Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

  • Antonius
  • Registratie: juli 2000
  • Laatst online: 19:38
Dit topic is bedoeld voor het bespreken van de datalekken rond IT systemen van de GGD waarin aanmeldingen en uitslagen worden vastgelegd van corona testen en BCO (Bron en Contact Onderzoek).

Datalekken zelf, verband met regelgeving rond dataverzameling en privacy, verantwoordelijkheid, AVG, AP en mogelijke gevolgen.

Voor andere onderwerpen zijn er binnen het themaforum andere topics.


Wat is er aan de hand?

In september 2020 meldt RTV Oost dat een medewerker die kort bij een corona call center werkte, tijdens en na zijn werk daar toegang heeft en blijft houden tot alle gegevens van mensen die bij de GGD getest zijn.
YouTube: Datalek bij GGD: Man uit Steenwijk kan in alle systemen | RTV Oost


Op 25 januari 2021 meldt RTL Nieuws dat er grootschalig gehandeld wordt in adresgegevens, BSNs en andere gevoelige informatie die afkomstig is uit de registratie van corona gegevens in systemen van de GGD.
https://www.rtlnieuws.nl/...n-database-coronit-hpzone


Ook de Tweakers frontpage maakt melding van de handel in gegevens uit de GGD systemen.

25/1/2021
nieuws: Gegevens van miljoenen Nederlanders in coronasystemen GGD worden verh...

26/1/2021
nieuws: Zoekgedrag in coronasystemen GGD werd alleen steekproefsgewijs gecont...


Het programma Dit is de Dag signaleert dat bij het vaccinregistratiesysteem wat in aanbouw is het potentieel ook kan gebeuren dat er data lekt:
Privacylek GGD ook probleem bij vaccinregistratie
Ook bij de registratie voor vaccinaties bestaat het gevaar op het lekken van persoonlijke gegevens, blijkt uit onderzoek van Dit is de Dag. Gisteren werd bekend dat twee GGD-medewerkers ervan worden verdacht persoonlijke gegevens uit het registratieprogramma voor het inplannen van coronatests te hebben doorverkocht. Datzelfde programma, CoronIT, wordt ook gebruikt voor het inplannen en registreren van vaccinaties.

Hoewel de modules voor testplanning en vaccinregistratie gescheiden zijn en daarmee niet toegankelijk voor alle GGD-medewerkers, hebben volgens de GGD op dit moment ongeveer 2000 medewerkers toegang tot informatie over de vaccinregistratie, blijkt uit het onderzoek van Dit is de Dag. De verwachting is dat dat aantal toeneemt naarmate er meer gevaccineerd wordt.

Zoekopdrachten in CoronIT worden niet gecontroleerd, zeggen verschillende GGD-medewerkers tegen de onderzoeksredactie van Dit is de Dag. Daarmee dreigt hetzelfde probleem te ontstaan als bij het inplannen van testen. Bovendien worden bij de registratie voor vaccins naast het BSN-nummer en adresgegevens nog meer persoonlijke gegevens vastgelegd, zoals informatie over zwangerschappen en allergieën.
Minister De Jonge reageert in de Tweede Kamer en beweert onder andere dat het informatiebeheer bij de GGD aan de hoogste standaarden voldoet.
https://www.vpngids.nl/ni...men-ggd-zijn-echt-veilig/


Daniël Verlaan van RTL Nieuws bracht het GGD-datalek aan het licht. Op de uitspraken van minister De Jonge in de Tweede Kamer volgen onder meer deze tweets van Verlaan:





De Autoriteit Persoonsgegevens eist ophelding van de GGD
https://autoriteitpersoon...-eist-opheldering-van-ggd


Zijn mijn gegevens gelekt?
De GGD heeft een lijstje Vragen en Antwoorden gepubliceerd. Daar staat onder meer het volgende in:
Zijn mijn gegevens gestolen?
Dat kunnen wij nu nog niet zeggen. Dit maakt onderdeel uit van het politieonderzoek. Op het
moment dat vast komt te staan dat uw gegevens gestolen zijn, dan is het onze plicht u daarover te
informeren en dat zullen wij dan ook doen.
Hier kan verder gediscussieerd worden over de datalekken bij de GGD: impact, gevolgen, verantwoordelijkheid, reactie van GGD, politiek, AP.

Dank aan enkele tweakers voor hun berichten van de afgelopen dagen in de corona topics, waaruit ik schaamteloos geplukt heb om deze startpost te vullen. Credits gaan naar deze tweakers!

[Voor 26% gewijzigd door Antonius op 28-01-2021 15:22]


  • Shocked
  • Registratie: december 2010
  • Laatst online: 01:28
Waarbij ik wil aanvullen dat ik heb begrepen dat bij de commerciële sneltestlocaties (https://covidtestnederland.nl/
alleen de positieve uitslagen werden doorgegeven aan de GGD. Die zijn de klos.
Degene met een negatieve covid uitslag (ik bijvoorbeeld) ontspringen de dans dus waarschijnlijk twee keer blijkt nu.

Note: direct na het bekend maken van het datalek heb ik de site van covidtestnederland bezocht en op privacy bekeken om te kijken hoe het daar geregeld was. Het bovenstaande verhaal stond in de FAQ. De FAQ is zeker weten nu aangepast en de info daarover verdwenen. Uiteraard om telefoontjes te voorkomen.

