Datalek bij de ICT systemen van de GGD

Waarbij ik wil aanvullen dat ik heb begrepen dat bij de commerciële sneltestlocaties (https://covidtestnederland.nl/
alleen de positieve uitslagen werden doorgegeven aan de GGD. Die zijn de klos.
Degene met een negatieve covid uitslag (ik bijvoorbeeld) ontspringen de dans dus waarschijnlijk twee keer blijkt nu.

Note: direct na het bekend maken van het datalek heb ik de site van covidtestnederland bezocht en op privacy bekeken om te kijken hoe het daar geregeld was. Het bovenstaande verhaal stond in de FAQ. De FAQ is zeker weten nu aangepast en de info daarover verdwenen. Uiteraard om telefoontjes te voorkomen.

Het blijft bizar dat systemen gebouwd worden waarbij het GBA in principe vrij opvraagbaar is. Daarnaast als het BSN centraal staat als uniek nummer, dan wil je dat nummer eigenlijk niet gebruiken voor externe communicatie.

Nu weet ik vrij weinig van dit systeem en de werking, maar een betere flow zou zijn:
1) Geef bij aanmelding (via bijv digi-id) een uniek nummer uit voor de specifieke test, de persoon die wil testen kan deze bewaren op z'n telefoon of uitprinten met bijvoorbeeld een QR code.
2) Bij het testen wordt het nummer ingevoerd/gescanned.
3) De verwerking van de gegevens gebeurd op basis van dit unieke nummer, personeel die deze data verwerkt krijgt een werkbak met dossiers en geen zoek functionaliteit. BSN en adresgegevens zijn niet zichtbaar.
4) Als er contact moet komen met de klant, hoeft de medewerker de gegevens niet in te zien. Een brief kan je laten versturen door het systeem zonder dat de medewerker het adres hoeft te zien, hetzelfde geld voor telefoonnummers, die zou je ook kunnen verbergen als er gebeld wordt via een call-center.
5) Als er dan toch iemand belt die z'n unieke nummer kwijt is, kan je die zaken laten afhandelen door iemand met meer screening/security clearance.

Anyway, dit zijn zo maar ideeën, die natuurlijk ook werk/geld kosten, maar in mijn ogen net zo goed werken met veel meer privacy.

nvm

[Voor 121% gewijzigd door Anoniem: 100386 op 08-11-2021 14:39]

nvm

[Voor 99% gewijzigd door Anoniem: 100386 op 08-11-2021 14:38]

defiant schreef op donderdag 28 januari 2021 @ 00:03:

Anyway, dit zijn zo maar ideeën, die natuurlijk ook werk/geld kosten, maar in mijn ogen net zo goed werken met veel meer privacy.

Ja, kan allemaal zoveel beter. Maar ik herinner me ook nog goed dat er heel veel stuurlui aan wal stonden te schreeuwen waarom dat testen vorig jaar niet zo snel opgeschaald kon, ieder zn neefje kon in een middagje de systemen wel even maken, hoe moeilijk dachten ze het bij de GGDs wel niet dat het was? Ze gingen toch niet weer door die bureaucratische molen heen waarom al die NL ICT projecten steeds zo hard faalden? Gewoon hup, aan de slag als het maar werkt!

Maar goed alle sarcasme opzij, wat het echt zure is dat de CoronaMelder app echt fantastisch is gedaan met allemaal specialisten van buitenaf met terecht veel privacyzorgen weggenomen, waarom dan in godesnaam niet bij dit systeem.. damn.. alleen al het feit dat men via WhatsApp de boel aan elkaar rijgt en een export functie heeft ingeschakeld, wtf..

Zouden de GGD's hiervoor niet exclusief moeten willen samenwerken met partners die ISO 27001-gecertificeerd zijn? Dat zou toch al een hoop "X mag te veel zien" moeten oplossen.

@Antonius dank voor dit topic!

Mijn eigen reactie uit het Coronatopic

Shadow_Agent schreef op woensdag 27 januari 2021 @ 12:34:
Is er eigenlijk een separaat topic voor het GGD datalek?

Is er iemand die mij kan vertellen hoeveel data en in welke vorm er nu precies gelekt is? Want ik hoor en lees wel over complete dumps maar dat zegt in feite nog niets. Een screenshot maken met een camera is veelal op verzoek (neem ik aan) en dan is de kans dat mijn data gelekt is minimaal. Echter, wanneer er werkelijk veel data in één keer via een export functie geëxporteerd kan worden, dan is het een ander verhaal natuurlijk. Maar zelfs dan, kun je dan in één keer alle GGD's leegtrekken? Of moet je in batches van 250 BSN's per keer? Kun je als medewerker GGD Zuid Holland naast inzien ook dumpen van gegevens van GGD Friesland?

Gezien dit schandaal, is er een kans dat er een landelijke omnummeractie BSN komt? Hoe ingewikkeld dit ook is? Kunnen "we" ergens aangifte doen en/of is er al een advocaat mee bezig?

allemaal vragen....

Ik maak mij ook zorgen over het vaccinatiesysteem, wat als daar ook Jan en Alleman in kan gaan snuffelen? het weerhoudt mij er zelfs van om nu heel enthousiast te zijn om mijn gegevens ergens te laten registreren. Als ik nu nog nooit getest zou zijn op COVID zou ik in ieder geval geen afspraak meer plannen nu. LDan maar geen zekerheid. Maar goed, sta nu al in het systeem dus in het ergste geval zijn m'n gegevens gelekt reeds

Beschamend ook hoe De Jonge zich in allerlei bochten wringt om het falen te verbloemen door te richten op die twee opgepakte mannen.

Belangrijk om te vermelden is dat iedereen het recht heeft om zich uit het systeem te laten verwijderen. Dat bleek uit deze tweet van Daniël Verlaan:

Krijg vaak de vraag: kan ik mijn gegevens uit de systemen van de GGD-laten verwijderen of anonimiseren?

Ja, dat is mogelijk, zo blijkt uit hun interne Q&A voor medewerkers, waarvan wordt verzocht die vooral NIET te verspreiden met anderen. pic.twitter.com/66dnbg0Pa8

— Daniël Verlaan (@danielverlaan) 27 januari 2021

Aangezien er een stuk meer dan die twee bewuste personen zijn die data verhandelen, is het denk ik een kwestie van zo snel mogelijk jezelf uit de database te halen om de kans dat je ertussen zit te verkleinen.

[Voor 79% gewijzigd door daanb14 op 28-01-2021 09:37]

Krijg vaak de vraag: kan ik mijn gegevens uit de systemen van de GGD-laten verwijderen of anonimiseren?

Ja, dat is mogelijk, zo blijkt uit hun interne Q&A voor medewerkers, waarvan wordt verzocht die vooral NIET te verspreiden met anderen. pic.twitter.com/66dnbg0Pa8

— Daniël Verlaan (@danielverlaan) 27 januari 2021

@daanb14 HTML werkt niet voor normale gebruikers. Gebruik de embed-tag

RodeStabilo schreef op donderdag 28 januari 2021 @ 09:37:
[Twitter]

@daanb14 HTML werkt niet voor normale gebruikers. Gebruik de embed-tag

Ik was het aan het uitzoeken, maar het is nu gelukt

daanb14 schreef op donderdag 28 januari 2021 @ 09:31:
Belangrijk om te vermelden is dat iedereen het recht heeft om zich uit het systeem te laten verwijderen.

