Risico’s van bedrijfsdata bij derden
26/11/2020Het belang van security awareness trainingen
06/04/2021Persoonlijke gegevens van honderdduizenden op Corona geteste burgers op straat
Door een gigantisch datalek bij de GGD zijn de persoonsgegevens van wellicht alle Nederlanders die zich op Corona hebben laten testen of een vaccinatie hebben gekregen op straat komen te liggen. De twee hiervoor gebruikte systemen, CoronIT en HPZone, bleken volledig open te staan waarvan één hiervan zelfs een dubieuze exportfunctie in zich had waarbij grote hoeveelheden data al vanaf april gedownload konden worden.
RTL onderzoeksjournalist Daniël Verlaan bracht het lek aan het licht en was hiervoor maandenlang in gesprek met medewerkers van de GGD en een extern ingehuurd callcenter. Omdat het gaat om complete en actuele records van burgers die naam, adres, telefoonnummer, e-mailadres en burgerservicenummer bevatten, zijn de gegevens zeer waardevol. Op het Darkweb worden de individuele records dan ook voor soms wel 100 euro per stuk aangeboden.
Daniël Verlaan had zelf inzage in bestanden van tienduizenden of honderdduizenden records, dus er mag uitgegaan worden dat de gehele database gelekt zou kunnen zijn. Hiernaast waren er een app-groepen actief waarin foto’s en video’s met woonadressen, 06-nummers, burgerservicenummers en testuitslagen werden gedeeld. Deze data blijven echter op alle telefoons achter in de app-map en dat bij alle leden van de groep. Je kunt dan dus wel zeggen dat je persoonlijke gegevens letterlijk op straat liggen.
Datalek GGD: waar ging het fout?
Om een datalek, zoals die bij de GGD, te voorkomen is beveiliging natuurlijk het allerbelangrijkst. Allereerst is het bij het ontwikkelen van de software niet nagedacht over de security. Zoals al enige jaren de standaard is, had uitgegaan moeten worden van het principe Security by Design. Dit betekent praktisch dat uitsluitend personen die bepaalde gegevens nodig hebben, hier ook toegang toe moeten krijgen. Het is dus zeer de vraag of personen alle info na het invoeren nog mogen kunnen inzien.
Het tweede punt binnen de Security by Design principes is de vraag of de data wel opgeslagen had moeten worden in het systeem. Hoe minder data er aanwezig is, hoe minder problemen er zijn bij een lek. Hiernaast kunnen de gegevens worden geanonimiseerd met bijvoorbeeld een code, zodat medewerkers uitsluitend interne codes kunnen zien in plaats van de zeer gevoelige BSN-nummers. De combinatie van een e-mailadres met een interne code geeft veel minder problemen bij een datalek.
“Van meer dan 10 personen weet ik dat ze er werken of hebben gewerkt zonder ooit een VOG te hebben ingeleverd.” – citaat Daniël Verlaan
Datalek door slechte naleving AVG
Verder piept en kraakt de naleving van de AVG aan alle kanten. Er zijn zeer strenge regels voor de bescherming van persoonsgegevens. Hierbij is heel duidelijk aangegeven dat gegevens niet door derden mogen kunnen worden ingezien en nooit buiten de organisatie zouden mogen kunnen komen. Veel van de gebruikers zijn via een uitzendbureau aangetrokken en werden na een sollicitatiegesprek van 5 minuten de volgende dag al thuis achter de telefoon gezet. Hierbij kregen ze 6 weken de tijd om een VOG in te leveren en Daniël heeft eerdere mensen gesproken die dat geheel niet gedaan hebben. Omdat de medewerkers zowel niet gescreend werden als ook thuis uit het zicht werkten, kregen de kwaadwillenden zo’n beetje vrij spel. Basisregel binnen de AVG wetgeving is dat te allen tijde aangetoond moet kunnen worden door wie wanneer welke data ingezien is. Hiervoor is binnen zowel de software als het platform helemaal niets geregeld.
En als mosterd na de maaltijd… Als de GGD bij het opzetten van de systemen de NEN7510 norm (zoals de ISO 27001 in de zorg heet) voor de informatiebeveiliging had nageleefd, dan hadden de vele kritische interne berichten van medewerkers en leidinggevenden wellicht het management bereikt en geleid tot acuut handelen door de ingebouwde controleprocedures. Ook de risicoanalyse had wellicht het hele debacle al voorkomen nog voordat er ook maar een record gevuld werd.
“Medewerkers hebben alleen toegang tot gegevens die voor hen noodzakelijk zijn.” Aldus Hugo de Jonge tijdens het vragenuur in de tweede kamer.
Schrijnend om te zien dat vanuit de politiek uit alle macht geprobeerd wordt de feiten te verdraaien. Verantwoordelijk minister Hugo de Jonge probeert zijn hachje te redden door te blijven hameren op dat de twee personen die verantwoordelijk zijn reeds zijn opgepakt, terwijl er op het Darkweb misschien wel honderden aanbieders actief zijn.
Voor de laatste updates volg je Daniël Verlaan op Twitter @danielverlaan.
Hoe zijn jouw gegevens beveiligd?
Heb je vragen of bedenkingen over de (privacy)beveiliging van de gegevens binnen jouw bedrijf? Neem dan contact met ons op voor een vrijblijvend gesprek.
En wil je weten of jouw gegevens opduiken op internet? Wij houden voor onze klanten 24/7/365 de achterbuurten en donkere steegjes van het internet in de gaten, waaronder:
- Verborgen Chat Rooms
- Prive websites
- Peer-to-peer netwerken
- IRC (Internet Relay Chat) networks
- Social media platforms
- Zwarte markplaatsen
- 640.000 botnets
Voor een schappelijk bedrag per maand weet je ook wat je boven het hoofd hangt.