Sony 55AF9 & Sony 48A9 - B&O Beosound Stage - Dynaudio M10 - Dali || 3,2 kW Qcell + SolarEdge : plat dak met 3 oost met een boom en 7 west


  • Antonius
  • Registratie: juli 2000
  • Laatst online: 19:38
Bij de GGD staat een nieuwsbericht, met link naar een PDF "vragen en antwoorden".
https://ggdghor.nl/actueel-bericht/datadiefstal/
https://ggdghor.nl/wp-con...fstal-27-1-2021-10.00.pdf

Wat mij stoort is dat zowel GGD bij monde van Rouvoet als ook minister De Jonge schande spreken van twee individuen die kennelijk data gelekt hebben en daar de aandacht van het debat op proberen te focussen. Ze gaan voorbij aan de verantwoordelijkheid van GGD (en toekijkende overheid) die de systemen waarin op grote schaal privacy gevoelige informatie wordt opgeslagen by design al zo lek als een mandje maken. Als je duizenden mensen van call centers inhuurt om hiermee te werken dan mag je er niet van uit gaan dat het met een VOG, een "ik beloof dat ik niet zal spieken" en wat steekproeven allemaal wel goed komt.

De AP spreekt andere taal. Ik ben benieuwd hoe zij hier mee verder gaan. Dat in september 2020 al duidelijk was dat het niet goed zat met de beveiliging mag in hun oordeel meegenomen worden.

  • defiant
  • Registratie: juli 2000
  • Laatst online: 02:34

defiant

Moderator General Chat
Het blijft bizar dat systemen gebouwd worden waarbij het GBA in principe vrij opvraagbaar is. Daarnaast als het BSN centraal staat als uniek nummer, dan wil je dat nummer eigenlijk niet gebruiken voor externe communicatie.

Nu weet ik vrij weinig van dit systeem en de werking, maar een betere flow zou zijn:
1) Geef bij aanmelding (via bijv digi-id) een uniek nummer uit voor de specifieke test, de persoon die wil testen kan deze bewaren op z'n telefoon of uitprinten met bijvoorbeeld een QR code.
2) Bij het testen wordt het nummer ingevoerd/gescanned.
3) De verwerking van de gegevens gebeurd op basis van dit unieke nummer, personeel die deze data verwerkt krijgt een werkbak met dossiers en geen zoek functionaliteit. BSN en adresgegevens zijn niet zichtbaar.
4) Als er contact moet komen met de klant, hoeft de medewerker de gegevens niet in te zien. Een brief kan je laten versturen door het systeem zonder dat de medewerker het adres hoeft te zien, hetzelfde geld voor telefoonnummers, die zou je ook kunnen verbergen als er gebeld wordt via een call-center.
5) Als er dan toch iemand belt die z'n unieke nummer kwijt is, kan je die zaken laten afhandelen door iemand met meer screening/security clearance.

Anyway, dit zijn zo maar ideeën, die natuurlijk ook werk/geld kosten, maar in mijn ogen net zo goed werken met veel meer privacy.

Climate dashboard


  • G_M_C
  • Registratie: december 2003
  • Laatst online: 22:45
@Antonius
Is het een idee om in de startpost opbte nemen of en waar je inzage ogvvde AVG kunt vragen in de gegevens die de GGD van je heeft geregistreerd?

Of is er een veilige plek om op te vragen of jouw gegevens zijn gelekt, zoals iets als haveibeenpwnd ?

Kan me nl. voorstellen dat mensen zich zorgen maken en willen kijken of ze gevaar lopen. Ik ben onder andere ook wel ongerust.

[Voor 23% gewijzigd door G_M_C op 28-01-2021 00:13]


  • Antonius
  • Registratie: juli 2000
  • Laatst online: 19:38
Goede vragen. Maarrrrrr.....

Als je een test hebt gehad, dan weet je wel ongeveer wat ze van je hebben vastgelegd. Uit mijn hoofd denk ik BSN, naam, adres, telefoonnr, email, datum en resultaat van de test. Als je wat gemeld hebt bij het BCO dan zal dat er ook in staan. Of GGD van jou wel of niet de uitslag mag doorgeven aan je huisarts, zoja wie dat is. Correct me if I'm wrong, maar dat opvragen is vragen naar de bekende weg toch?

Opvragen of jouw gegevens gelekt zijn, dat staat in de PDF "Vragen en antwoorden" die ik linkte. Wel een goed blokje om op te nemen in de OP inderdaad.
Zijn mijn gegevens gestolen?
Dat kunnen wij nu nog niet zeggen. Dit maakt onderdeel uit van het politieonderzoek. Op het
moment dat vast komt te staan dat uw gegevens gestolen zijn, dan is het onze plicht u daarover te
informeren en dat zullen wij dan ook doen.
Waarbij ik een sterk vermoeden heb dat ze de meeste lekken uberhaupt niet kunnen achterhalen want er lijkt weinig afscherming, controle en logging van het gebruik ingebouwd te zijn. Dat is juist de oorzaak van het hele probleem. En als dat zo is, dan kunnen ze er vrijwel zeker niet achterkomen van wie er informatie gelekt is.

  • G_M_C
  • Registratie: december 2003
  • Laatst online: 22:45
Antonius schreef op donderdag 28 januari 2021 @ 00:23:
Goede vragen. Maarrrrrr.....

Als je een test hebt gehad, dan weet je wel ongeveer wat ze van je hebben vastgelegd. Uit mijn hoofd denk ik BSN, naam, adres, telefoonnr, email, datum en resultaat van de test. Als je wat gemeld hebt bij het BCO dan zal dat er ook in staan. Of GGD van jou wel of niet de uitslag mag doorgeven aan je huisarts, zoja wie dat is. Correct me if I'm wrong, maar dat opvragen is vragen naar de bekende weg toch?