Is dat recht er wel ? Covid-19 is een meldingsplichtige ziekte.

De meldingsplichtige ziekten zijn verdeeld over de groepen A, B1, B2 en C. Deze indeling is gebaseerd op de mate waarin dwingende maatregelen opgelegd kunnen worden om de bevolking te beschermen.

De groepen A, B1 en B2 zijn opgenomen in de Wet publieke gezondheid. Groep C wordt vastgesteld bij Algemene Maatregel van Bestuur (opgenomen in het Besluit publieke gezondheid), om deze lijst bij nieuw wetenschappelijk inzicht gemakkelijker te kunnen wijzigen.

Groep A:
Mogelijk wettelijke maatregelen: gedwongen opname tot isolatie of thuisisolatie, gedwongen onderzoek, gedwongen quarantaine (inclusief medisch toezicht), verbod van beroepsuitoefening. Dit geldt voor:

COVID-19

Als er sprake is van "gedwongen opname tot isolatie of thuisisolatie, gedwongen onderzoek, gedwongen quarantaine (inclusief medisch toezicht), verbod van beroepsuitoefening", dan zal er niet alleen geturfd moeten worden, maar ook persoonsgegevens opgeslagen moeten worden.

daanb14 schreef op donderdag 28 januari 2021 @ 09:31:

Aangezien er een stuk meer dan die twee bewuste personen zijn die data verhandelen, is het denk ik een kwestie van zo snel mogelijk jezelf uit de database te halen om de kans dat je ertussen zit te verkleinen.

Nah, dan gaat jouw BSN weer op de WhatsApp met

-daar heb je er weer zo een hoor, kun jij bij daanb14 even het vinkje "deleted" zetten zodat we er vanaf zijn?

-welke daanb14? Er slingeren hier zoveel Excel sheets rond..

-die in de Kippensteeg in Eimuiden!

-o is dat niet die ene user op GoT, ik ken die jongen nog van vroeger.. Had ie positief getest?

Alle gekheid op een stokje, in dit geval denk ik dat het wrijven in een vlek wordt en ik hoop echt dat er nu per direct een privacy officer op wordt gezet. De antwoorden van De Jonge en de interne meeting van de GGD geven nog niet echt een gevoel dat dit direct zal gebeuren.
Zodra de export functie uit staat maak je als niet-BNer of ander interessante target minder kans om "verkocht" te worden.

CyBeRSPiN schreef op donderdag 28 januari 2021 @ 09:47:
[...]

Nah, dan gaat jouw BSN weer op de WhatsApp met

-daar heb je er weer zo een hoor, kun jij bij daanb14 even het vinkje "deleted" zetten zodat we er vanaf zijn?

-welke daanb14? Er slingeren hier zoveel Excel sheets rond..

-die in de Kippensteeg in Eimuiden!

-o is dat niet die ene user op GoT, ik ken die jongen nog van vroeger.. Had ie positief getest?

Alle gekheid op een stokje, in dit geval denk ik dat het wrijven in een vlek wordt en ik hoop echt dat er nu per direct een privacy officer op wordt gezet. De antwoorden van De Jonge en de interne meeting van de GGD geven nog niet echt een gevoel dat dit direct zal gebeuren.
Zodra de export functie uit staat maak je als niet-BNer of ander interessante target minder kans om "verkocht" te worden.

exact dit was voor mij de reden om geen verzoek te doen of contact op te nemen met de GGD

CyBeRSPiN schreef op donderdag 28 januari 2021 @ 09:47:
[...]

Nah, dan gaat jouw BSN weer op de WhatsApp met

-daar heb je er weer zo een hoor, kun jij bij daanb14 even het vinkje "deleted" zetten zodat we er vanaf zijn?

-welke daanb14? Er slingeren hier zoveel Excel sheets rond..

-die in de Kippensteeg in Eimuiden!

-o is dat niet die ene user op GoT, ik ken die jongen nog van vroeger.. Had ie positief getest?

Alle gekheid op een stokje, in dit geval denk ik dat het wrijven in een vlek wordt en ik hoop echt dat er nu per direct een privacy officer op wordt gezet. De antwoorden van De Jonge en de interne meeting van de GGD geven nog niet echt een gevoel dat dit direct zal gebeuren.
Zodra de export functie uit staat maak je als niet-BNer of ander interessante target minder kans om "verkocht" te worden.

Het is eigenlijk kiezen tussen twee kwaden op dit moment. Zelf heb ik er dan wel voor gekozen en ben ik van plan om over een week inzage in mijn gegevens te vragen om te kijken of die gegevens nog wel of niet bestaan.

defiant schreef op donderdag 28 januari 2021 @ 00:03:
Het blijft bizar dat systemen gebouwd worden waarbij het GBA in principe vrij opvraagbaar is. Daarnaast als het BSN centraal staat als uniek nummer, dan wil je dat nummer eigenlijk niet gebruiken voor externe communicatie.

Nu weet ik vrij weinig van dit systeem en de werking, maar een betere flow zou zijn:
1) Geef bij aanmelding (via bijv digi-id) een uniek nummer uit voor de specifieke test, de persoon die wil testen kan deze bewaren op z'n telefoon of uitprinten met bijvoorbeeld een QR code.
2) Bij het testen wordt het nummer ingevoerd/gescanned.
3) De verwerking van de gegevens gebeurd op basis van dit unieke nummer, personeel die deze data verwerkt krijgt een werkbak met dossiers en geen zoek functionaliteit. BSN en adresgegevens zijn niet zichtbaar.
4) Als er contact moet komen met de klant, hoeft de medewerker de gegevens niet in te zien. Een brief kan je laten versturen door het systeem zonder dat de medewerker het adres hoeft te zien, hetzelfde geld voor telefoonnummers, die zou je ook kunnen verbergen als er gebeld wordt via een call-center.
5) Als er dan toch iemand belt die z'n unieke nummer kwijt is, kan je die zaken laten afhandelen door iemand met meer screening/security clearance.

Anyway, dit zijn zo maar ideeën, die natuurlijk ook werk/geld kosten, maar in mijn ogen net zo goed werken met veel meer privacy.

Zoeken op BSN kan prima zijn, zolang hij uniek is kan je gewoon op basis van bsn 1 hit krijgen naar een dossier. Tevens zou het uberhaupt onmogelijk moeten zijn om complete batches uit te draaien met dossiers dus een export van 10.000'en heb je helemaal niet nodig, dat zijn dingen voor sysadmins, niet de uitzendkracht.

Dan beperk je enkel tot een enkel dossier per keer, de schade die iemand dan kan aanrichten is misschien 100 dossiers op afroep, nog steeds fout maar fors minder dan de export van tienduizenden dossiers.

Ik heb bij mijn GGD even opgevraagd wat ze opgeslagen hebben van me. In september 1x negatief getest. Ik zal het wel even delen, daarna maar laten verwijderen. Ze kunnen er duidelijk niet mee omgaan. Bij mijn volgende test gaat dat met minder gegevens (ze mailen de uitslag maar naar m'n gmail accountje) of niet vermoed ik.

Ik krijg bij vaccinatie een uitdraai mee, ze gooien het maar niet in een database. En hier moesten we op wachten want 'de ict-systemen waren nog niet op orde', nou, dat zijn ze nog steeds niet.

