Gemeente Den Bosch lekt burgerservicenummer van 23.000 inwoners
De gemeente Den Bosch heeft van 23.000 inwoners het burgerservicenummer (BSN) gelekt, alsmede naam en adresgegevens. Het datalek deed zich afgelopen maandag voor toen twee lijsten met informatie over parkeervergunninghouders door een menselijke fout per ongeluk via e-mail werden gedeeld met een inwoner. De lijsten waren gegenereerd voor intern gebruik en hadden intern moeten blijven. In deze lijsten stond informatie over zo'n 23.000 parkeervergunninghouders met onder andere BSN-nummer, naam en adres.
"We vinden het uiteraard enorm vervelend voor de inwoners die dit aangaat", zo staat in het vandaag verschenen Informatiebulletin voor de gemeenteraad (pdf). De ambtenaar die de fout maakte heeft dit gemeld, waarna verschillende maatregelen zijn genomen. Zo is de ontvanger van de e-mail geïnformeerd dat de e-mail niet voor hem of haar bestemd was en is verzocht de e-mail te verwijderen.
"Er is telefonisch contact geweest met de ontvanger. De ontvanger heeft zowel telefonisch als per e-mail (schriftelijk) bevestigd dat de e-mail en de ontvangen persoonsgegevens zijn verwijderd", zo laat de gemeente verder weten. Het datalek is inmiddels gemeld bij de Autoriteit Persoonsgegevens. Ook zijn alle gedupeerden geïnformeerd. De gemeente zegt verder de interne werkprocessen te hebben aangepast om soortgelijke datalekken te voorkomen. Hierdoor is het niet meer mogelijk om lijsten te genereren en te delen met anderen.
Goede nieuwe regel?
De boete zal wel 2 tientjes ofzo zijn.
Omdat het kan? Vaak wordt er onvoldoende over nagedacht en blijven mensen "gewoontedieren" die liever lui zijn dan moe. Jammer, maar heel vaak de realiteit.
Goede nieuwe regel?
Hoi! Nu nog vingerafdrukken gaan lekken!
Goede nieuwe regel?
"Dat je een BSN weet" zegt niets over wie je bent.
Goede nieuwe regel?
Waarom zou je BSN nodig hebben? Het gaat over voertuigen. Het is een typisch geval van teveel informatie.
Tweedens: deze mensen zouden niet op een lijst moeten staan en ook niet op een lijst die wordt doorgestuurd, voor geen enkel doel. 'Dat is handig' is geen doel.
Maar zo aan de reactie te zien zijn er nog genoeg die het verschil niet weten tussen CC en BCC.
Maar zo aan de reactie te zien zijn er nog genoeg die het verschil niet weten tussen CC en BCC.
De ontvanger van de e-mail had helemaal géén e-mail moeten krijgen: daar zat de fout (het datalek).
Het verschil tussen CC en BCC is dus helemaal niet relevant hier.
Want ... dan had deze persoon de mail niet ontvangen?
Maar zo aan de reactie te zien zijn er nog genoeg die het verschil niet weten tussen CC en BCC.
Ik denk dat jij het artikel maar eens moet gaan lezen. Het gaat om een bijlage die nooit bij de burger had mogen komen. Dat staat dus geheel los van CC of BCC.
Er moeten berichten (emails, brieven) verzonden worden naar een selectie van mensen uit de database en de software die die berichten genereert, heeft geen koppeling met de database, maar verlangt een los import-bestand.
Er moeten gegevens van een groot aantal mensen in de database nagelopen of bijgewerkt worden. De database heeft geen mogelijkheid om gegevens massaal bij te werken. De gegevens exporteren, bijwerken in Excel, en terug importeren is vele malen sneller dan één voor één de contacten bewerken in de database.
Er moet statistiek losgelaten worden op de gegevens in de database, maar het statistiekprogramma heeft geen koppeling met de database en verlangt een los import-bestand.
Het gebruikte database-programma is verouderd, maar een migratie – inclusief selectie, aanschaf, installatie, en training – is duur en tijdrovend. Het ontwikkelen van dergelijke koppelingen naar andere programma's blijkt niet mogelijk, of is opnieuw heel duur.
Het personeel is niet voldoende technisch onderlegd om de nieuwere/veiligere methodes te gebruiken en grijpt terug op de bekende ouderwetse, snellere, maar onveiligere methoden.
Vestzak broekzak en excuus om zo voort te gaan.
Op weg naar de dystopische chaos.
Er moeten berichten (emails, brieven) verzonden worden naar een selectie van mensen uit de database en de software die die berichten genereert, heeft geen koppeling met de database, maar verlangt een los import-bestand.
Er moeten gegevens van een groot aantal mensen in de database nagelopen of bijgewerkt worden. De database heeft geen mogelijkheid om gegevens massaal bij te werken. De gegevens exporteren, bijwerken in Excel, en terug importeren is vele malen sneller dan één voor één de contacten bewerken in de database.
Er moet statistiek losgelaten worden op de gegevens in de database, maar het statistiekprogramma heeft geen koppeling met de database en verlangt een los import-bestand.
Het ging hier om een twee 'lijsten'. Exporteren/importeren is geen werk voor een doorsnee medewerker, dat hoort bij de applicatiebeheerder te liggen. De applicatiebeheerder moet goed opgevoed zijn hoe om te gaan met persoonsgegevens.
Dat zijn geen geldige redenen om bestanden op te sturen via email. Wat 's-Hertogenbosch wel goed doet is email niet via Microsoft's servers te laten verlopen, maar via een lokale Outlook/Exchange. Als dit via Microsoft's online diensten zou verlopen en in sommige gevallen ook bij on-site, zou Microsoft alle data in handen krijgen. Die kan het onder meer in het kader van scanning door servers die onder meer in de VS staan of vanuit de VS toegankelijk zijn op in te zien zijn door een land zonder afdoende privacybescherming.
Of er waren nog geen nieuwe methoden geimplementeerd en dit is nog de oude methode.
Gemeenten hebben tientallen bedrijfsapps, daarom beter en beheersbaarder om data uit alle apps via ETL in een datawarehouse te trekken. Via een goed aanvraagpoces daarop de rapporten aan te bieden die nodig zijn, en uiteraard dataminimalisatie toepassen dus wel naw maar geen bsn's voor een simpele mailing. En tot slot toegang tot rapporten rolgebaseerd toekennen aan mensen die daarvoor opgeleid zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Subsidie
Veel IT-dienstverleners wijzen hun mkb-klanten nu op deze cybersubsidie:
Mijn Cyberweerbare Zaak
Ontdek waarom
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?