Opvragen of jouw gegevens gelekt zijn, dat staat in de PDF "Vragen en antwoorden" die ik linkte. Wel een goed blokje om op te nemen in de OP inderdaad.


[...]


Waarbij ik een sterk vermoeden heb dat ze de meeste lekken uberhaupt niet kunnen achterhalen want er lijkt weinig afscherming, controle en logging van het gebruik ingebouwd te zijn. Dat is juist de oorzaak van het hele probleem. En als dat zo is, dan kunnen ze er vrijwel zeker niet achterkomen van wie er informatie gelekt is.
Dat is niet perse altijd het geval, en de ggd is niet perse altijd accuraat laten we zeggen. Ik ga sowieso inzage vragen bij de GGD hier in de regio.

Heb ik iig een administratief spoor als ik het nodig blijk te hebben (aansprakelijkheid bv.).

Maar dat ben ik. Vraag me af of de bereidheid voor testen hierdoor daalt ivm dalend vertrouwen. Ik zou me niet meer zo snel melden bij deze club.

  • CyBeRSPiN
  • Registratie: februari 2001
  • Laatst online: 00:13

CyBeRSPiN

sinds 2001

defiant schreef op donderdag 28 januari 2021 @ 00:03:

Anyway, dit zijn zo maar ideeën, die natuurlijk ook werk/geld kosten, maar in mijn ogen net zo goed werken met veel meer privacy.
Ja, kan allemaal zoveel beter. Maar ik herinner me ook nog goed dat er heel veel stuurlui aan wal stonden te schreeuwen waarom dat testen vorig jaar niet zo snel opgeschaald kon, ieder zn neefje kon in een middagje de systemen wel even maken, hoe moeilijk dachten ze het bij de GGDs wel niet dat het was? Ze gingen toch niet weer door die bureaucratische molen heen waarom al die NL ICT projecten steeds zo hard faalden? Gewoon hup, aan de slag als het maar werkt!

Maar goed alle sarcasme opzij, wat het echt zure is dat de CoronaMelder app echt fantastisch is gedaan met allemaal specialisten van buitenaf met terecht veel privacyzorgen weggenomen, waarom dan in godesnaam niet bij dit systeem.. damn.. alleen al het feit dat men via WhatsApp de boel aan elkaar rijgt en een export functie heeft ingeschakeld, wtf.. 8)7

  • Bananenplant
  • Registratie: januari 2001
  • Laatst online: 21:30

Bananenplant

🍍 Ananas is jammie 🍍

Zouden de GGD's hiervoor niet exclusief moeten willen samenwerken met partners die ISO 27001-gecertificeerd zijn? Dat zou toch al een hoop "X mag te veel zien" moeten oplossen.

Speak freely | Tuig sloopt bushokjes, Rutte sloopt het land


  • Shadow_Agent
  • Registratie: oktober 2012
  • Laatst online: 21:02
@Antonius dank voor dit topic! :)

Mijn eigen reactie uit het Coronatopic
Shadow_Agent schreef op woensdag 27 januari 2021 @ 12:34:
Is er eigenlijk een separaat topic voor het GGD datalek?

Is er iemand die mij kan vertellen hoeveel data en in welke vorm er nu precies gelekt is? Want ik hoor en lees wel over complete dumps maar dat zegt in feite nog niets. Een screenshot maken met een camera is veelal op verzoek (neem ik aan) en dan is de kans dat mijn data gelekt is minimaal. Echter, wanneer er werkelijk veel data in één keer via een export functie geëxporteerd kan worden, dan is het een ander verhaal natuurlijk. Maar zelfs dan, kun je dan in één keer alle GGD's leegtrekken? Of moet je in batches van 250 BSN's per keer? Kun je als medewerker GGD Zuid Holland naast inzien ook dumpen van gegevens van GGD Friesland?

Gezien dit schandaal, is er een kans dat er een landelijke omnummeractie BSN komt? Hoe ingewikkeld dit ook is? Kunnen "we" ergens aangifte doen en/of is er al een advocaat mee bezig?

allemaal vragen....

Ik maak mij ook zorgen over het vaccinatiesysteem, wat als daar ook Jan en Alleman in kan gaan snuffelen? :{ het weerhoudt mij er zelfs van om nu heel enthousiast te zijn om mijn gegevens ergens te laten registreren. Als ik nu nog nooit getest zou zijn op COVID zou ik in ieder geval geen afspraak meer plannen nu. LDan maar geen zekerheid. Maar goed, sta nu al in het systeem dus in het ergste geval zijn m'n gegevens gelekt reeds :(
Beschamend ook hoe De Jonge zich in allerlei bochten wringt om het falen te verbloemen door te richten op die twee opgepakte mannen.

Hoi :)


  • daanb14
  • Registratie: december 2013
  • Laatst online: 23:29
Belangrijk om te vermelden is dat iedereen het recht heeft om zich uit het systeem te laten verwijderen. Dat bleek uit deze tweet van Daniël Verlaan:


Aangezien er een stuk meer dan die twee bewuste personen zijn die data verhandelen, is het denk ik een kwestie van zo snel mogelijk jezelf uit de database te halen om de kans dat je ertussen zit te verkleinen.

[Voor 79% gewijzigd door daanb14 op 28-01-2021 09:37]

A cloud is just someone else's computer.


  • RodeStabilo
  • Registratie: december 2013
  • Niet online


@daanb14 HTML werkt niet voor normale gebruikers. Gebruik de embed-tag

  • daanb14
  • Registratie: december 2013
  • Laatst online: 23:29
RodeStabilo schreef op donderdag 28 januari 2021 @ 09:37:
[Twitter]

@daanb14 HTML werkt niet voor normale gebruikers. Gebruik de embed-tag
Ik was het aan het uitzoeken, maar het is nu gelukt :)

A cloud is just someone else's computer.