[Voor 23% gewijzigd door Nox op 28-01-2021 12:39]

Zojuist geprobeerd contact op te nemen via het contactformulier van de GGD Gelderland-Midden. Word mijn emailadres (xxx@xxx.email) niet gezien als een geldig email adres. Dan maar een oud emailadres gebruiken. Eens kijken hoelang het duurt voordat deze beantwoord is.

Zojuist heeft Daniël Verlaan een publicatie op RTL nieuws gedaan.

Het lastige aan dit soort systemen is dat je vooraf eigenlijk al kunt verwachten dat er medewerkers zijn die gaan lekken. Simpelweg omdat het om grote aantallen medewerkers gaat die ook nog eens weinig binding met de organisatie hebben.

Dus dat verhaal over de VOG geloof ik allemaal wel. Als het systeem geen goede beveiliging tegen leegtrekken heeft neem je gewoon bewust een risico.

Nox schreef op donderdag 28 januari 2021 @ 10:52:
[...]

Zoeken op BSN kan prima zijn, zolang hij uniek is kan je gewoon op basis van bsn 1 hit krijgen naar een dossier. Tevens zou het uberhaupt onmogelijk moeten zijn om complete batches uit te draaien met dossiers dus een export van 10.000'en heb je helemaal niet nodig, dat zijn dingen voor sysadmins, niet de uitzendkracht.

Dan beperk je enkel tot een enkel dossier per keer, de schade die iemand dan kan aanrichten is misschien 100 dossiers op afroep, nog steeds fout maar fors minder dan de export van tienduizenden dossiers.

Ik wil hier even op inhaken. Er konden geen exports gemaakt worden van 10.000'en. De exportfunctie was gelimiteerd tot enkele honderden (alsnog veels te veel natuurlijk)

Maarten2212 schreef op donderdag 28 januari 2021 @ 14:33:
[...]


Ik wil hier even op inhaken. Er konden geen exports gemaakt worden van 10.000'en. De exportfunctie was gelimiteerd tot enkele honderden (alsnog veels te veel natuurlijk)

Enkele honderden per keer? Of hoe zijn die exports gelimiteerd?

Dat er uberhaupt een limiet was geeft mij dan nog een klein beetje hoop dat het lek geen honderdduizenden dossiers zijn. Goed, als die exports vervolgens geen limiet hebben...

Webgnome schreef op donderdag 28 januari 2021 @ 14:38:
[...]


Enkele honderden per keer? Of hoe zijn die exports gelimiteerd?

Hoe het werkte: in het afsprakenoverzicht kon je alle afspraken zien staan van een bepaalde periode. Je moest de selectie zo klein maken dat er enkele honderden afspraken over bleven (door bijvoorbeeld bepaalde testlocaties te selecteren) en deze kon geëxporteerd worden. Direct daarna kon meteen een nieuwe selectie gemaakt worden en geëxporteerd. In deze export stonden namen, telefoonnummers, BSN-nummers en tijd van afspraak (het was gemaakt om een papieren versie van het afsprakenoverzicht te hebben mocht het systeem er bijvoorbeeld uit liggen).

Maarten2212 schreef op donderdag 28 januari 2021 @ 14:44:
[...]


Hoe het werkte: in het afsprakenoverzicht kon je alle afspraken zien staan van een bepaalde periode. Je moest de selectie zo klein maken dat er enkele honderden afspraken over bleven (door bijvoorbeeld bepaalde testlocaties te selecteren) en deze kon geëxporteerd worden. Direct daarna kon meteen een nieuwe selectie gemaakt worden en geëxporteerd. In deze export stonden namen, telefoonnummers, BSN-nummers en tijd van afspraak (het was gemaakt om een papieren versie van het afsprakenoverzicht te hebben mocht het systeem er bijvoorbeeld uit liggen).

Daar is an sich niks mis mee, je kan zonder BSN gewoon de naam / geboortedatum uitprinten, samen een redelijk unieke identifier voor de medewerkers op testlocatie en op ieder rijbewijs/paspoort bekend.

Maar dit geldt voor de testafspraken, de ggd doet ook nog meer zoals BCO, hoe zat het daar dan? En kunnen we stiekem concluderen op basis van jouw ervaring dat je er werkzaam was/bent?

daanb14 schreef op donderdag 28 januari 2021 @ 13:06:
Zojuist heeft Daniël Verlaan een publicatie op RTL nieuws gedaan.

Waarom is er zo paniekerig opgeschaald?

Dat mag toch duidelijk zijn, medio 2020 was iedereen, ook RTL Nieuws, woedend dat het testen zo traag op gang kwam. Hier gaat Conway's Law weer op, systemen reflecteren de organisatie. En met een organisatie die bestaat uit een lappendeken van zowel regio's als instanties krijg je een systeem waar er talloze overdrachten plaats moeten vinden van gegevens over duizenden mensen.

RTL mei vorig jaar: https://www.rtlnieuws.nl/...ie-testen-traceren-corona

Tijdlijn: hoe Nederland te laat het testen op corona uitbreidde

En waarom is het dan niet meteen foutloos gedaan of zijn er goeie safeguards ingebouwd ? Dezelfde redenen dat er geen effectieve safeguards zijn om het virus in te dammen, we willen niet graag beperkingen opgelegd krijgen die direct ongemak opleveren om een theoretisch risico te voorkomen. Eens per week cijfers bijvoorbeeld in plaats van dagelijks zou al een grote verbetering qua veiligheid zijn door veel minder overdrachtsmomenten te hebben. Maar onacceptabel, een uur vertraging en de hele media komt al met fakkels en rieken aanzetten dat het prutsers zijn of er zaken verborgen worden.

edit: vandaag al meteen vertraging in de dagelijkse cijfers.....

[Voor 12% gewijzigd door IJzerlijm op 28-01-2021 15:42]

Maarten2212 schreef op donderdag 28 januari 2021 @ 14:44:
[...]


Hoe het werkte: in het afsprakenoverzicht kon je alle afspraken zien staan van een bepaalde periode. Je moest de selectie zo klein maken dat er enkele honderden afspraken over bleven (door bijvoorbeeld bepaalde testlocaties te selecteren) en deze kon geëxporteerd worden. Direct daarna kon meteen een nieuwe selectie gemaakt worden en geëxporteerd. In deze export stonden namen, telefoonnummers, BSN-nummers en tijd van afspraak (het was gemaakt om een papieren versie van het afsprakenoverzicht te hebben mocht het systeem er bijvoorbeeld uit liggen).

Als je op die manier keer na keer exports kunt blijken maken, heb je ook aardig snel een hoop bij elkaar of niet?

@Antonius nieuws van Tweakers is van 2021, er staat nu 2020 in OP

Via

Minister ⁦@hugodejonge⁩ gaf in de #TweedeKamer tekst en uitleg over het gigantische #datalek via de test- en uitslagensystemen van de #GGD’s. Deskundigen zijn verbijsterd over de uitleg van de minister. Sommige uitspraken zijn aantoonbaar onjuist, schrijft de @volkskrant. pic.twitter.com/8UmmGKEb23

— Jan Leune (@JWCLeune) 28 januari 2021

Antonius schreef op donderdag 28 januari 2021 @ 15:26:
[...]


Thanks, aangepast

---

Het lijkt er op dat de minister niet weg komt met bagatelliseren, afleiden en liegen over het datalek.

