Waarom kan iemand dit en doet iemand dit? Zorg en security is een ongelukkige combinatie: gelukkig verwerken ze enkel SPII data.

Ow jee. Dat is data genoeg voor een massale identiteitsdiefstal golf. Je bent echt de sigaar als je op die stick staat.

De vraag is, wat kun je doen als je daar op staat? Wat kun je doen als dit in verkeerde handen valt?


Maar ze staan al klaar de zaak te baggetelliseren. Dat dan weer wel... Naam en sofinummer is alles wat je nodig hebt. De rest is er zo bij gezocht. Maar hey! Dat hoeft niet want dat heb je al!


Waarom wordt dit niet bestraft met LANGE gevangenisstraffen? 'Ich hab es nicht gewust' mag en kan gewoon geen argument zijn!

Ik blijf mij afvragen welke functie al deze informatie tegelijk nodig heeft...

HR gaat niet over cliënten, maar 't personeel.
Personeel gaat over cliënten en niet de collega's.

Prutsers.

Ongeacht wie wat gebruikt en waarom is het gewoon DOM om geen encryptie te gebruiken, bv. veracrypt is zo eenvoudig te gebruiken dat iedere JBL hiermee om kan gaan.

Oh, want een hoop foute dingen:

- iemand met (waarschijnlijk) te veel rechten
- data unencrypted opslaan
- omgaan met een medium met gevoelige data op een manier dat het kwijt kan raken
- data bewaren ver voorbij de bewaartermijn

Ze zijn verplicht dit te melden, maar het zou me niets verbazen als dat ding over een paar weken gewoon weer boven komt drijven; In dat laatjes gestopt waar niemand kijkt, of in de verkeerde laptop tas oid.

Het is 2025. Het onbeveiligd opslaan hoeft al 25 jaar niet neer. Elk OS heeft daar tegenwoordig faciliteiten voor. Gezien de problemen die het datalekken oplevert en de totale lak die bedrijven keer op keer op keer hebben aan de meest basic verantwoordelijke veiligheidsmaatregelen, mag het onbeveiligd opslaan van persoonsgegevens wel een keer strafbaar worden gesteld met een gevangenisstraf van minimaal 4 dagen. Zodra de eerste slaperige 9-tot-5 lakhebbers dit kleine ongemak ervaren weer ik zeker dat er een golf van verbetering door alle instanties die met persoonsgegevens werken gaat. Opeens is een wachtwoord intypen of met sleutels werken geen rocket science meer.

Hoofd financiële administratie?
Mijn suggestie: de stick is gemaakt ten behoeve van de jaarrekening. (of voor de accountantscontrole daarvan.)

Gelukkig was alles encrypted.........................

Wanneer krijgen we de mogelijkheid dit in eigen beheer te nemen, op eigen verantwoordelijkheid, ben deze onkunde//nalatigheden namelijk zat.
Komen zij bij mij maar een acces token halen o.d.

Na approval/reden krijgen ze een data response(gelijk inzichtelijk wie en wanneer loopt te lurken aan mijn persoonsgegevens).
Blijkt mijn data te lekken/hebben ze het opgeslagen mag er een claim neergelegd worden met een standaard minimum bedrag aan vergoeding voor het leed(werkverschaffingen/onkosten switchen 06/mail/etc ) wanneer instanties een mijnenveld aan scams voor je uitrollen.

Met wettelijke grondslag toegang te mogen weigeren(voor aanbieder verplichting beschikbaarheid binnen termijn) als ze niet kunnen aantonen te voldoen aan opgestelde procedures eisen(ter voorkomen van dit soort gehannes met USB sticks).
Gesteld minimum en maximum standaarden, wat men als aanbieder mag eisen.

Interventie vanuit de overheid is hard nodig.
Geen boete maar verplicht stellen onder begeleiding van professionals de complete organisatie en informatie beveiliging daarvan opnieuw in te richten. Deze keer van meet af aan zoals het zou moeten. Wellicht kan het ook nog al voorbeeld dienen voor vergelijkbare instellingen met vergelijkbare (zwakke) beheersmaatregelen.
Mochten er tijdens het proces kwaad- of onwillenden boven water komen, per direct ontslag en permanente ontzegging van VOG verstrekkingen.

Opslagmedium met pin en hardware encryptie te duur?

Waarom zou een hoofd fin admin die combinatie van gegevens nodig hebben voor de jaarrekening of de acountant?

"Gelekte gegevens van cliënten bestaan onder andere uit naam, adres, geboortedatum, geboorteplaats, nationaliteit, telefoonnummer, e-mailadres, BSN-nummer, geslacht, burgerlijke staat en de code van het type verleende zorg.
In het geval van medewerkers gaat het ook om verzuimduur en –frequentie, periode in dienst, contractinformatie en de salarisschaal met trede."

Dit heeft weinig tot niets te maken met een jaarrekening of een accountanstcontrole.
Die kunnen ook toe met geaggregeerde data of minder detail-kolommen.


Nog belangrijker, waarom staan die gegevens op een USB-stick. Onbeschermd.
Er zijn zoveel andere methoden om die data te delen. Beveiligde email. Upload naar beschermde storage van het accountantsbureau, etc.
Of nog beter die mensen de detail-data laten inkijken op locatie. Onder toezicht.