  • Oekiejoekie
  • Registratie: juli 2016
  • Laatst online: 24-02 08:22
daanb14 schreef op donderdag 28 januari 2021 @ 09:31:
Belangrijk om te vermelden is dat iedereen het recht heeft om zich uit het systeem te laten verwijderen.
Is dat recht er wel ? Covid-19 is een meldingsplichtige ziekte.
De meldingsplichtige ziekten zijn verdeeld over de groepen A, B1, B2 en C. Deze indeling is gebaseerd op de mate waarin dwingende maatregelen opgelegd kunnen worden om de bevolking te beschermen.

De groepen A, B1 en B2 zijn opgenomen in de Wet publieke gezondheid. Groep C wordt vastgesteld bij Algemene Maatregel van Bestuur (opgenomen in het Besluit publieke gezondheid), om deze lijst bij nieuw wetenschappelijk inzicht gemakkelijker te kunnen wijzigen.

Groep A:
Mogelijk wettelijke maatregelen: gedwongen opname tot isolatie of thuisisolatie, gedwongen onderzoek, gedwongen quarantaine (inclusief medisch toezicht), verbod van beroepsuitoefening. Dit geldt voor:

COVID-19
Als er sprake is van "gedwongen opname tot isolatie of thuisisolatie, gedwongen onderzoek, gedwongen quarantaine (inclusief medisch toezicht), verbod van beroepsuitoefening", dan zal er niet alleen geturfd moeten worden, maar ook persoonsgegevens opgeslagen moeten worden.

WEES BLIJ !!! Hier had uw advertentie kunnen staan...


  • CyBeRSPiN
  • Registratie: februari 2001
  • Laatst online: 00:13

CyBeRSPiN

sinds 2001

daanb14 schreef op donderdag 28 januari 2021 @ 09:31:

Aangezien er een stuk meer dan die twee bewuste personen zijn die data verhandelen, is het denk ik een kwestie van zo snel mogelijk jezelf uit de database te halen om de kans dat je ertussen zit te verkleinen.
Nah, dan gaat jouw BSN weer op de WhatsApp met

-daar heb je er weer zo een hoor, kun jij bij daanb14 even het vinkje "deleted" zetten zodat we er vanaf zijn?

-welke daanb14? Er slingeren hier zoveel Excel sheets rond..

-die in de Kippensteeg in Eimuiden!

-o is dat niet die ene user op GoT, ik ken die jongen nog van vroeger.. Had ie positief getest? ;)

Alle gekheid op een stokje, in dit geval denk ik dat het wrijven in een vlek wordt en ik hoop echt dat er nu per direct een privacy officer op wordt gezet. De antwoorden van De Jonge en de interne meeting van de GGD geven nog niet echt een gevoel dat dit direct zal gebeuren.
Zodra de export functie uit staat maak je als niet-BNer of ander interessante target minder kans om "verkocht" te worden.

  • Shadow_Agent
  • Registratie: oktober 2012
  • Laatst online: 21:02
CyBeRSPiN schreef op donderdag 28 januari 2021 @ 09:47:
[...]

Nah, dan gaat jouw BSN weer op de WhatsApp met

-daar heb je er weer zo een hoor, kun jij bij daanb14 even het vinkje "deleted" zetten zodat we er vanaf zijn?

-welke daanb14? Er slingeren hier zoveel Excel sheets rond..

-die in de Kippensteeg in Eimuiden!

-o is dat niet die ene user op GoT, ik ken die jongen nog van vroeger.. Had ie positief getest? ;)

Alle gekheid op een stokje, in dit geval denk ik dat het wrijven in een vlek wordt en ik hoop echt dat er nu per direct een privacy officer op wordt gezet. De antwoorden van De Jonge en de interne meeting van de GGD geven nog niet echt een gevoel dat dit direct zal gebeuren.
Zodra de export functie uit staat maak je als niet-BNer of ander interessante target minder kans om "verkocht" te worden.
exact dit was voor mij de reden om geen verzoek te doen of contact op te nemen met de GGD :{

Hoi :)


  • daanb14
  • Registratie: december 2013
  • Laatst online: 23:29
CyBeRSPiN schreef op donderdag 28 januari 2021 @ 09:47:
[...]

Nah, dan gaat jouw BSN weer op de WhatsApp met

-daar heb je er weer zo een hoor, kun jij bij daanb14 even het vinkje "deleted" zetten zodat we er vanaf zijn?

-welke daanb14? Er slingeren hier zoveel Excel sheets rond..

-die in de Kippensteeg in Eimuiden!

-o is dat niet die ene user op GoT, ik ken die jongen nog van vroeger.. Had ie positief getest? ;)

Alle gekheid op een stokje, in dit geval denk ik dat het wrijven in een vlek wordt en ik hoop echt dat er nu per direct een privacy officer op wordt gezet. De antwoorden van De Jonge en de interne meeting van de GGD geven nog niet echt een gevoel dat dit direct zal gebeuren.
Zodra de export functie uit staat maak je als niet-BNer of ander interessante target minder kans om "verkocht" te worden.
Het is eigenlijk kiezen tussen twee kwaden op dit moment. Zelf heb ik er dan wel voor gekozen en ben ik van plan om over een week inzage in mijn gegevens te vragen om te kijken of die gegevens nog wel of niet bestaan.

A cloud is just someone else's computer.