Felle kritiek op De Jonge om uitleg datalek GGD: 'Misplaatste zelfverzekerdheid'

Ik ben benieuwd hoe hard de kamer dit durft te gaan spelen. Ik vind dat ze het debat hard in mogen gaan, hoop dan ook dat ze weten waar ze het over hebben en de ogen op de bal kunnen houden. In het vragenuurtje werden er allerlei niet relevante zijsprongen gemaakt. Als je hier een punt wilt maken dan moet je zorgen dat je weet waar je het over hebt en je niet met een kluitje in het riet laten sturen door een minister die ook niet weet waar hij het over heeft. Of doet alsof hij het niet snapt om er makkelijk vanaf te zijn, dat kan ook nog.

Daniel Verlaan zei het ook in één van zijn twitterdraadjes: hij is bang dat kamerleden niet genoeg ICT-kennis hebben om De Jonge hier kundig over te vragen. Fleur Agema was een goed voorbeeld. Die riep gelijk weer dat het allemaal niet deugt en dat de GGD liever vandaag dan morgen nog moet overstappen naar een ander systeem. Sorry, maar daar zit het (enige) probleem niet.

Wat ik me nu afvraag is of de gegevens op dit moment nog steeds in te zien zijn. Staan de systemen nog aan en zijn de gegevens vanaf maart/april nog steeds te openen?

@-ION- ik neem aan dat de systemen nu nog steeds gewoon te gebruiken zijn aangezien ze onderdeel zijn van de bestrijding van de pandemie

Webgnome schreef op donderdag 28 januari 2021 @ 19:38:
@-ION- ik neem aan dat de systemen nu nog steeds gewoon te gebruiken zijn aangezien ze onderdeel zijn van de bestrijding van de pandemie

Daar ga ik dus ook vanuit. Dan denk je een keer niet aan jezelf, door je te laten testen, liggen je persoonsgegevens op straat.

Tegen dit soort misdaad is geen kruid gewassen
Nou sorry hoor maar daar zie je al aan hoever hij van de inhoud staat.. snapt er niks van..

Nox schreef op donderdag 28 januari 2021 @ 14:55:
[...]

Daar is an sich niks mis mee, je kan zonder BSN gewoon de naam / geboortedatum uitprinten, samen een redelijk unieke identifier voor de medewerkers op testlocatie en op ieder rijbewijs/paspoort bekend.

Maar dit geldt voor de testafspraken, de ggd doet ook nog meer zoals BCO, hoe zat het daar dan? En kunnen we stiekem concluderen op basis van jouw ervaring dat je er werkzaam was/bent?

Alle gegevens stonden er meteen op, het was een .pdf formaat en je kon dus niet gemakkelijk een kolom weghalen om te printen.

Het systeem waar het om gaat is CoronIT. Dit is het centrale registratiesysteem van de hele keten. Dossiers worden voornamelijk gemaakt door het landelijk callcenter. Ook in de teststraat wordt dit systeem gebruikt en het laboratorium gebruikt ook dit systeem om de uitslagen in het dossier te zetten.
Alle positieve uitslagen worden doorgezet naar HPZone, dit is het bron- en contactonderzoek (BCO) programma van de GGD. Het grootste deel van de positieve komt uit CoronIT (die door de GGD zijn getest), een deel is bijvoorbeeld in het ziekenhuis getest, door de huisarts of via een commerciële teststraat.
Veruit de meeste BCO-medewerkers zullen nooit in CoronIT komen en hebben hier ook geen account voor. In HPZone wordt een nieuw dossier aangemaakt van de patiënt waarna deze gebeld wordt. Aan de hand van het telefoongesprek wordt meer informatie genoteerd, zoals waar men geweest is, wie men gezien heeft, vermoedelijke bron, werklocatie etc. In HPZone konden queries gemaakt worden van bepaalde variabele (bijvoorbeeld een school) en deze konden worden geprint. Via HPZone wordt de zogeheten OSIRIS melding gedaan, deze wordt doorgestuurd naar het RIVM en dat zijn de dagelijkse besmettingencijfers.

Het probleem zit hem echter vooral in CoronIT. Hier kan je heel gemakkelijk burgers opzoeken (op achternaam, geboortedatum, BSN-nummer, adres).

Precies hetzelfde systeem wordt nu gebruikt voor de vaccinaties, er wordt verder gewerkt in eenzelfde dossier.

En ja, het is een redelijk veilige conclusie dat ik hier werk/heb gewerkt

daanb14 schreef op donderdag 28 januari 2021 @ 15:05:
[...]

Als je op die manier keer na keer exports kunt blijken maken, heb je ook aardig snel een hoop bij elkaar of niet?

Correct ja, ik kan me ook zo voorstellen dat je zo redelijk veel data bij elkaar kan krijgen.

-ION- schreef op donderdag 28 januari 2021 @ 19:28:
Wat ik me nu afvraag is of de gegevens op dit moment nog steeds in te zien zijn. Staan de systemen nog aan en zijn de gegevens vanaf maart/april nog steeds te openen?

Er is nog niks verwijderd. Er zijn een paar wijzigingen gedaan (die export-functie werkt bijvoorbeeld niet meer) maar de data staat er vanaf april zo ongeveer.

ID-College schreef op donderdag 28 januari 2021 @ 20:18:
Tegen dit soort misdaad is geen kruid gewassen
Nou sorry hoor maar daar zie je al aan hoever hij van de inhoud staat.. snapt er niks van..

Ik zag het ook net. Wat een ongelooflijk kansloze opmerking.

We bouwen een systeem en zetten daar onnodig gevoelige data in zoals BSN. Vervolgens geven we 10.000+ random uitzendkrachten de mogelijkheid om alle data te exporteren naar pdf of Excel. Maar inderdaad hoor, tegen dit soort misdaad is geen kruid gewassen

Blauwschaap schreef op donderdag 28 januari 2021 @ 20:21:
[...]

Ik zag het ook net. Wat een ongelooflijk kansloze opmerking.

We bouwen een systeem en zetten daar onnodig gevoelige data in zoals BSN. Vervolgens geven we 10.000+ random uitzendkrachten de mogelijkheid om alle data te exporteren naar pdf of Excel. Maar inderdaad hoor, tegen dit soort misdaad is geen kruid gewassen

Dat je dit soort teksten überhaupt je strot uit kunt laten komen he....
Echt wat een amateur! Ik mag toch hopen dat er IEMAND is in die 2e kamer die hier doorheen prikt?

en het ergste is ook: het is al maandenlang bekend dat het systeem zo lek als een mandje is.
Nog erger trouwens: je gegevens kunnen gelekt zijn zonder dat je het weet d.m.v. de BCO registratie

Shadow_Agent schreef op donderdag 28 januari 2021 @ 20:34:
[...]

Dat je dit soort teksten überhaupt je strot uit kunt laten komen he....
Echt wat een amateur! Ik mag toch hopen dat er IEMAND is in die 2e kamer die hier doorheen prikt?

en het ergste is ook: het is al maandenlang bekend dat het systeem zo lek als een mandje is.
Nog erger trouwens: je gegevens kunnen gelekt zijn zonder dat je het weet d.m.v. de BCO registratie

Het systeem draait 24 uur per dag en mag niet onbereikbaar zijn. Als je daar in de ontwerpfase geen rekening mee gehouden hebt kan je, als het eenmaal draait, ook geen aanpassingen doen zonder downtime.
Tussen windows 95 en de laatse variant zit ook 25 jaar ontwikkeling...

