Door Anoniem: Ik vind het nogal wat dat de 2e kamer (met zeer weinig kennis op IT gebied) wil weten wat de oorzaak is van een hack bij een commercieel bedrijf. Ja, het commercieel bedrijf werd ingehuurd/ ingezet voor/ door de overheid en ja, de hack heeft grote gevolgen voor veel Nederlandse burgers.

Maar wat gaat de 2e kamer doen met de informatie dat aanvalsgroep ATP-AA gebruik heeft gemaakt van vulnerablity X (met CVE code Y)? Mag dit gevraagd worden aan een commercieel bedrijf? Dat de AP dit krijgt/ monitort kan ik nog inkomen, maar moet dit publiekelijk gemaakt worden door kamervragen?

Dat men wil weten OF de oorzaak gevonden is en dat men de zekerheid heeft gekregen van Clinical Diagnostics dat het adequate maatregelen heeft genomen om dit in de toekomst te voorkomen snap ik. Dat men ook wil weten hoe de verschillende ministeries hiervoor waarborgen in het contract en due diligence hebben opgenomen snap ik ook.
Maar ik betwijfel of een gedetailleerd antwoord dat dieper gaat dan <mogelijk scenario>: een medewerker heeft op een malicious link geklikt en daana is er misbruik gemaakt van een kwetsbaarheid in een van de systemen <einde mogelijk scenario> dit kamerlid informatie geeft waar deze wat mee kan.

Door Anoniem: Gewoon verbieden dat zulke gedetailleerde data wordt gedeeld. Al op het niveau van de registreerder (de PC van de dokter) comprimeren tot macrocijfers, die niet meer tot de persoon te herleiden zijn. En dan wetenschappelijk onderzoek beperken tot spelen met macrodata.

Door Anoniem: En wat als het antwoord is: 'weten we niet".

Dan kan de kamer juist wel verder gaan, in grijpen of wetten voorstellen.
Daar gaat het m.i. over hier.

Door Anoniem: Waarschijnlijk zijn hier onrechtmatig veel te veel gegevens uitgewisseld. Doelbinding mist. Dit kan verstrekkende gevolgen krijgen en een flinke boete.

Door Anoniem:
Ja, maar ze vragen nu wat er voor maartegelen genomen zijn zodat dit specifiieke icident niet nog een keer gebeurt.
Maar er zijn vele wegen die naar Rome leiden. Criminelen nemen de volgenden keer wel een andere route. Die nog niet geblokeerd is.

Voorkomen is beter dan genezen.
Bv dataminimalisatie:
Ik hoor nog geen kamerlid over maatregelen/aanpassingen van wetten zodat persoonlijke data niet bij een onderaannemer belandt die die data helemaal niet nodig heeft. Idem vwb gebruik BSN-nummer.
Zij zijn de wetgever. Zij moeten de onderliggende (datamaximalisatie afdwingende) wetgeving aanpassen. Burgers en bedrijven kunnen dat niet.

Maar dan moeten ze de hand in eigen boezem steken. En dat doet pijn, Vooral tijdens verkiezingen.

Door Anoniem: Bij bevolkingsonderzoeken gaat het niet om de pc van de dokter maar om een landelijke organisatie die het organiseert. Je krijgt een testsetje thuisgestuurd, neemt zelf volgens de instructies af wat voor dat onderzoek relevant is, en stuurt het resultaat naar een antwoordnummer. De uitslag van het onderzoek krijg je thuisgestuurd. Als dat niet goed is moet je er zelf mee naar de dokter stappen.

Ik vermoed dat dat antwoordnummer op de retourenvelop waarmee je je resultaat terugstuurt rechtstreeks van het lab is dat het onderzoek uitvoert. Wat je afneemt mag namelijk niet te lang ongekoeld onderweg zijn, dus hoe minder handen waar het doorheen moet hoe beter. Ik vermoed ook dat dergelijke labs hoe dan ook al zijn ingericht op het zelf terugsturen van uitslagen, en dat ook daar de landelijke organisatie geen handelingen in verricht nu, waarom zouden ze zelf dingen gaan inrichten die al ingericht zijn. Het lijkt mij heel waarschijnlijk dat die landelijke organisatie zelf niets praktisch uitvoert maar alleen organiseert dat anderen dat doen.

Dan is het als ik me niet vergis ook nog zo dat je als deelnemende burger niet meer dan een goed/niet goed-antwoord terugkrijgt, en naar je huisarts stapt met het advies voor een vervolgonderzoek. Het lab of die landelijke organisatie weten niet wie je huisarts is en al helemaal niet wie de specialist zal zijn waar je naar doorverwezen wordt, dus de gedetailleerde uitslag zal bij het lab opgevraagd moeten worden. En hoe geven de huisarts of de specialist op om wie het gaat? Door een BSN door te geven. Dat zal de reden zijn dat het lab ook over BSN's beschikt.

Als je zo'n opzet wilt veranderen, en dat lab alleen over een eenmalige identificatie laat beschikken waar niet uit blijkt om wie het eigenlijk gaat, dan moet ergens anders de koppeling gelegd worden met de echte persoonsgegevens, zowel voor de ja/nee-uitslag aan de burger zelf als voor de gedetailleerde uitslag die een arts kan opvragen. De opdrachtgever is een landelijke organisatie. Die moet daar dan iets voor (laten) opzetten, en dan worden de gegevens al gauw verzameld op een centrale plek voor het hele land, terwijl ze nu over verschillende labs verdeeld worden. Oeps, als je het zo doet wordt het nog aantrekkelijker voor een aanvaller.

Ik weet echt niet of ik alle details goed heb, maar dat dit soort dingen onderdeel van het verhaal zijn daar kan je gif op innemen. Even "gewoon verbieden" of "gewoon <vul maar wat in>" roepen is geen oplossing, dat is een benadering waarmee het probleem alleen maar gierend nog veel verder uit de hand zou lopen als men het echt zo kort door de bocht zou aanpakken.

Onderschat dit soort dingen niet, de werkelijkheid is verrassend veel complexer als je dingen op die schaal organiseert dan wanneer je het voor een plaatselijke vereniging of zo doet, en zeker als je het goed wilt doen.