  • Nox
  • Registratie: maart 2004
  • Laatst online: 22:16

Nox

Noxiuz

defiant schreef op donderdag 28 januari 2021 @ 00:03:
Het blijft bizar dat systemen gebouwd worden waarbij het GBA in principe vrij opvraagbaar is. Daarnaast als het BSN centraal staat als uniek nummer, dan wil je dat nummer eigenlijk niet gebruiken voor externe communicatie.

Nu weet ik vrij weinig van dit systeem en de werking, maar een betere flow zou zijn:
1) Geef bij aanmelding (via bijv digi-id) een uniek nummer uit voor de specifieke test, de persoon die wil testen kan deze bewaren op z'n telefoon of uitprinten met bijvoorbeeld een QR code.
2) Bij het testen wordt het nummer ingevoerd/gescanned.
3) De verwerking van de gegevens gebeurd op basis van dit unieke nummer, personeel die deze data verwerkt krijgt een werkbak met dossiers en geen zoek functionaliteit. BSN en adresgegevens zijn niet zichtbaar.
4) Als er contact moet komen met de klant, hoeft de medewerker de gegevens niet in te zien. Een brief kan je laten versturen door het systeem zonder dat de medewerker het adres hoeft te zien, hetzelfde geld voor telefoonnummers, die zou je ook kunnen verbergen als er gebeld wordt via een call-center.
5) Als er dan toch iemand belt die z'n unieke nummer kwijt is, kan je die zaken laten afhandelen door iemand met meer screening/security clearance.

Anyway, dit zijn zo maar ideeën, die natuurlijk ook werk/geld kosten, maar in mijn ogen net zo goed werken met veel meer privacy.
Zoeken op BSN kan prima zijn, zolang hij uniek is kan je gewoon op basis van bsn 1 hit krijgen naar een dossier. Tevens zou het uberhaupt onmogelijk moeten zijn om complete batches uit te draaien met dossiers dus een export van 10.000'en heb je helemaal niet nodig, dat zijn dingen voor sysadmins, niet de uitzendkracht.

Dan beperk je enkel tot een enkel dossier per keer, de schade die iemand dan kan aanrichten is misschien 100 dossiers op afroep, nog steeds fout maar fors minder dan de export van tienduizenden dossiers.

Overlever van KampeerMeet 4.1
All your Acer belongs to /dev/null


  • Antonius
  • Registratie: juli 2000
  • Laatst online: 19:38
Nox schreef op donderdag 28 januari 2021 @ 10:52:
[...]

Tevens zou het uberhaupt onmogelijk moeten zijn om complete batches uit te draaien met dossiers dus een export van 10.000'en heb je helemaal niet nodig, dat zijn dingen voor sysadmins, niet de uitzendkracht.

Dan beperk je enkel tot een enkel dossier per keer, de schade die iemand dan kan aanrichten is misschien 100 dossiers op afroep, nog steeds fout maar fors minder dan de export van tienduizenden dossiers.
Precies dit. Wij verzinnen dit soort basale dingen hier al in een paar minuten al bij elkaar. En die aspecten worden niet meegenomen in ontwerp en ingebruikname van de registratie systemen waar inmiddels buitengewoon gevoelige gegevens van een fors deel van bevolking in vastgelegd zijn.
1. Het zijn precies de gegevens die je als cybercrimineel graag wilt hebben tbv identiteitsfraude EN daarnaast privacy info over gezondheid en contacten.
2. Het aantal registraties is gigantisch, in NL zijn tot nu toe ongeveer 6 miljoen tests uitgevoerd.

Wat een heerlijke ballenbak om bijna gratis in te mogen graaien 8)7


Ondertussen slaat de verantwoordelijke minister wartaal uit als hij in het parlement op het matje geroepen wordt.

Deskundigen maken gehakt van uitleg De Jonge over GGD-datalek

Volkskrant is betaald, de kop oogt pittig
Deskundigen: uitspraken De Jonge over GGD-datalek aantoonbaar onjuist


Dit is ongeveer de kern die overal terug komt:
Deskundigen zijn verbijsterd over de uitleg van de minister over de beveiliging en controle. Sommige uitspraken zijn aantoonbaar onjuist.
Liegen door een verantwoordelijk bewindspersoon in de Tweede Kamer. Politieke doodzonde, maar ook een schop tegen de enkels van de bevolking die al bijna een jaar met maatregelen zit. Ten eerste omdat de gelekte gegevens zo gemakkelijk misbruikt worden. Ten tweede omdat hier ofwel niet tevoren over nagedacht is, ofwel omdat er wel over nagedacht is maar geen prioriteit aan is gegeven. Beiden is niet goed te praten. Ten derde, en dat is net zo erg als de eerste twee, omdat door deze ontwikkelingen de bereidheid om te testen en te vaccineren omlaag gaat. Het is minisiter De Jonge aan te rekenen dat hij dit onder het tapijt probeert te vegen.

De achteloosheid is stuitend -O-

  • Nox
  • Registratie: maart 2004
  • Laatst online: 22:16

Nox

Noxiuz

Ik heb bij mijn GGD even opgevraagd wat ze opgeslagen hebben van me. In september 1x negatief getest. Ik zal het wel even delen, daarna maar laten verwijderen. Ze kunnen er duidelijk niet mee omgaan. Bij mijn volgende test gaat dat met minder gegevens (ze mailen de uitslag maar naar m'n gmail accountje) of niet vermoed ik.

Ik krijg bij vaccinatie een uitdraai mee, ze gooien het maar niet in een database. En hier moesten we op wachten want 'de ict-systemen waren nog niet op orde', nou, dat zijn ze nog steeds niet.