Ik snap dat ie onder druk staat maar dit zijn toch al flink wat steken die vallen. Ook het hele vaccinatietraject zelf. Dan ook nog de toeslagen affaire erbij. Het wordt hoognodig tijd voor nieuwe aanwas want deze mannen hebben hun beste tijd echt gehad..

ID-College schreef op donderdag 28 januari 2021 @ 20:40:
Ik snap dat ie onder druk staat maar dit zijn toch al flink wat steken die vallen. Ook het hele vaccinatietraject zelf. Dan ook nog de toeslagen affaire erbij. Het wordt hoognodig tijd voor nieuwe aanwas want deze mannen hebben hun beste tijd echt gehad..

Nee, deze mannen komen tijd te kort en hebben hulp nodig.

nvm

[Voor 99% gewijzigd door Anoniem: 100386 op 08-11-2021 14:38]

jadjong schreef op donderdag 28 januari 2021 @ 20:41:
[...]

Nee, deze mannen komen tijd te kort en hebben hulp nodig.

Iedereen heeft evenveel tijd. Kwestie van de juiste prioriteiten leggen..

Maarten2212 schreef op donderdag 28 januari 2021 @ 20:21:
[...]


Precies hetzelfde systeem wordt nu gebruikt voor de vaccinaties, er wordt verder gewerkt in eenzelfde dossier.

<knip>

Er is nog niks verwijderd. Er zijn een paar wijzigingen gedaan (die export-functie werkt bijvoorbeeld niet meer) maar de data staat er vanaf april zo ongeveer.

Dat biedt dus geen hoop

Iedere callcenter medewerker kan via een simpele zoekopdracht kijken hoeveel en wie er al gevaccineerd is?

Overigens dank voor je bericht en kijkje in de keuken

Anoniem: 100386 schreef op donderdag 28 januari 2021 @ 20:45:
[...]


Tijd tekort is nooit reden om foute besluiten te nemen, en die dan nog consistent dmv smoezen en draaien proberen te verdedigen.

De Jong moet gewoon het veld ruimen, en er moeten de GGD vervangen door een organisatie met een 'yes we can' mentaliteit.

En hoe zie je dat voor je? De GGD an zich heeft de afgelopen 30 jaar redelijk gefunctioneerd voor zijn taken in de publieke gezondheid. Die hele organisatie ontmantelen lijkt me vooral heel duur en lost weinig op.

Het probleem hier is dat HPZone gewoon bewezen techniek is en is ontwikkeld in het VK met steun van de NHS en ze dit al jaren gebruikten. CoronIT moest ontzettend snel ontwikkelend worden onder enorme tijdsdruk en is specifiek voor deze pandemie en het verwerken van testen ontwikkeld. Hierdoor zijn hier gewoon steken laten vallen. Niet primair security pillar (authenticatie) maar wel in de secundaire en tertiaire (autorisatie) en (auditing). Er is duidelijk te weinig nagedacht over een goed autorisatie model en monitoring en auditing.

Als je bijvoorbeeld bij banken zoveel dossiers opvraagt of exporteert dan was je account al lang geblokkeerd vanwege afwijkend gedrag als je al de juiste autorisaties had om die exports überhaupt te draaien.

Ontwikkeling van zulke software is gewoon enorm complex en de overheid en de partijen die zij ingeschakeld hebben een ontzettend slecht trackrecord wat betreft 100% maatwerk software en dat bewijst dit fiasco maar weer eens. Het wordt tijd dat de aanbestedingsprocedures op de schop gaan en ook kleinere gespecialiseerde software huizen met 50-300 ontwikkelaars de mogelijkheid krijgen dit soort projecten te winnen. Dan kan het absoluut een stuk beter een stuk sneller en misschien nog wel een stuk goedkoper ook.

Shadow_Agent schreef op donderdag 28 januari 2021 @ 21:04:
[...]


Dat biedt dus geen hoop

Iedere callcenter medewerker kan via een simpele zoekopdracht kijken hoeveel en wie er al gevaccineerd is?

Overigens dank voor je bericht en kijkje in de keuken

Goede vraag ja. Dit is niet zo. Een deel van de callcentermedewerkers (maar dan praten we alsnog over duizenden) heeft rechten om ook vaccinatie-afspraken te maken en zij kunnen dus ook zien wie al gevaccineerd is. De medewerkers van de testlocatie kunnen ook niet zien wie gevaccineerd is (behalve als deze medewerker ook in de vaccinatielocatie werken natuurlijk).

nvm

[Voor 101% gewijzigd door Anoniem: 100386 op 08-11-2021 14:37]

Davidshadow13 schreef op donderdag 28 januari 2021 @ 21:11:
[...]

Ontwikkeling van zulke software is gewoon enorm complex en de overheid en de partijen die zij ingeschakeld hebben een ontzettend slecht trackrecord wat betreft 100% maatwerk software en dat bewijst dit fiasco maar weer eens. Het wordt tijd dat de aanbestedingsprocedures op de schop gaan en ook kleinere gespecialiseerde software huizen met 50-300 ontwikkelaars de mogelijkheid krijgen dit soort projecten te winnen. Dan kan het absoluut een stuk beter een stuk sneller en misschien nog wel een stuk goedkoper ook.

CoronIT is toch door zo'n kleine specialist, Topicus, ontwikkeld ?

IJzerlijm schreef op donderdag 28 januari 2021 @ 21:31:
[...]


CoronIT is toch door zo'n kleine specialist, Topicus, ontwikkeld ?

Ik ben niet bekend met wie deze specifieke software heeft ontwikkeld maar ik zou Topicus absoluut geen kleine specialist noemen. Het is de grootste detacheerder van het oosten en heeft ook gewoon 1000-5000 medewerkers.

https://www.ggdghorkennisnet.nl/registreren schijnbaar kun je gewoon aanmelden.

Lol!

Zowel de GGD als Teleperformance, het bedrijf dat verantwoordelijk is voor onder andere de testafsprakenlijn, stellen dat alleen mensen met een VOG met deze systemen mogen werken. Teleperformance meldt wel dat medewerkers soms al anderhalve maand aan het werk kunnen zijn terwijl ze op hun VOG wachten: " ls de VOG binnen 6 weken na start niet wordt opgeleverd, wordt er per direct afscheid genomen van een medewerker."
https://www.rtlnieuws.nl/...-vog-coronit-hpzone-light

Serieus, ik heb nooit meer dan pakweg een week hoeven wachten op mijn vog.

PcDealer schreef op vrijdag 29 januari 2021 @ 00:17:
Lol!

[...]

Serieus, ik heb nooit meer dan pakweg een week hoeven wachten op mijn vog.

Hangt van het soort VOG af, als je Willem Alexander wilt beveiligen gaan ze de barman in Chersonissos ondervragen hoe jij 22 jaar geleden je daar gedroeg. Dan ben je zo een jaar verder. Waarschijnlijk zit de VOG voor het callcenter daar ergens tussenin.