Bedrijven zouden een gedetailleerd verslag moeten publiceren hoe een datalek heeft kunnen plaatsvinden.
Wat ze nagelaten hebben aan preventie.
Wat het eigenlijke gebruiksdoel van de dataset was die gelekt is.
Hoe het lek heeft kunnen gebeuren.
etc.
En in dit specifieke geval: waarom de dataset zo groot moest zijn. Waarom kon het niet met minder.

Laat bedrijven maar met de billen bloot gaan. Misschien dat ze het dan wel leren. Of er vanuit de directies beter op toe zien.

Wat zou het antwoord op de vraag zijn:

Waarom moest deze informatie opgeslagen worden op een USB-stick?

Het zou gewoon strafbaar moeten zijn als een iemand zoveel gegevens van zoveel personen over zo’n lange tijd op een USB-stick zet. Nog even afgezien van het gebrek aan beveilingsmaatregelen, zoals versleuteling, is dat gewoon vragen om problemen. Er is een enorm risico genomen en dan is het wachten totdat het foutgaat.

En de gevolgen voor de betrokken personen in de datalek kunnen groot zijn. Niet alleen het risico op identiteitsfraude, maar het speelt ook dat het hier gaat om medische gegevens. Misschien zijn de medische dossiers zelf niet gelekt, maar alleen het feit dat iemand patiënt is geweest bij deze instelling zegt al veel over iemands medische verleden. Net als bijvoorbeeld een datalek bij een kliniek die Aids-patiënten behandeld. Je medische dossier hoeft niet gelekt te zijn, maar het feit dat je daar cliënt bent zegt als veel over je medische toestand.

Dit soort wanpraktijken moeten echt stoppen, want slachtoffer kunnen hier hun leven lang last van houden.

Te groot voor een e-mail bijlage voor de BI of AI expert /s

"Manager"

ik dacht dat we die al achter ons gelaten hadden van het kwijt of zoek raken van usb sticks. blijkbaar heeft die persoon er niks van geleerd. koop de volgende keer 1 ssd schijf, die is dan te groot om kwijt te raken. kost iets meer, maar raak je niet snel kwijt;

En ook die hoeft niet rond te lopen met een (onbeschermde) USB-stick met deze detail-informatie.
Zelfs een "directeur" niet. Hoe belangrijk of onmisbaar zo'n persoon zich ook voelt of denkt te zijn.

Pluryn zal er denk ik niet aan ontkomen om ergens (AP, clienten, personeel, kranten) uit te leggen waarom die data zo nodig (onbeschermd) op een usb-stick moest staan. Waarom dat niet anders kon. Het nut en doel van die dataset op de usb-stick.

Geen zorgen, zo'n grote SSD of HD schijf raken dat soort mensen ook kwijt.
Hoe ze dat voor elkaar krijgen snap ik ook niet. Maar het lukt ze.
Totale desinteresse.


De simpelste oplossing is om dat soort mensen onder zware curatele te stellen:
* gedurende werktijden camera bewaking
* fouilleren bij betreden en verlaten gebouw
* minimale rechten in het netwerk
* 4 ogen principe invoeren
* zelf voor de schade op laten draaien

Dan leren ze opeens heel snel hoe ze wel zorgvuldig moeten zijn.
Als ze maar genoeg ongemak agv zo'n lek ondervinden.

Het feit dat zoveel data van zoveel mensen over zo’n lage tijd op een USB-stick wordt gezet is om veel redenen problematisch, zoals hierboven genoemd. Daar komt nog bij dat blijkbaar geen versleuteling is toegepast.

Maar überhaupt zijn zulke data exports naar een Excel file (of ander formaat) problematisch. De controle over de data is namelijk helemaal weg. Je kunt niet meer nagaan wie er allemaal toegang hebben gehad tot het document, of het is gedupliceerd en verder is verspreid. De controle is totaal zoek.

Dergelijke data zou alleen in een afgesloten systeem mogen zitten en elke toegang daartoe zou zwaar beperkt moeten zijn tot specifieke personen met specifieke taken afhankelijk van hun functie en ook moet geregistreerd worden wie en wanneer de data heeft geraadpleegd.

Het zijn totale wanpraktijken bij Pluryn, maar helaas werken veel organisaties (ook (semi-) overheid) op dezelfde onverantwoorde wijze met data van personeel en clienten.

Zoals hierboven al genoemd werd: het zou strafbaar gesteld moeten worden. Of er zouden zware boetes en schadevergoedingen moeten komen, want de impact voor de betrokken personen kan enorm zijn. Een simpel “Oops” en excuus is echt niet voldoende.

Gemakzucht en een directie die liever dividend uitkeert ipv een gezonde business te leiden.

Dat Pleuryn blijft maar zonnebloempjes uploaden. Kan die avatar leverancier met zijn sollicitatievideo's niet vervolgd gaan worden? Die fondsenwerving aldaar zit zeker op zwart zaad.

Pure kwaadaardigheid van Pluryn. Tijd op de top van die instelling te gaan vervolgen, samen met een heleboel anderen.