-
Datalek GGD
Bij de GGD blijkt dat een behoorlijk datalek ontstaan is. Dat heeft landelijk voor veel opschudding gezorgd. Omdat veel mensen in het afgelopen jaar zich bij de GGD hebben laten testen op COVID zijn er dus veel mensen geregistreerd in de systemen van de GGD.
Voor de Autoriteit Persoonsgegevens (AP) is dit aanleiding voor onderzoek en voor de GGD is het aanleiding om hun systemen versneld te vervangen.De feiten
De GGD bestaat uit een landelijke organisatie GGD Ghor en een kleine 25 lokale GGD’s. De GGD gebruikt al heel lang systemen met de naam HPzone en HPzone lite. Daarnaast is sinds de COVID-crisis CoronIT toegevoegd. Deze systemen zijn door de landelijke organisatie naar de lokale GGD’s gebracht.
Deze softwaresystemen worden normaal door vaste medewerkers en artsen gebruikt. Sinds de COVID uitbraak zijn er veel meer medewerkers bijgekomen, die veelal vanuit huis werken.De lokale GGD’s hebben vrijwel geen invloed op het beleid van de landelijke organisatie. Tot de COVID uitbraak werkte de systemen volgens de GGD Ghor, zelfs met de bestaande tekortkomingen betrouwbaar genoeg om steekproefsgewijs te controleren op misbruik. De AP stelt dat steekproefcontroles onvoldoende zijn als het gaat over medische- en BSN gegevens.
In CoronIT worden de afspraken en resultaten van COVID tests vastgelegd. Vaccinaties komen ook in CoronIT te staan. Deze gegevens worden landelijk door belteams gebruikt. De landelijke belteams kunnen niet bij de gegevens in HPzone. Wanneer iemand positief getest is, worden gegevens vastgelegd in HPzone.
HPzone is een medisch informatiesysteem zoals dat ook in ziekenhuizen wordt gebruikt. Vanuit HPzone kan vervolgens een bron- en contactonderzoek (BCO) gedaan worden. Lokale medewerkers voeren het BCO uit. HPzone kan alleen door lokale GGD medewerkers gebruikt worden. Er is geen landelijke HPzone.De gestolen gegevens
Het landelijke GGD Ghor is niet heel spraakzaam en het is dus niet duidelijke welke gegevens precies gelekt zijn. In CoronIT staan, behalve NAW gegevens en BSN nummers ook testuitslagen. Die testuitslagen worden dagelijks naar HPzone en HPzone lite gestuurd. De lokale en centrale belteams die gebruik maken van CoronIT kunnen wel gegevens zien van het hele land, maar iemand die alleen afspraken inplant, kan geen uitslagen zien.
In het systeem zitten wat mogelijkheden voor het exporteren van gegevens, zodat onderzoekers, artsen en beleidmakers kunnen beschikken over data die voor analyse belangrijk is. Waarschijnlijk (mijn inschatting) is er data vanuit het CoronIT systeem geëxporteerd door een of meer van de snel ingehuurde medewerkers.
Het probleem
Mijn analyse;
Er zijn veel medewerkers snel ingehuurd om belteams in landelijke callcentra te laten werken en er zijn veel medewerkers (tijdelijk) ingehuurd om de lokale GGD’s te ondersteunen. Veel van die laatste groep, krijgen aanmeldgegevens om vanuit huis te kunnen werken. De ene dag werkt een ingehuurde kracht voor de ene GGD en de volgende voor een andere. In principe moeten medewerkers die ergens anders werken, meteen uit het eerdere systeem afgevoerd worden. Dat lijkt niet overal te gebeuren.Logging en auditing van wat er precies gebeurt was onvoldoende en achteraf kan niet goed vastgesteld worden wie, wat gedaan heeft. Er is bij de ontwikkeling van het CoronIT systeem niet goed nagedacht over afdoende logging en afdoende beveiliging. Er was uitgegaan van een periodieke steekproef die afdoende moest zijn. Maar bij de export van grote aantallen gegevens had wel een belletje moeten rinkelen.
Sommige functies moeten niet beschikbaar voor ‘alle’ medewerkers. Exporteren van gegevens is niet iets dat iedereen moet kunnen. Ook afdrukken van gegevens moet niet altijd mogelijk zijn. Ik moet wel opmerken dat het altijd mogelijk is om ‘screenshots’ te maken. Dus, lekken van gegevens is niet moeilijk.
De organisatie heeft gemeld dat er sprake is van de verkoop van gegevens. En daar ligt natuurlijk een probleem dat heel moeilijk te voorkomen is. Wanneer een medewerker gegevens wil verzamelen kan dat bijna altijd. Mensen werken vanuit huis en hebben de kans om data te kopiëren of op een andere manier ‘buit te maken’. En een Verklaring Omtrent Gedrag houdt natuurlijk niemand tegen om te beginnen met verkeerd gedrag.
Zo te zien, kunnen te veel mensen bij te veel gegevens en daar was geen goede audit voor.
Het lijkt alsof het CoronIT systeem te snel ontwikkeld is en mogelijk hebben experts wel gewaarschuwd, maar is er niet voldoende gedaan met die signalen.
Is er een security officer bij de landelijke organisatie, of is er vertrouwd op de lokale GGD’s?Het HPzone systeem is wat archaïsch en lastig om mee te werken, maar het voldeed wel. Nu wordt dit systeem volgens de laatste berichten uitgefaseerd en een nieuw gebouwd. En dat allemaal zo snel mogelijk.
Of het CoronIT systeem opnieuw gebouwd wordt is nog niet bekend, maar vooral dit systeem kan wat aanpassingen gebruiken.Door Roland Verhaar; ITWorks4All
Tags: Medische gegevens, NEN7510, security officer
Onze werkwijze
Hoeveel tijd en kosten bespaar ik met de hulpmiddelen van Informatiebeveiligingdoejezo?
Antwoord...Wat is nieuw aan Informatiebeveiligingdoejezo?
Antwoord...Kan ik alle werkzaamheden uitbesteden?
Antwoord...Heb ik aan de hulpmiddelen van Informatiebeveiligingdoejezo voldoende?
Antwoord...