Pieter Kuijpers – Business Consultant
Heb je een coronatest laten doen? Heb je corona gehad? Heb je je laten vaccineren? Of heb je deelgenomen aan bron- en contactonderzoek? Dan bestaat er een kans dat ook jouw gegevens verkocht zijn. Helaas. Het zal je vast niet ontgaan zijn: recentelijk werd er door RTL Nieuws melding gemaakt van grootschalige, illegale datahandel. Het ging om miljoenen gegevens die geregistreerd waren in twee coronasystemen van de GGD. Wat is er misgegaan. We hebben het op een rij gezet. Inclusief een aantal tips om bij u zelf te checken of alles goed en veilig georganiseerd is.
De persoonsgegevens werden op chatdiensten zoals Telegram, Wickr en Snapchat te koop aangeboden. En waarschijnlijk was dit al maandenlang het geval. Gegevens van specifieke personen. Maar ook grote datasets met gegevens van tienduizenden Nederlanders bij elkaar.
De gegevens die in de Corona-systemen opgeslagen zijn onder andere: naam, woon- en mailadres, telefoonnummer, geboortedatum en het BSN-nummer. Ook staan er testresultaten en -uitslagen in. Omdat de gegevens maximaal 5 jaar bewaard zouden worden, staan de gegevens van iedereen die een corona test heeft laten doen in het systeem van de GGD. Het is onduidelijk of ook al deze gegevens verhandeld zijn. Daar wordt momenteel nog onderzoek naar gedaan.
Er is geen eenduidige oorzaak aan te wijzen hoe dit kon gebeuren. Laten we naar een aantal mogelijke oorzaken kijken. Het gaat om twee GGD-systemen. Tot het ene systeem hebben zo’n 26.000 GGD medewerkers en callcentermedewerkers toegang. Hoeveel mensen er tot het andere systeem toegang hebben is niet duidelijk. Maar het gaat hier om medewerkers van de GGD en nog minstens 3 andere bedrijven.
De hoeveelheid medewerkers is zo groot dat je als organisatie een flink risico loopt. Je moet jezelf de vraag stellen of dat verantwoord en vooral of dat noodzakelijk is. Want het is een bizar ingewikkelde uitdaging om goed toezicht te houden op zo’n complexe situatie.
Wie heeft welke rechten? Heeft iedereen de rechten die nodig zijn – en niet meer? Voor beide systemen was dit niet goed genoeg ingeregeld. Zo hadden medewerkers rechten om gegevens in te zien die zij niet nodig hadden. Ook was er een mogelijkheid tot het exporteren van gegevens. Voor iedereen. Op die manier konden datasets eenvoudig geëxporteerd worden.
Het is als organisatie ook belangrijk om na te gaan wie de persoon is die toegang heeft. Wat is zijn of haar achtergrond? Heeft iemand een verleden wat het risico op onrechtmatig gebruik kan vergroten. Zeker bij gevoelige data als deze is het nagaan daarvan belangrijk. De GGD deed daar onderzoek naar maar in de vorm van een steekproef. En zoals we nu kunnen zien is dat niet voldoende.
In dit soort situaties is een 100% check gewenst. In dit geval dus een volledige screening van de medewerkers, voordat zij daadwerkelijk in dienst treden en werkzaamheden gaan uitvoeren. Inclusief een controle van bijvoorbeeld een Verklaring omtrent gedrag. Er gaan geruchten dat er mensen werkzaam waren, die een strafblad hadden.
Wat het er niet makkelijker op maakt is dat veel medewerkers vanuit huis werken. Dat maakt het toezicht een stuk ingewikkelder. Omdat er niemand meekijkt, was het makkelijker om ongeoorloofde dingen met de gegevens te doen.
Dat hadden de criminelen ook goed door. Er werd actief gezocht naar medewerkers om die vervolgens over te halen om data aan te leveren. In ruil voor flinke bedragen. Als je gegevens aanleverde, kon je er wel honderden euro’s per dag mee verdienen.
RTL Nieuws is hier achter gekomen en heeft de GGD ingelicht. Vervolgens heeft de GGD aangifte gedaan bij de Politie. Die is direct een onderzoek gestart. Inmiddels zijn er drie mensen opgepakt die voor het callcenter werkzaam waren. Ook zijn er rond de dertig medewerkers ontslagen omdat zij ongeoorloofd zoekgedrag hadden vertoond.
Minister Hugo de Jonge van Volksgezondheid, Welzijn en Sport is gevraagd wat hij eraan gaat doen. Hij gaf aan dat een van de twee GGD-systemen vervangen zal worden, de zoekmogelijkheden worden beperkt en er ICT-expertise van buitenaf ingeroepen wordt om de systemen door te lichten.
Ook zijn de print- en exportfunctie van de datasets uitgezet en heeft men de rechten tot persoonsgegevens beperkt tot een kleine groep medewerkers die deze informatie nodig hebben voor het uitvoeren van hun werkzaamheden.