[Voor 8% gewijzigd door jadjong op 29-01-2021 06:30]

De nieuwsartikelen over het uit gebruik gaan nemen van HPzone zijn weer lekker kort door de bocht. Bijvoorbeeld nu.nl schetst echt het beeld dat er maar 1 softwaresysteem is en dat dit alle problemen oplost. De NOS benoemt in hun liveblog inderdaad dat het om HPzone gaat, maar vertelt er niet bij dat coronIT, wat ook zo lek als een mandje is, geen aankondiging voor het voornemen om het uit gebruik te nemen heeft. Hopelijk uit Daniël Verlaan hier nog een goede dosis kritiek op vandaag.

Ik lees nu in de media dat er vanuit de GGD geen toezicht is op wat de medewerkers allemaal uitspoken in het systeem omdat ze thuis werken en dat ze nu ook nog niet weten of ze kunnen achterhalen welke informatie daadwerkelijk op straat is terecht gekomen. Vooral dat laatste doet mij vermoeden dat er er nauwelijks tot geen auditlog aanwezig is, laat staan dat logging is ingeregeld volgens de informatiebeveiligingsnormen zoals vastgelegd in NEN 7513. Het implementeren van NEN 7513, waarin wordt beschreven hoe gebeurtenissen in zorgsystemen moeten worden gelogd, is voor systemen waarin medische gegevens worden opgeslagen al een tijdje verplicht. De vraag is misschien wat de scheidslijn precies is en of het hier wel of niet om medische gegevens gaat, maar dit soort systemen, waar met zeer gevoelige informatie wordt gewerkt, verwacht je dat op zijn minst aandacht is besteed om vast te leggen welke gebeurtenissen, door wie, wanneer en met welke zoekvragen zijn uitgevoerd.

Ik weet bij het bedrijf waar ik werk, waar we met zorginformatie werken, hoeveel tijd en aandacht is besteed om NEN 7513 te implementeren en te voldoen aan de wettelijke bepalingen. Als dan uitgerekend de overheid zelf deze normen volledig aan zijn laars lapt, dan is dat bijzonder frustrerend om te zien.

JeroenTheStig schreef op vrijdag 29 januari 2021 @ 08:19:
Ik lees nu in de media dat er vanuit de GGD geen toezicht is op wat de medewerkers allemaal uitspoken in het systeem omdat ze thuis werken en dat ze nu ook nog niet weten of ze kunnen achterhalen welke informatie daadwerkelijk op straat is terecht gekomen.

Dochter van een goede kennis werkt inderdaad op deze manier sinds een maand of 2 voor de GGD: belt vanuit huis in om afspraken voor vaccinaties in te plannen. Ook nooit gevraagd naar een VOG overigens.

Vrouw van mijn zwager Idem geen VOG toen ze starte en vanuit huis na een training van 2 dagen.
Later wel de VOG uiteraard.
Door een externe partij die namens de GGD werkt, en kan alleen de region inzien die ze die dag toegewezen krijgt.

Welk systeem dat is is mij niet bekend

[Voor 8% gewijzigd door Mektheb op 29-01-2021 08:36]

BSN zou andere functie moeten krijgen denk ik, ik zie het nu als 'security by obscurity' en voor zover dat al oké was is het met dergelijke lekken onhoudbaar.
Vergelijk het met het VIN van een auto, die staat in veel gevallen achter de voorruit voor iedereen zichtbaar.
Dat zou betekenen dat de gevoeligheid gelijk wordt aan die van de combinatie voor en achternaam en geboortedatum. Een nummertje om een persoon te identificeren.
Authenticatie zou altijd met andere middelen moeten zoals digid, te vertonen identificatiemiddel of een ander slim mechanisme.

Zouden we bereid zijn geweest de BCO onderzoeken, testen en nu vaccineren een maand of twee uit te stellen om een beter en veiliger systeem te hebben ?

IJzerlijm schreef op vrijdag 29 januari 2021 @ 08:49:
Zouden we bereid zijn geweest de BCO onderzoeken, testen en nu vaccineren een maand of twee uit te stellen om een beter en veiliger systeem te hebben ?

weet niet of dat de keuze was. kan ook dat de keus was om een systeem met hogere prijs in te kopen of om het werk anders te organiseren ( ik was er niet bij , maar heb wel enige ervaring in die hoek )

nvm

[Voor 99% gewijzigd door Anoniem: 100386 op 08-11-2021 14:37]

Antonius schreef op donderdag 28 januari 2021 @ 21:06:
[...]


Daar ben ik het roerend mee eens, geen excuus voor mogelijk.


[...]


Eerste deel helemaal akkoord. Maar het tweede deel niet.

De rotte appels hoger in de GGD die ondanks stevige signalen uit de politiek, AP en eerdere nieuwsberichten foute beslissingen nemen over de registratie systemen en gegronde geruchten over het datalek langdurig volkomen negeren danwel in de dooftrommel stoppen, die mogen er uit. Zonder gouden, zilveren of blikken handdruk maar liever met een flinke trap tegen de derrière.

De GGD mensen die ik bezig zag de keren dat ik mensen naar een teststraat heb gereden verdienen alle lof, voor hard en stipt werken ondanks kouwe tocht lokaties (daar zou ik spontaan al ziek van worden ) en humor en persoonlijke aandacht bij uitvoeren van hun eentonige werk met vaak chagrijnige klanten die zich soms ook nog vreselijk onbeschoft en agressief schijnen op te stellen. Het is niet een en al ellende bij de GGD, voor dat deel van de uitvoering van de testen niets dan lof

Ik zou het eerder incompetente appels noemen. Te weinig kaas gegeten van de materie en adviezen van deskundigen in de wind slaan.

Anoniem: 100386 schreef op vrijdag 29 januari 2021 @ 09:06:
[...]


De vraag is eerder of je het hele doopceel van iemand nodig hebt om een afspraak te maken? En of het systeem dus anders had gekund.

Je moet over de telefoon iemand z'n identiteit vast stellen, wat zou jij dan als benodigde info willen hebben om dat te doen ?

GGD's willen stoppen met omstreden systeem

Volgens mij moet de GGD ook even bij zichzelf te rade gaan of ze bepaalde protocollen moeten herzien.

Shadow_Agent schreef op vrijdag 29 januari 2021 @ 09:30:
[...]


Ik las het ook inderdaad
Waarschijnlijk omdat CoronIT ook voor de vaccinatieregistratie wordt gebruikt en ze niet zonder kunnen. HPZone voornamelijk voor BCO onderzoek (zoals hier elders is te lezen)

Met alle respect, ik denk dat het BCO momenteel sowieso al op een laag pitje staat en "men" weinig moeite doet daarvoor. Dus kan de zwarte piet prima naar HPZone worden geschoven om de aandacht van CoronIT af te leiden.

Ik hoop heel erg dat Daniël Verlaan hier vandaag even een zegje op gaat doen en vermeld dat dit het probleem niet op gaat lossen en de gegevens van geteste mensen nog steeds niet goed beschermd is.

daanb14 schreef op vrijdag 29 januari 2021 @ 09:31:
[...]

Ik hoop heel erg dat Daniël Verlaan hier vandaag even een zegje op gaat doen en vermeld dat dit het probleem niet op gaat lossen en de gegevens van geteste mensen nog steeds niet goed beschermd is.

eens! Iemand met Twitter zou hem er even op moeten wijzen wellicht Zelf heb ik (gelukkig) geen Twitter/Instagram/whatever account

De fouten op een rijtje:

1. (vermoedelijke AVG overtreding) meer gegevens opslaan dan noodzakelijk om de dienst te leveren, zijnde covid-test en eventueel bron- en contact onderzoek BCO.
* Noodzakelijk voor test: geen gegevens, een test kan anoniem met een uniek volgnummer voor de uitslag.
* Noodzakelijk voor BCO: naam, contactgegevens.
* Optioneel voor statistieken, alleen opslaan met toestemming klant: postcode etc.

