want als de koek op is resten slechts kruimels. Een parasitaire samenleving is als onbehandelde betonrot in de fundering van het huis der beschaving.

15 jaar geleden werd ik betrapt in de hermitage terwijk ik foto's maakte in de Rembrandt zaal
Die techniek bestaat dus al lang.

Daarnaast kun je heel veel doen met scherm opbouw, zodat foto's mislukken.

maar je moet het wel willen en daar zit het 'em.

Er zal altijd iemand zijn die wel volledige toegang heeft die om te kopen is of de inlog gegevens van iemand met volledige toegang wordt buitgemaakt middels logging en auditing kun je kun je sommige dingen voorkomen maar je kunt je niet 100 % dekken tegen corrupte medewerkers

100% voorkomen kan inderdaad niet.

Maar:
- Had de betreffende medewerker toegang nodig tot die gegevens? Zou die toegang bijvoorbeeld niet afhankelijk moeten/kunnen zijn van wie er op dat moment belt of met welk dossier men op dat moment bezig is?
- Tot welke gegevens had de medewerker toegang nodig? Tot alle gegevens? Of misschien maar tot een klein deel van de gegevens?
- Wordt gelogd welke gegevens precies worden geraadpleegd (en eventueel waarom)?
- Wordt de medewerker fatsoenlijk begeleid in zijn werkzaamheden?
- Vindt juiste screening plaats (en dan bedoel ik niet alleen het VOG-vinkje)?

En als laatste: Als de risico's onvoldoende kunnen worden verlaagd, is thuiswerken misschien niet de juiste keuze.

Onzin het ging om een commercieel bedrijf niks prive ruimte. En je kan voor gevoelige datazones ook appart ondertekend beleid opstellen met verbod op mobiele apparatuur en controle bij binnenkomst.

Hoe denk je dat ze dat in datacenters aanpakken daar wordt notabene je gewicht gemonitored bij naderen incheck en uitcheck zone. Bij ziekenhuizen was het vroeger althans ook common practice dat er een mobiel verbod was in het ziekenhuis voor personeel intern en extern. We mochten als rondlopend CERT personeel ook geen mobiels bij ons hebben we kregen portofoons. Twee hoofdredenen 1 verstoring van gevoelige apparatuur. 2. voorkomen exfiltratie gevoelige informatie.

Als je een bepaalde taak aanneemt met verhoogde gevoeligheid dan komen daar gewoon beperkingen bij te kijken en extra verantwoordelijkheden. Wil je niet daar aan meewerken dan is daar de deur of je kan naar een ander project gezet worden.

Ze hebben die Murken Zelf binnen gehaald en op sleutel posities gezet .
Nu het 1 grote criminele organisatie blijkt (wat de gewone burger allang wist) en toevallig een bange BN er doen ze er wat aan .

De medewerker zal toch data moeten kunnen opzoeken, dat dat kan zonder actief telefoongesprek bijv. is wellicht niet best... maar je kan dit niet dicht maken, dan kan er geen verifciatie plaatsvinden, geen afspraak planned wordne, enz.

Er was zeker een audit trail, zie uitspraak, er staat prcs in wie wat wanneer zocht... dus ja die was er.
Natuurlijk kunnen dingen bij een GGD veel beter, maar zelfs met de beste beveiliging, een tel nr. mail adres. en naam van burger heb je al snel nodig om afspraken te kunnen maken. Ook voor bron en contact onderzoek zul je toch data nodig hebben....

Ik hoop (en verwacht) dat John echt niet zo naïef was als de aan hem toegeschreven uitspraak.
Als iemand moet en kan weten dat criminele handel - in wat dan ook - floreert als er een markt is en de mogelijkheid om te leveren is hij het wel.

Zijn naam en situatie is natuurlijk gebruik als aansprekend en begrijpelijk voorbeeld door de AP waarom privacy/persoonsgegevens en de beveiliging ervan zo belangrijk moeten zijn .

Als de uitspraak (iets) herformuleert naar 'teleurgesteld dat ook de GGD gezien hun rol en noodzaak van toegang tot veel gegevens te weinig beveiliging had ' is het een terechte uitspraak.

Als ambtenaren van te voren kunnen bedingen, ondanks alles wat er eventueel boven water komt drijven,
niet vervolgd te kunnen worden, dan weten we wel hoe de vlag er inmiddels bijhangt.

Over x aantal jaren wordt er nog eens iemand op afgerekend.
Tenminste als er dan nog iemand rondloopt met actieve herinneringen hieraan.

Anders is de loop van de geschiedenis al anders opgetekend dan nu verwacht.

Is de toeslagaffaire al .... ik bedoel maar,

luntrus