De problemen rond de databeveiliging bij de uitbesteding van de coronatest-afsprakenlijn door de GGD zijn de afgelopen maanden erger geworden. Reden voor de Autoriteit Persoonsgegevens om, na eerdere databeveiligingsproblemen in september, de GGD onder verscherpt toezicht te plaatsen. De coronatestlijn was een snelkookpan-project, maar inmiddels is een aantal problemen structureel gebleken. Een analyse in twee delen.
NRC Handelsblad vatte de situatie als volgt samen: “Gebrekkige controle, een snel groeiende organisatie met veel losse dienstverbanden en het beheer over uiterst interessante data van half Nederland. Achteraf lijkt de datadiefstal van privacygevoelige data van mogelijk miljoenen Nederlanders vanuit twee computersystemen van de GGD’s een ramp die je kon zien aan komen.”
Zowel GGD als politie doen op dit moment nog onderzoek naar de omvang van de problemen, maar steekproeven van GGD zelf wijzen uit dat tientallen medewerkers zich schuldig hebben gemaakt aan ongeoorloofd kijken naar bestanden. Er zijn verschillende medewerkers ontslagen. Hier is geen sprake meer van kinderziektes maar van structurele problemen.
Informatie ruim toegankelijk
Al in september werd duidelijk dat alle ruim 2.000 medewerkers van de testafsprakenlijn die toegang hebben tot CoronIT, met behulp van gegevens als geboortedatum en achternaam, een straatnaam en postcode of een BSN-nummer toegang hebben tot alle testafspraken, uitslagen, medische aantekeningen en telefoonnummers. Ze kunnen bijvoorbeeld positieve en negatieve testuitslagen opzoeken, of de testgegevens van bekende Nederlanders, collega’s of de buurman ophalen. Gegevens zoals 06-nummers en testuitslagen zijn ook gedeeld in WhatsApp-groepen waarin medewerkers elkaar om hulp vragen. RTL meldt dat de software daarnaast een exportmogelijkheid bevatte om in een keer grote hoeveelheden data binnen te halen.
Datalek heeft geleid tot fraudemeldingen
De Fraudehelpdesk, de stichting die mensen adviseert en probeert te beschermen tegen oplichting, heeft in zijn systemen ongeveer 40 meldingen van rond eind 2020 kunnen herleiden tot het datalek bij de GGD. Mensen die eerst door de GGD zijn gebeld, zijn een dag later benaderd met een verdacht telefoontje van een ander nummer. De bellers gebruikten in die gesprekken specifieke informatie die daarvoor bij het bron- en contactonderzoek was opgedoken. Ze noemden bijvoorbeeld namen die in het bron- en contactonderzoek waren genoemd, en probeerden daarmee vervolgens andere informatie, zoals burgerservicenummers, binnen te hengelen, aldus het FD. De Fraudehelpdek denkt dat de 40 meldingen vermoedelijk het topje van de ijsberg zijn. Bij identiteitsfraude en vormen van phishing is de link naar het datalek van de GGD niet meer ter herleiden.
GGD belooft beterschap
De GGD reageerde in september 2020 met de mededeling dat er actief werd gespeurd naar medewerkers die zonder reden in een dossier kunnen kijken. Het risico van gegevens inzien (ook gegevens die je niet nodig hebt) en daar eventueel screenshots maken bestaat ook bij andere klantencontactoperaties, met het verschil dat daar over het algemeen niet met medische gegevens wordt gewerkt.
Naar aanleiding van het nieuwe datalek deze maand meldde de GGD in eerste instantie dat pas vanaf maart controles op het gebruik van data geautomatiseerd zal zijn. Ook communiceerden de GGD’en dat men zo snel mogelijk wilde stoppen met het gebruik van HPzone, software die gebruikt wordt voor het bron- en contactonderzoek, aldus NRC Handelsblad. Dat roept de vraag op in hoeverre de GGD’en softwarematig ‘klaar waren’ voor het digitaal managen van een pandemie. De GGD constateert zelf dat de organisatie is blijven werken met systemen die niet aan de eisen van deze tijd voldeden en heeft hiervoor spijt betuigd.