[Voor 23% gewijzigd door Nox op 28-01-2021 12:39]

Overlever van KampeerMeet 4.1
All your Acer belongs to /dev/null


  • Antonius
  • Registratie: juli 2000
  • Laatst online: 19:38
Toevoeging bij het aantal registraties in de GGD systemen: zojuist even opgezocht, er zijn nu ongeveer zes miljoen testen geregistreerd in NL.

De grabbelton is groot, altijd prijs }:|

En minister De Jonge zegt letterlijk: "tja, zo werkt het jongens".
Waarop ik dan denk: "Onder welke steen..." |:(

  • markisoke
  • Registratie: december 2010
  • Laatst online: 26-02 14:32
Zojuist geprobeerd contact op te nemen via het contactformulier van de GGD Gelderland-Midden. Word mijn emailadres (xxx@xxx.email) niet gezien als een geldig email adres. Dan maar een oud emailadres gebruiken. Eens kijken hoelang het duurt voordat deze beantwoord is.

  • daanb14
  • Registratie: december 2013
  • Laatst online: 23:29
Zojuist heeft Daniël Verlaan een publicatie op RTL nieuws gedaan.

A cloud is just someone else's computer.


  • Yucon
  • Registratie: december 2000
  • Laatst online: 20:17

Yucon

*broem*

Het lastige aan dit soort systemen is dat je vooraf eigenlijk al kunt verwachten dat er medewerkers zijn die gaan lekken. Simpelweg omdat het om grote aantallen medewerkers gaat die ook nog eens weinig binding met de organisatie hebben.

Dus dat verhaal over de VOG geloof ik allemaal wel. Als het systeem geen goede beveiliging tegen leegtrekken heeft neem je gewoon bewust een risico.

  • Maarten2212
  • Registratie: oktober 2015
  • Laatst online: 27-02 14:13
Nox schreef op donderdag 28 januari 2021 @ 10:52:
[...]

Zoeken op BSN kan prima zijn, zolang hij uniek is kan je gewoon op basis van bsn 1 hit krijgen naar een dossier. Tevens zou het uberhaupt onmogelijk moeten zijn om complete batches uit te draaien met dossiers dus een export van 10.000'en heb je helemaal niet nodig, dat zijn dingen voor sysadmins, niet de uitzendkracht.

Dan beperk je enkel tot een enkel dossier per keer, de schade die iemand dan kan aanrichten is misschien 100 dossiers op afroep, nog steeds fout maar fors minder dan de export van tienduizenden dossiers.
Ik wil hier even op inhaken. Er konden geen exports gemaakt worden van 10.000'en. De exportfunctie was gelimiteerd tot enkele honderden (alsnog veels te veel natuurlijk)

  • Webgnome
  • Registratie: maart 2001
  • Laatst online: 22:23
Maarten2212 schreef op donderdag 28 januari 2021 @ 14:33:
[...]


Ik wil hier even op inhaken. Er konden geen exports gemaakt worden van 10.000'en. De exportfunctie was gelimiteerd tot enkele honderden (alsnog veels te veel natuurlijk)
Enkele honderden per keer? Of hoe zijn die exports gelimiteerd?

Strava, Twitter


  • Nox
  • Registratie: maart 2004
  • Laatst online: 22:16

Nox

Noxiuz

Dat er uberhaupt een limiet was geeft mij dan nog een klein beetje hoop dat het lek geen honderdduizenden dossiers zijn. Goed, als die exports vervolgens geen limiet hebben...

Overlever van KampeerMeet 4.1
All your Acer belongs to /dev/null


  • Maarten2212
  • Registratie: oktober 2015
  • Laatst online: 27-02 14:13
Webgnome schreef op donderdag 28 januari 2021 @ 14:38:
[...]


Enkele honderden per keer? Of hoe zijn die exports gelimiteerd?
Hoe het werkte: in het afsprakenoverzicht kon je alle afspraken zien staan van een bepaalde periode. Je moest de selectie zo klein maken dat er enkele honderden afspraken over bleven (door bijvoorbeeld bepaalde testlocaties te selecteren) en deze kon geëxporteerd worden. Direct daarna kon meteen een nieuwe selectie gemaakt worden en geëxporteerd. In deze export stonden namen, telefoonnummers, BSN-nummers en tijd van afspraak (het was gemaakt om een papieren versie van het afsprakenoverzicht te hebben mocht het systeem er bijvoorbeeld uit liggen).

  • Nox
  • Registratie: maart 2004
  • Laatst online: 22:16

Nox

Noxiuz

Maarten2212 schreef op donderdag 28 januari 2021 @ 14:44:
[...]


Hoe het werkte: in het afsprakenoverzicht kon je alle afspraken zien staan van een bepaalde periode. Je moest de selectie zo klein maken dat er enkele honderden afspraken over bleven (door bijvoorbeeld bepaalde testlocaties te selecteren) en deze kon geëxporteerd worden. Direct daarna kon meteen een nieuwe selectie gemaakt worden en geëxporteerd. In deze export stonden namen, telefoonnummers, BSN-nummers en tijd van afspraak (het was gemaakt om een papieren versie van het afsprakenoverzicht te hebben mocht het systeem er bijvoorbeeld uit liggen).
Daar is an sich niks mis mee, je kan zonder BSN gewoon de naam / geboortedatum uitprinten, samen een redelijk unieke identifier voor de medewerkers op testlocatie en op ieder rijbewijs/paspoort bekend.