2. (vermoedelijke AVG overtreding) gegevens langer bewaren dan noodzakelijk
Na een negatieve test of na het afronden van BCO kunnen de persoonlijke gegevens eruit. Je kunt wel de testresultaten anonimiseren en behouden voor statistieken.

3. Ongebreidelde toegang van personeel en externen tot gevoelige gegevens

4. Ontbreken van effectieve audit mechanismen

Webgnome schreef op vrijdag 29 januari 2021 @ 09:31:
GGD's willen stoppen met omstreden systeem

Volgens mij moet de GGD ook even bij zichzelf te rade gaan of ze bepaalde protocollen moeten herzien.

Ik ben benieuwd waarom het systeem opeens vervangen moet worden, het zijn medewerkers, protocollen en policies die niet in orde waren. Niet het systeem. Dit is als het vervangen van keukenmessen door dunschillers omdat een gast een keukenmes heeft gebruikt bij een overval ofzo.

Nox schreef op vrijdag 29 januari 2021 @ 09:36:
[...]

Ik ben benieuwd waarom het systeem opeens vervangen moet worden, het zijn medewerkers, protocollen en policies die niet in orde waren. Niet het systeem. Dit is als het vervangen van keukenmessen door dunschillers omdat een gast een keukenmes heeft gebruikt bij een overval ofzo.

Dat weet iedereen die een beetje meer verstand van zaken heeft. MAar voor de buitenwereld klinkt dit wel lekker. Een nieuw systeem waar niks mee mis kan gaan!!

Overigens mag de AP zich ook wel even twee keer achter de oren krabben in dit geheel. Al maanden geleden doken de eerste berichten op dat het systeem faalde. Hoe kan het dan dat diezelfde AP niet in actie is gekomen? Waarom is er niet direct en actief actie ondernomen?

Klinkt als een slager (AP) die z;n eigen vlees keurt (GGD systemen). "Nee hoor, alles is goed bij de GGD. Wat zeg je, een bulkexport, mensen werken wekenlang zonder VOG en kunnen niet essentiële gegevens opvragen? Nou nee, dat zou misschien niet moeten denken we, maar zolang een journalist van RTL geen ruchtbaarheid hieraan geeft gaan we ons liever bezighouden met andere zaken. John, jij nog koffie?"

/cynische mode uit

Ik ga maar eens aan het werk, met een koffie!

Webgnome schreef op vrijdag 29 januari 2021 @ 09:37:
[...]


Dat weet iedereen die een beetje meer verstand van zaken heeft. MAar voor de buitenwereld klinkt dit wel lekker. Een nieuw systeem waar niks mee mis kan gaan!!

dit zelfde gebeurt ook regelmatig organisatorisch. als er 4 teams zijn die niet goed samenwerken er een 5e multidisciplinair team naast zetten want dan kan er snel geschakeld worden ( waarbij dan soms over t hoofd gezien wordt dat team 5 afhankelijk is van team 1-4 omdat die bijvoorbeeld de systemen beheren)

Ze gaan intussen gewoon door om op BSN's te leunen:

Het maken van een afspraak kan op twee manieren: ​

​Online met je DigiD via rijksoverheid.nl/coronatest of
Bel 0800 1202. Houd je burgerservicenummer (BSN) bij de hand. Je vindt dit nummer op je paspoort, identiteitskaart, rijbewijs of loonstrook.

Dit begint toch wel naar grove nalatigheid te rieken. Ik denk dat er juridisch een goede kans is om de GGD aansprakelijk te stellen voor de schade van identiteitsfraude.

Wie zijn gegevens in het systeem heeft zitten, doet er goed aan om twee stappen te zetten:

1. stuur alvast een ingebrekestelling voor het blootstellen van je persoonsgegevens, dat kan een eventuele civiele rechtzaak verderop in de tijd ondersteunen;
2. oefen je (AVG) recht uit om vergeten te worden

Op zich is het maken van afspraken op basis van je BSN niet heel verkeerd.. als je er maar voor zorgt dat die gegevens daarna niet meer inzichtelijk zijn voor mensen die er geen toegang tot hebben. Een BSN is toch echt jou persoonlijke identificatienummer. Er zijn zoveel systemen (overheid) waar je met je BSN moet laten weten wie je bent.

Shadow_Agent schreef op vrijdag 29 januari 2021 @ 09:46:
Overigens mag de AP zich ook wel even twee keer achter de oren krabben in dit geheel. Al maanden geleden doken de eerste berichten op dat het systeem faalde. Hoe kan het dan dat diezelfde AP niet in actie is gekomen? Waarom is er niet direct en actief actie ondernomen?

Klinkt als een slager (AP) die z;n eigen vlees keurt (GGD systemen). "Nee hoor, alles is goed bij de GGD. Wat zeg je, een bulkexport, mensen werken wekenlang zonder VOG en kunnen niet essentiële gegevens opvragen? Nou nee, dat zou misschien niet moeten denken we, maar zolang een journalist van RTL geen ruchtbaarheid hieraan geeft gaan we ons liever bezighouden met andere zaken. John, jij nog koffie?"

/cynische mode uit

Ik ga maar eens aan het werk, met een koffie!

Internetrecht-jurist Mathieu Paapst geeft in dit artikel met Nieuwsuur aan dat er een veel breder probleem is bij de autoriteit persoonsgegevens. De autoriteit persoonsgegevens is structureel ondergefinancierd en dit is al jarenlang het geval. Hierdoor heeft de autoriteit persoonsgegevens gewoon niet de capaciteit om zijn werk goed uit te voeren. Met name op een vlak zo kritiek als de beveiliging van persoonsgegevens, is dit heel ernstig te noemen.

jadjong schreef op vrijdag 29 januari 2021 @ 06:29:
[...]

Hangt van het soort VOG af, als je Willem Alexander wilt beveiligen gaan ze de barman in Chersonissos ondervragen hoe jij 22 jaar geleden je daar gedroeg. Dan ben je zo een jaar verder. Waarschijnlijk zit de VOG voor het callcenter daar ergens tussenin.

Dat is geen VOG, VOG is puur een ja/nee gebaseerd op het werk wat je wilt doen, gebaseerd op je strafblad. Dat er bij bepaalde functies meer dan een VOG nodig is, is zeker waar maar heeft niets met een VOG te maken.

Webgnome schreef op vrijdag 29 januari 2021 @ 10:27:
Op zich is het maken van afspraken op basis van je BSN niet heel verkeerd.. als je er maar voor zorgt dat die gegevens daarna niet meer inzichtelijk zijn voor mensen die er geen toegang tot hebben. Een BSN is toch echt jou persoonlijke identificatienummer. Er zijn zoveel systemen (overheid) waar je met je BSN moet laten weten wie je bent.

Ik zie geen reden waarom je geen anonieme testmogelijkheid zou bieden voor wie bezwaar heeft tegen registratie. Het zou kunnen helpen om de testbereidheid iets te vergroten.