Cybersecurityspecialist Fox-IT gaat nu de GGD helpen bij het controleren van gemaakte logs in CoronIT. Aan de hand van de controle van Fox-IT hoopt GGD GHOR in de toekomst verdacht gedrag te ontdekken. “Bovendien hebben we een team dat 7 dagen per week handmatig verdachte handelingen opspoort”, aldus de organisatie. Fox-IT was eerder ook al betrokken bij CoronIT. Fox-IT deed toen alleen pentesten voor bedreigingen van buitenaf.
Opmerkelijk is dat zowel de GGD’en zelf als voorzitter Andre Rouvoet bij het aantrekken van het boetekleed (ze betuigden spijt in verschillende verklaringen) ook erkenden dat het systeem bij aanvang al onveilig was. Er lijkt daarmee een bewuste afweging te zijn gemaakt tussen ‘er is nu een systeem nodig’ en het accepteren van grote beveiligingsrisico’s. Zo’n afweging valt niet onder het kopje opstartproblemen of kinderziektes. Deze kwetsbaarheid is bovendien niet vooraf met het publiek gedeeld.
Thuiswerken en security: lastige combinatie?
De beveiliging van systemen blijft een uitdaging. Als het gaat om klantcontactoperaties, heb je vaak te maken met grote groepen medewerkers. Dat maakt het risico van interne beveiligingsproblemen groter: iedere medewerker is potentieel een kwetsbaarheid. Bij grotere groepen ligt het voor de hand om via steekproeven te monitoren, maar het voorbeeld van de GGD laat zien dat proactief en systematisch monitoren op het gebruik van gegevens verstandiger is. Rob van der Staaij, specialist op het gebied van identity & access management, stelt in AG Connect dat een goede risico-analyse in maart 2020 al duidelijk had kunnen maken dat een insider threat – het lekken van data door een medewerker – een groot risico zou zijn.
Het maken van screenshots (via de camera van een smartphone) van scherminformatie kan je vrijwel niet voorkomen, tenzij je (zoals Teleperformance) een clean desk policy hanteert waarbij smartphones zijn niet toegestaan op de werkplek. In een thuiswerkomgeving is dat echter praktisch niet meer te controleren. Wel vroeg Teleperformance de medewerkers met enige regelmaat de webcam aan te zetten om bijvoorbeeld onder toeziend oog gegevens te verwijderen.
Verder is beveiliging een kwestie van een samenhangend geheel van administratieve en technische oplossingen op het gebied van identity and access management, encryptie, data leakage prevention, logging en monitoring, aldus Van der Staaij. Opmerkelijk is dat vergaand toezicht op de uitvoering van werk op verzet kan rekenen van bijvoorbeeld vakbond FNV, die vindt dat medewerkers niet te veel bespioneerd mogen worden.
Eigen onderzoek TP
Teleperformance heeft in september zelf ook onderzoek gedaan en melding gemaakt van een datalek bij de AP. Er werden bij 1.600 medewerkers 38 fouten ontdekt en het bedrijf heeft beveiligingsmaatregelen aangescherpt. Er wordt nu twee keer per week gekeken of er accounts van vertrokken werknemers verwijderd moeten worden in plaats van één keer per week. Ook zijn alsnog geheimhoudingsverklaringen ter ondertekening voorgelegd aan alle medewerkers die die nog niet hadden ondertekend. In sommige gevallen gingen mensen al aan het werk terwijl de aanvraag voor de VOG nog liep.
Deel 2 van dit analyseartikel verschijnt volgende week. Dan gaan we onder meer in op de relatie tussen AVG en outsourcing. Wie moet wat doen om te zorgen voor een veilige operatie? Lees ook: Coronatest-afsprakenlijn snelkookpanproject
Ook interessant
-
Er zijn aanhoudingen verricht en straffen opgelegd, maar stichting ICAM strijdt voor een schadevergoeding van 500 euro per persoon.
-
Het ministerie van VWS moet aansprakelijk gehouden worden voor het datalek dat begin dit jaar bij de GGD is ontdekt,…
-
Teleperformance, Webhelp Nederland en Yource Operations gaan voor de komende vier jaar de klantcontactdiensten in het kader van COVID-19 leveren.