Maar dit geldt voor de testafspraken, de ggd doet ook nog meer zoals BCO, hoe zat het daar dan? En kunnen we stiekem concluderen op basis van jouw ervaring dat je er werkzaam was/bent? :+

Overlever van KampeerMeet 4.1
All your Acer belongs to /dev/null


  • IJzerlijm
  • Registratie: mei 2000
  • Niet online

IJzerlijm

Is net nieuw

daanb14 schreef op donderdag 28 januari 2021 @ 13:06:
Zojuist heeft Daniël Verlaan een publicatie op RTL nieuws gedaan.
Waarom is er zo paniekerig opgeschaald?
Dat mag toch duidelijk zijn, medio 2020 was iedereen, ook RTL Nieuws, woedend dat het testen zo traag op gang kwam. Hier gaat Conway's Law weer op, systemen reflecteren de organisatie. En met een organisatie die bestaat uit een lappendeken van zowel regio's als instanties krijg je een systeem waar er talloze overdrachten plaats moeten vinden van gegevens over duizenden mensen.

RTL mei vorig jaar: https://www.rtlnieuws.nl/...ie-testen-traceren-corona
Tijdlijn: hoe Nederland te laat het testen op corona uitbreidde
En waarom is het dan niet meteen foutloos gedaan of zijn er goeie safeguards ingebouwd ? Dezelfde redenen dat er geen effectieve safeguards zijn om het virus in te dammen, we willen niet graag beperkingen opgelegd krijgen die direct ongemak opleveren om een theoretisch risico te voorkomen. Eens per week cijfers bijvoorbeeld in plaats van dagelijks zou al een grote verbetering qua veiligheid zijn door veel minder overdrachtsmomenten te hebben. Maar onacceptabel, een uur vertraging en de hele media komt al met fakkels en rieken aanzetten dat het prutsers zijn of er zaken verborgen worden.

edit: vandaag al meteen vertraging in de dagelijkse cijfers.....

[Voor 12% gewijzigd door IJzerlijm op 28-01-2021 15:42]

And to think they once said that computers would take away jobs.


  • daanb14
  • Registratie: december 2013
  • Laatst online: 23:29
Maarten2212 schreef op donderdag 28 januari 2021 @ 14:44:
[...]


Hoe het werkte: in het afsprakenoverzicht kon je alle afspraken zien staan van een bepaalde periode. Je moest de selectie zo klein maken dat er enkele honderden afspraken over bleven (door bijvoorbeeld bepaalde testlocaties te selecteren) en deze kon geëxporteerd worden. Direct daarna kon meteen een nieuwe selectie gemaakt worden en geëxporteerd. In deze export stonden namen, telefoonnummers, BSN-nummers en tijd van afspraak (het was gemaakt om een papieren versie van het afsprakenoverzicht te hebben mocht het systeem er bijvoorbeeld uit liggen).
Als je op die manier keer na keer exports kunt blijken maken, heb je ook aardig snel een hoop bij elkaar of niet?

A cloud is just someone else's computer.


  • Hackus
  • Registratie: december 2009
  • Niet online

Hackus

Let There Be Rock !

@Antonius nieuws van Tweakers is van 2021, er staat nu 2020 in OP

Verlaat BMW om na jaren trouw over te stappen naar Mercedes


  • Wolly
  • Registratie: januari 2001
  • Niet online


Via

  • Antonius
  • Registratie: juli 2000
  • Laatst online: 19:38
Hackus schreef op donderdag 28 januari 2021 @ 15:09:
@Antonius nieuws van Tweakers is van 2021, er staat nu 2020 in OP
Thanks, aangepast d:)b




Het lijkt er op dat de minister niet weg komt met bagatelliseren, afleiden en liegen over het datalek.

Felle kritiek op De Jonge om uitleg datalek GGD: 'Misplaatste zelfverzekerdheid'

Ik ben benieuwd hoe hard de kamer dit durft te gaan spelen. Ik vind dat ze het debat hard in mogen gaan, hoop dan ook dat ze weten waar ze het over hebben en de ogen op de bal kunnen houden. In het vragenuurtje werden er allerlei niet relevante zijsprongen gemaakt. Als je hier een punt wilt maken dan moet je zorgen dat je weet waar je het over hebt en je niet met een kluitje in het riet laten sturen door een minister die ook niet weet waar hij het over heeft. Of doet alsof hij het niet snapt om er makkelijk vanaf te zijn, dat kan ook nog.

[Voor 68% gewijzigd door Antonius op 28-01-2021 17:46]


  • Antonius
  • Registratie: juli 2000
  • Laatst online: 19:38
.

[Voor 99% gewijzigd door Antonius op 28-01-2021 17:43. Reden: had dit toe kunnen voegen als edit in mijn laatste post]


  • Soccer98
  • Registratie: oktober 2015
  • Laatst online: 04:49
Antonius schreef op donderdag 28 januari 2021 @ 15:26:
[...]


Thanks, aangepast d:)b




Het lijkt er op dat de minister niet weg komt met bagatelliseren, afleiden en liegen over het datalek.

Felle kritiek op De Jonge om uitleg datalek GGD: 'Misplaatste zelfverzekerdheid'

Ik ben benieuwd hoe hard de kamer dit durft te gaan spelen. Ik vind dat ze het debat hard in mogen gaan, hoop dan ook dat ze weten waar ze het over hebben en de ogen op de bal kunnen houden. In het vragenuurtje werden er allerlei niet relevante zijsprongen gemaakt. Als je hier een punt wilt maken dan moet je zorgen dat je weet waar je het over hebt en je niet met een kluitje in het riet laten sturen door een minister die ook niet weet waar hij het over heeft. Of doet alsof hij het niet snapt om er makkelijk vanaf te zijn, dat kan ook nog.
Daniel Verlaan zei het ook in één van zijn twitterdraadjes: hij is bang dat kamerleden niet genoeg ICT-kennis hebben om De Jonge hier kundig over te vragen. Fleur Agema was een goed voorbeeld. Die riep gelijk weer dat het allemaal niet deugt en dat de GGD liever vandaag dan morgen nog moet overstappen naar een ander systeem. Sorry, maar daar zit het (enige) probleem niet.