Verder, ook al werk je op BSN, dan nog is er geen noodzaak om de BSN ook op te slaan. Als je dan een key wil hebben om de persoon te koppelen tussen verschillende tabellen (afspraken, tests, resultaten, etc), zou ook een hash van de BSN kunnen maken.

nvm

[Voor 99% gewijzigd door Anoniem: 100386 op 08-11-2021 14:37]

Shadow_Agent schreef op vrijdag 29 januari 2021 @ 11:02:
[...]

Zeker! Ik zou mij nu niet meer laten testen als het niet echt noodzakelijk is. Maar goed, ben al getest dus maakt niet meer uit.

[...]
Bron: Teletekst pag. 104

Tevens vraag ik mij af wat het betekent voor de bereidheid tot vaccinatie wanneer hier een verplichte registratie aanhangt, aangezien hetzelfde systeem nog steeds gebruikt wordt.

Ik kies momenteel ook voor striktere zelfisolatie en niet voor testen.

Ik vraag me af he. waarom staat De Jonge niet meer onder druk hierover? Ik vind het best wel stil vanuit de kamer. De problemen min of meer wegwuiven en niet eens de waarheid spreken vind ik echt niet passend.

Ondanks dat de coalitie demissionair is kunnen er nog steeds individuelen worden weggestuurd. Nu ben ik daar niet perse voorstander van omdat dat het probleem niet direct oplost maar dit is wel zijn verantwoordelijkheid.

Gunner schreef op vrijdag 29 januari 2021 @ 12:38:
Ik vraag me af he. waarom staat De Jonge niet meer onder druk hierover? Ik vind het best wel stil vanuit de kamer. De problemen min of meer wegwuiven en niet eens de waarheid spreken vind ik echt niet passend.

Ondanks dat de coalitie demissionair is kunnen er nog steeds individuelen worden weggestuurd. Nu ben ik daar niet perse voorstander van omdat dat het probleem direct oplost maar dit is wel zijn verantwoordelijkheid.

Lost het probleem inderdaad niet op. Maar ook ik vind het verdacht stil (weer) vanuit politiek Den Haag.

Volgens de GGD hoeven we ons geen zorgen te maken. Dan weet je dat je dat wel moet doen.

Wat een werkelijk BIZARRE reactie van de GGD.

Ze beginnen over 'verhalen vol verzinsels, onjuistheden, en onterechte kritiek'. En: "De diefstal heeft niets te maken met het falen, disfunctioneren of de onveiligheid van het systeem."

Wat is dit allemaal?https://t.co/6ayFm1vmb0 pic.twitter.com/m09pu8qawu

— Daniël Verlaan (@danielverlaan) 29 januari 2021

(even klikken voor de reactie van de GGD in een plaatje)

Het is leuk dat die exportfunctie er nu uit is gehaald, maar dat is natuurlijk te laat; het kwaad is al geschied.

[Voor 35% gewijzigd door Gunner op 29-01-2021 13:06]

Heeft het zin om hiervoor een HIBP aan de hand van telefoonnummers te inrichten?
Of kunnen we ervan uitgaan dat iedereen die tot het moment -dat deze kwestie aan het licht kwam- zich had laten testen slachtoffer is van deze data lek?

Ik kan het niet bewijzen maar ik heb sterk het gevoel dat sinds de datalek dat ik veel meer telefoontjes krijg van frauduleuze telemarketeers. Terwijl ik echt wel ingeschreven sta op het bel-mij-niet-register. Ik zou graag willen weten of mijn gegevens nu ook op straat ligt.

Antonius schreef op vrijdag 29 januari 2021 @ 13:12:
[...]


En dan nu weer zo'n antwoord op de terechte kritiek die hij krijgt nav het vragenuurtje, daar zakt je toch de broek van af. Dan vraag ik mij af of hij eerder onjuistheden ingefluisterd heeft gekregen, of gewoon improviseerde en ook maar gokte "dat het wel goed zat". Moet een van die twee zijn, en beide opties zijn fout. Daar mag volgende week heel specifiek op doorgevraagd worden.

Wat verwacht je van die doorvraging? Uiteindelijk wordt dit natuurlijk weer een verkiezingsdebat over zaken die de digibeten in de kamer niet begrijpen en ook niet interesseren. De Jonge erkent misschien zijn schuld (al is dat met zijn arrogantie wel een hele grote aderlating) en belooft beterschap. Ik hoorde hem vanmorgen al praten over een extern onderzoek, dus je weet al dat het 1e antwoord zal zijn 'Wij wachten dit onderzoek af'.


Maar aan het einde van de rit zal zo'n schandaal zich snel weer aandienen bij de overheid. Structureel gaat hier niets verbeterd worden.

Goh, een reactie van de GGD dat mijn verzoek om mijn gegevens uit de database halen in behandeling is.

Als iedereen dat nou doet, gaat er misschien een lampje branden daar.

(ja ik weet het 8 miljoen testen sinds maart)

nvm

[Voor 151% gewijzigd door Anoniem: 100386 op 08-11-2021 14:36]

Welke informatie heeft een callcenter medewerker nu helemaal nodig?

• Computer belt een voor medewerker onbekend telefoonnummer
• Schermpje popt up om te checken of de geteste persoon aan de telefoon is (voorletters, achternaam, geboortedatum) en met de uitslag van de test.

BSN is daar niet eens voor nodig, want hoeveel mensen kennen hun BSN uit het hoofd?

Hoe kan het dan zijn dat NAW, BSN, telefoonnummers en alles wat daarbij hoort in te zien is en/of te downloaden is door een callcenter medewerker? Geef die callcentermedewerker niet meer gegevens dan strict noodzakelijk is voor het uitoefenen van zijn functie. Zelfs browsen door records is nergens voor nodig.

Ik merk dat ik me steeds meer opwindt over hoe nonchalant de overheid met dit soort zaken om gaat. Omtzigt heeft gelijk: Kamerleden moeten hun controlerende taak weer serieus gaan nemen. Misstanden moeten bij de bron aangepakt worden.

Joris748 schreef op vrijdag 29 januari 2021 @ 14:28:
Welke informatie heeft een callcenter medewerker nu helemaal nodig?

• Computer belt een voor medewerker onbekend telefoonnummer
• Schermpje popt up om te checken of de geteste persoon aan de telefoon is (voorletters, achternaam, geboortedatum) en met de uitslag van de test.

BSN is daar niet eens voor nodig, want hoeveel mensen kennen hun BSN uit het hoofd?

Hoe kan het dan zijn dat NAW, BSN, telefoonnummers en alles wat daarbij hoort in te zien is en/of te downloaden is door een callcenter medewerker? Geef die callcentermedewerker niet meer gegevens dan strict noodzakelijk is voor het uitoefenen van zijn functie. Zelfs browsen door records is nergens voor nodig.

Ik merk dat ik me steeds meer opwindt over hoe nonchalant de overheid met dit soort zaken om gaat. Omtzigt heeft gelijk: Kamerleden moeten hun controlerende taak weer serieus gaan nemen. Misstanden moeten bij de bron aangepakt worden.

Volgens mij bellen mensen naar het callcenter voor een afspraak, de uitslag krijg je digitaal.

Eigenlijk zouden ze dus een DigiD authenticatie moeten maken voor inbellers, net zoals je nu inlogt op overheidssites. Als je dan als burger de authenticatie hebt doorlopen kan de callcentermedewerker de afspraak inplannen zonder dat er verder persoonsgegevens aan te pas komen.