Er komen automatische logboeken van zoekopdrachten. Deze logging wordt dagelijks handmatig doorgekeken op afwijkingen. Tevens zijn GGD’s zich er terdege van bewust dat deze situatie absoluut niet wenselijk is. Ondanks dat wij er van buitenaf niet veel van zien of horen, zijn ze intern vast en zeker bezig om onze gegevens beter te beveiligen.
Met de data zelf kunnen de criminelen niet zoveel. De data zelf is niet voldoende om identiteitsfraude mee te plegen. Willen ze er echt wat mee kunnen in termen van een bankrekening of telefoonabonnement openen op jouw naam, dan is er meer nodig. Een kopie van een ID of een wachtwoord bijvoorbeeld.
Wel goed om er dus op te letten als er mensen contact zoeken die om gegevens vragen. Social engineering heet dat. Het klinkt technisch, maar dat hoeft het niet altijd te zijn. Er zijn tientallen manieren om informatie te ontfutselen die vertrouwelijk is. Het doel is om die informatie te gebruiken om toegang te krijgen tot informatie die nog ontbreekt. Om op die manier toegang te krijgen tot bijvoorbeeld je bankrekening, het netwerk op het werk of het netwerk thuis. Met alle gevolgen van dien.
Er is een aantal technieken die vaak gebruikt worden. Phishing is een methode die gebruik maakt van een e-mail. Een hacker stuurt een e-mail en doet zich voor als iemand anders. Via een link in de mail probeert hij informatie te krijgen van de ontvanger.
Ook kan een hacker gewoon opbellen. Door een gesprekje aan te gaan en zich voor te doen als iemand anders, bijvoorbeeld een medewerker van een Servicedesk of iemand die enquêtes afneemt, kan het vertrouwen gewonnen worden. Ongemerkt vertellen we vaak meer dan dat we door hebben. Of er wordt gevraagd om een bepaalde actie uit te voeren.
We zien het vaak in films, maar het gebeurt echt: het doorzoeken van het afval. Papieren waar vertrouwelijke informatie op staat. Of brieven, om erachter te komen op welke manier het vertrouwen gewonnen kan worden. Dit noem je, heel toepasselijk, “dumpster diving”.
Maar een hacker hoeft niet perse een duik in het afval te nemen, want tegenwoordig vertellen we heel veel over onszelf op Social Media. Op Facebook laten we veel over onze vrienden zien, waar we graag uitgaan en natuurlijk wie onze vrienden zijn. Op Twitter vertellen we over onze thuissituatie. En op Instagram laten we met foto’s en video’s zien waar we ons graag mee bezighouden. Uiteraard zijn er vele andere manieren te bedenken, creativiteit kent geen grenzen.
Contact zoeken met de Autoriteit Persoonsgegevens heeft geen zin. Zij verwijzen je door naar de GGD. De GGD GHOR Nederland (de belangenbehartiger voor de publieke gezondheid en veiligheid in Nederland) zal je hoogstwaarschijnlijk doorverwijzen naar een van de 25 regionale GGD’s.
Wat de regionale GGD zal zeggen, is wisselend. Maar veel verschil zal het niet uitmaken, momenteel kunnen ze niet veel voor je doen. De informatie ligt figuurlijk gezien al op straat. Wanneer het voor de GGD inzichtelijk is wiens data gelekt is, zijn ze voornemens om de mensen wiens data het betreft, op de hoogte te brengen.
Ben je slachtoffer van oplichting, doe dan altijd aangifte bij de politie: 0900-8844. Als er geld ontvreemd is, informeer dan je bank. Ben je het slachtoffer van identiteitsfraude, meld dit dan bij het CMI: 088 – 900 10 00 (Centraal Meldpunt Identiteitsfraude en – fouten). De Fraudehelpdesk: 088-7867372 kan ook helpen middels doorverwijzing naar de juiste instanties. Tevens kun je een klacht indienen bij de GGD (de verantwoordelijke voor het datalek) en de Autoriteit Persoonsgegevens.
U ziet maar weer hoe makkelijk het is om misbruik te maken van de situatie. Kijk als organisatie eens bij jezelf en ga de onderstaande punten eens na. Wie weet is er nog wat aanscherping mogelijk:
Ondanks dat, blijft alert zijn het belangrijkste. Als burger maar ook als organisatie. Helaas is het niet mogelijk om zelf een datalek te voorkomen, maar het is wel mogelijk om pro-actief de kans op misbruik te verminderen. Ga niet in op mooie praatjes en verifieer statements die gemaakt worden. Zorg voor unieke en sterke wachtwoorden voor al uw inlog accounts. En wees alert maar vooral terughoudend in het verschaffen van informatie.
Blog geschreven door Pieter Kuijpers, Business Consultant
In de complexe wereld van informatiebeveiliging in de gezondheidszorg staat één uitdaging centraal: het vinden van de juiste balans tussen veilig...
Computerweg 22
3542 DR Utrecht
KvK: 30277648
BTW: NL 8217.37.612.B01
Privacy statement - Disclaimer - © 2024 BMGRIP