072 - 201 61 16 31722016116
Slide

Wij bouwen jouw unieke
Game PC op maat

Naar eigen budget samenstellen
Keuze uit AMD en Intel
Kwaliteit voor de laagste prijs
Vakkundig & gebouwd met aandacht
Uitvoerig door ons getest

Naar eigen wens samenstellen
Keuze uit AMD en Intel
Kwaliteit voor de laagste prijs
Vakkundig en gebouwd met aandacht
Uitvoerig door ons getest

Hans
Jordi

Game PC Expert
+ 10 jaar ervaring

Software Expert
+ 20 jaar ervaring

Slide
De kracht van de NVIDIA GeForce RTX 3090 Ti maakt intens gamen mogelijk.
Ontdek de videokaarten in één van onze builders.
previous arrow
next arrow

Autoriteit Persoonsgegevens: GGD'en moeten betere beveiligingsmaatregelen nemen

datum: 09-11-2021Categorie: SoftwareBron: Tweakers

De GGD'en in Nederland moeten meer maatregelen nemen om de gegevens van Nederlanders te beschermen. De Autoriteit Persoonsgegevens stelt dat de beveiliging nog onvoldoende is en verplicht de koepelorganisatie tot actie.

De Autoriteit Persoonsgegevens controleerde drie systemen die werden gebruikt door de GGD'en, die zich verenigen in de koepelorganisatie GGD GHOR. De privacytoezichthouder onderzocht de programma's HPZone, HPZone Lite en CoronIT. Dit zijn softwarepakketten die door de 25 regionale GGD's worden gebruikt om bron- en contactonderzoeken uit te voeren. In januari ontdekte RTL Nieuws dat er grootschalige datahandel plaatsvond door medewerkers die met het programma werkten. Inmiddels is besloten om de software gedeeltelijk te vervangen , maar op welke termijn dit zal gebeuren is niet bekend.

De AP heeft vervolgens onderzoek gedaan naar de beveiliging van de IT-systemen van de zorgorganisaties. De brief komt naar aanleiding van een melding van een datalek, maar ook van mediaberichten over datadiefstal en van 'veel bezorgde signalen die de AP vervolgens hierover kreeg'. De AP erkent dat de GGD'en het moeilijk hebben gehad door het uitbreken van de coronacrisis, maar wijst ook op de grote hoeveelheid data die de zorgorganisaties verzamelen en de aard daarvan. Het gaat om gegevens van 'een uitzonderlijk grote groep burgers' en om medische gegevens die onder de AVG worden aangemerkt als bijzondere persoonsgegevens. Het nemen van technische en organisatorische maatregelen die zijn afgestemd op de daaraan verbonden risico's voor persoonsgegevens is daarom van het grootste belang.

De waakhond keek met name naar de manier waarop de toegang tot data was beveiligd en welke medewerkers toegang hadden tot die data. Ook onderzocht de AP technische maatregelen zoals logging en of data uit systemen geprint konden worden. Uit het onderzoek komen een aantal tekortkomingen naar voren.

Zo konden medewerkers op alle drie de systemen inloggen met alleen een URL. Ze hoefden dus niet in te loggen via een apart, beveiligd netwerk. Er was echter authenticatie in twee stappen vereist om toegang te krijgen tot de systemen. Bij de meeste GGD'en was er 'geen duidelijk beleid' voor het gebruik van hardware. Hierdoor konden veel medewerkers op hun eigen laptop met de gegevens aan de slag. De AP verplicht de GGD'en om een dergelijk beleid op te stellen.

Ook het toegangsbeleid tot de beveiligde systemen was niet op orde. Net als bij laptopgebruik zijn er 'geen harde afspraken' gemaakt op het gebied van autorisatie toestemming of intrekking. Dit zorgde ervoor dat na het grote datalek van januari van dit jaar nog meerdere medewerkers toegang hadden tot de systemen, ook al waren ze niet meer in dienst. "Tijdens het onderzoek heeft de AP geen duidelijk gedocumenteerde afspraken tussen de betrokken partijen gevonden, die naar aanleiding van het datalek in januari 2021 zijn gemaakt, voor de toewijzing, wijziging en intrekking van autorisaties", aldus de waakhond. Deze afspraken moeten nu verplicht worden gesteld. Het gaat om bestaande systemen, maar het beleid moet ook betrekking hebben op toekomstige.

Ten slotte monitoren de GGD'en ook de systeemtoegang niet omdat hun logbeleid ondermaats is. Logboeken worden gemaakt, maar niet regelmatig gecontroleerd. Dat gebeurde alleen als er een klacht was. Ook de GGD negeerde een eerdere eis van de AP. In september 2020 wilde hij dat de diensten automatisch logs zouden controleren, maar dat gebeurde niet. Pas in januari van dit jaar, nadat RTL bericht had over het grote datalek, stapten de GGD'en over op automatisering.

Andere punten die de GGD'en moeten verbeteren zijn dat medewerkers niet zomaar meer data kunnen exporteren, dat zoekfuncties beperkt zijn en dat betrokkenen bij datalekken beter geïnformeerd zijn. Veel van de punten zijn vooral van toepassing op toekomstige systemen. De GGD'en willen op termijn de software HPZone en HPZone Lite vervangen, maar volgens het AP moet er voldoende rekening worden gehouden met de nieuwe regels en eisen.

De AP stelt dat de decentralisatie van de GGD'en voor problemen zorgt. Ook zouden zeker zes partijen betrokken zijn bij het bron- en contactonderzoek, zoals het opzetten van callcenters en diverse ICT-leveranciers. Zij maken dan gebruik van tijdelijk personeel bij bijvoorbeeld uitzendbureaus. De belangrijkste aanbeveling van de AP is dan ook dat de koepelorganisatie en de lokale GGD'en 'met onmiddellijke ingang duidelijke afspraken maken met elkaar en met de andere betrokken partijen op het gebied van informatiebeveiliging en deze up-to-date te houden'.

Nieuws overzicht
KvK nummer:  68747640
BTW nummer:  NL857574176B01