Nieuws
image

Provincie Zuid-Holland heeft datalek na bijna twee jaar verholpen

maandag 21 juli 2025, 15:52 door Redactie, 6 reacties

De provincie Zuid-Holland heeft een datalek in een intern systeem dat het in september 2023 aan de Autoriteit Persoonsgegevens meldde voor het overgrote deel gedicht. Dat laat het weten in de laatste voortgangsrapportage. De provincie gebruikt voor de archivering en opslag van documenten en het intern samenwerken aan documenten een document management systeem.

Het systeem bevat allerlei gegevens, zoals memo’s en besluiten, maar ook persoonlijke gegevens van burgers, zakelijke contacten en medewerkers. De persoonsgegevens in het systeem waren voor vrijwel alle medewerkers toegankelijk, ook als ze dit niet nodig hadden voor hun werkzaamheden. "Dat betekent dat er sprake is van een datalek", aldus de provincie.

De persoonsgegevens in het systeem betreffen onder andere adresgegevens, contactgegevens, kopieën van identiteitsdocumenten, BSN-nummers en gegevens over opleiding- en werkervaring. "Omdat het systeem al jaren oud is, betekent dit ook dat gegevens in het verleden toegankelijk zijn geweest voor medewerkers die nu niet meer voor de provincie werken", zo liet de provincie tijdens de vorige voortgangsrapportage weten.

In de nieuwste voortgangsrapportage wordt gemeld dat het datalek met het systeem voor het overgrote deel is gedicht. Zo is de autorisatiestructuur van het systeem heringericht, en is de inhoud van het systeem zo ver als praktisch mogelijk binnen de eerder opgestelde definitie “Wat is dicht” opgeschoond. Tevens hebben 1900 documenten met de hoogste privacygevoeligheid de zwaarste afscherming met een aanvullende autorisatie gekregen.

"Wat is dicht"

"Komende periode worden verdere kwaliteitscontroles uitgevoerd door zowel de projectorganisatie als de FG [Functionaris Gegevensbescherming - red.] om te toetsen dat het resultaat van het dichten van het datalek inderdaad volledig in lijn is met de definitie “Wat is dicht”. Als uit de kwaliteitscontroles nog restpunten naar boven komen zullen die vanzelfsprekend nog door de projectorganisatie opgelost worden", laat de provincie weten.

Voor de definitie "Wat is dicht" hanteert de provincie deze omschrijving: "Een gebruiker mag toegang hebben tot persoonsgegevens als die toegang strikt noodzakelijk is voor de uitoefening van zijn functie, en ook niet langer dan noodzakelijk is. Dit betekent niet dat de toegang tot persoonsgegevens op individueel medewerkersniveau hoeft te worden ingericht. Er dienen op basis van de rol die een medewerker vervult logische autorisatiegroepen te worden samengesteld."

Vanwege het datalek besloot de Autoriteit Persoonsgegevens de provincie onder verscherpt toezicht te plaatsen. Dit houdt in dat de provincie concrete afspraken met de AP moet maken over de beveiliging van persoonsgegevens en daarover moet rapporteren. Vorig jaar stelde de privacytoezichthouder dat de provincie Zuid-Holland op dat moment onvoldoende AVG-compliant is.

Volwassenheidsniveau

De AP en provincie maakten ook de afspraak om zo snel mogelijk op AVG-volwassenheidsniveau "3" te komen, op een schaal van 1 tot en met 5. Op dit moment zit de provincie op een niveau van 1 à 1,5. "De zorgen van de FG ten aanzien van het verhogen van het privacy volwassenheidsniveau en dan met name het tempo waarin dit plaatsvindt zijn eerder toegenomen dan afgenomen", laat de voortgangsrapportage weten. Wel is de FG te spreken over het aantal medewerkers dat inmiddels aan de verplichte e-learning Privacy en informatieveiligheid heeft deelgenomen. Die is door 1900 van de 2500 medewerkers met een gebruikersaccount afgerond.

Reacties (6)
Reageer met quote
21-07-2025, 16:22 door Anoniem
Goh, na 2 jaar al.
Gokje: het waren gegevens van burgers. Je weet wel, die mensen die gewoon hun k*p moeten houden en er voor de overheid zijn. Niet belangrijk dus.
Reageer met quote
21-07-2025, 20:54 door Anoniem
Door Anoniem: Goh, na 2 jaar al.
Gokje: het waren gegevens van burgers. Je weet wel, die mensen die gewoon hun k*p moeten houden en er voor de overheid zijn. Niet belangrijk dus.
Door Anoniem: Goh, na 2 jaar al.
Gokje: het waren gegevens van burgers. Je weet wel, die mensen die gewoon hun k*p moeten houden en er voor de overheid zijn. Niet belangrijk dus.

Wat hebben we nu aan zo’n negatieve opmerking?
Het helpt niet hoor!
Denkt U nu werkelijk dat men de oplossing heeft getraineerd omdat men dat bovenstaande wat U uitspreekt ook dacht?
Reageer met quote
22-07-2025, 11:50 door Anoniem
De provincie heeft durven toegeven dat een legacy systeem niet AVG proof is en heeft stappen ondernomen om het aan te pakken! Twee jaar om een legacy systeem dat waarschijnlijk erg verweven is met andere systemen vind ik een prima doorloop tijd.
Goede actie!
Reageer met quote
22-07-2025, 13:18 door Anoniem
Door Anoniem: De provincie heeft durven toegeven dat een legacy systeem niet AVG proof is en heeft stappen ondernomen om het aan te pakken! Twee jaar om een legacy systeem dat waarschijnlijk erg verweven is met andere systemen vind ik een prima doorloop tijd.
Goede actie!

Een prima doorloop tijd als het dan ook echt opgelost is maar getuige de tekst
voor het overgrote deel gedicht.
lijkt het daar nog niet op :(
Reageer met quote
23-07-2025, 08:27 door Anoniem
En waar is de CISO?
Reageer met quote
23-07-2025, 16:21 door Anoniem
“Het datalek is voor het overgrote deel gedicht.” Prachtige zin, klinkt een beetje als: “De kraan stond een jaar open, maar we hebben ‘m nu bijna dichtgedraaid.” Ondertussen heeft praktisch iedereen die ooit bij de provincie een kop koffie heeft gehaald toegang gehad tot BSN’s, ID-kopieën en werkervaringen. Niet ideaal.

En dan de definitie van “Wat is dicht”: een gebruiker mag alleen bij gegevens die strikt noodzakelijk zijn. Dat is niet revolutionair, dat is gewoon de basis van de AVG, hoofdstuk 1, paragraaf “Doe normaal.” Het feit dat er nu nog kwaliteitscontroles komen om te kijken of het écht dicht is, zegt genoeg over het startpunt.

Het mooiste vind ik het AVG-volwassenheidsniveau: doel is 3 op 5, huidige status: 1 à 1,5. Met andere woorden: we hebben nog niet leren lopen, maar we doen al alsof we een marathon rennen. En dan die e-learning: 1900 van de 2500 medewerkers hebben ‘m gedaan. Prima, maar hopelijk zat er een hoofdstuk in over “toegang alleen als je het nodig hebt.”

Moraal: autorisaties zijn geen nice-to-have, ze zijn een fundament. Anders eindig je met rapportages vol “Wat is dicht”-definities en verscherpt toezicht van de AP.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Advertentie
Certified Secure