  • -ION-
  • Registratie: januari 2010
  • Laatst online: 01:36
Wat ik me nu afvraag is of de gegevens op dit moment nog steeds in te zien zijn. Staan de systemen nog aan en zijn de gegevens vanaf maart/april nog steeds te openen?

  • Webgnome
  • Registratie: maart 2001
  • Laatst online: 22:23
@-ION- ik neem aan dat de systemen nu nog steeds gewoon te gebruiken zijn aangezien ze onderdeel zijn van de bestrijding van de pandemie

Strava, Twitter


  • -ION-
  • Registratie: januari 2010
  • Laatst online: 01:36
Webgnome schreef op donderdag 28 januari 2021 @ 19:38:
@-ION- ik neem aan dat de systemen nu nog steeds gewoon te gebruiken zijn aangezien ze onderdeel zijn van de bestrijding van de pandemie
Daar ga ik dus ook vanuit. Dan denk je een keer niet aan jezelf, door je te laten testen, liggen je persoonsgegevens op straat. :(

  • ID-College
  • Registratie: november 2003
  • Laatst online: 23:08
Tegen dit soort misdaad is geen kruid gewassen :')
Nou sorry hoor maar daar zie je al aan hoever hij van de inhoud staat.. snapt er niks van..

  • Maarten2212
  • Registratie: oktober 2015
  • Laatst online: 27-02 14:13
Nox schreef op donderdag 28 januari 2021 @ 14:55:
[...]

Daar is an sich niks mis mee, je kan zonder BSN gewoon de naam / geboortedatum uitprinten, samen een redelijk unieke identifier voor de medewerkers op testlocatie en op ieder rijbewijs/paspoort bekend.

Maar dit geldt voor de testafspraken, de ggd doet ook nog meer zoals BCO, hoe zat het daar dan? En kunnen we stiekem concluderen op basis van jouw ervaring dat je er werkzaam was/bent? :+
Alle gegevens stonden er meteen op, het was een .pdf formaat en je kon dus niet gemakkelijk een kolom weghalen om te printen.

Het systeem waar het om gaat is CoronIT. Dit is het centrale registratiesysteem van de hele keten. Dossiers worden voornamelijk gemaakt door het landelijk callcenter. Ook in de teststraat wordt dit systeem gebruikt en het laboratorium gebruikt ook dit systeem om de uitslagen in het dossier te zetten.
Alle positieve uitslagen worden doorgezet naar HPZone, dit is het bron- en contactonderzoek (BCO) programma van de GGD. Het grootste deel van de positieve komt uit CoronIT (die door de GGD zijn getest), een deel is bijvoorbeeld in het ziekenhuis getest, door de huisarts of via een commerciële teststraat.
Veruit de meeste BCO-medewerkers zullen nooit in CoronIT komen en hebben hier ook geen account voor. In HPZone wordt een nieuw dossier aangemaakt van de patiënt waarna deze gebeld wordt. Aan de hand van het telefoongesprek wordt meer informatie genoteerd, zoals waar men geweest is, wie men gezien heeft, vermoedelijke bron, werklocatie etc. In HPZone konden queries gemaakt worden van bepaalde variabele (bijvoorbeeld een school) en deze konden worden geprint. Via HPZone wordt de zogeheten OSIRIS melding gedaan, deze wordt doorgestuurd naar het RIVM en dat zijn de dagelijkse besmettingencijfers.

Het probleem zit hem echter vooral in CoronIT. Hier kan je heel gemakkelijk burgers opzoeken (op achternaam, geboortedatum, BSN-nummer, adres).

Precies hetzelfde systeem wordt nu gebruikt voor de vaccinaties, er wordt verder gewerkt in eenzelfde dossier.

En ja, het is een redelijk veilige conclusie dat ik hier werk/heb gewerkt ;)
daanb14 schreef op donderdag 28 januari 2021 @ 15:05:
[...]

Als je op die manier keer na keer exports kunt blijken maken, heb je ook aardig snel een hoop bij elkaar of niet?
Correct ja, ik kan me ook zo voorstellen dat je zo redelijk veel data bij elkaar kan krijgen.
-ION- schreef op donderdag 28 januari 2021 @ 19:28:
Wat ik me nu afvraag is of de gegevens op dit moment nog steeds in te zien zijn. Staan de systemen nog aan en zijn de gegevens vanaf maart/april nog steeds te openen?
Er is nog niks verwijderd. Er zijn een paar wijzigingen gedaan (die export-functie werkt bijvoorbeeld niet meer) maar de data staat er vanaf april zo ongeveer.

  • Blauwschaap
  • Registratie: december 2012
  • Laatst online: 20:05
ID-College schreef op donderdag 28 januari 2021 @ 20:18:
Tegen dit soort misdaad is geen kruid gewassen :')
Nou sorry hoor maar daar zie je al aan hoever hij van de inhoud staat.. snapt er niks van..
Ik zag het ook net. Wat een ongelooflijk kansloze opmerking.

We bouwen een systeem en zetten daar onnodig gevoelige data in zoals BSN. Vervolgens geven we 10.000+ random uitzendkrachten de mogelijkheid om alle data te exporteren naar pdf of Excel. Maar inderdaad hoor, tegen dit soort misdaad is geen kruid gewassen ;w

  • Shadow_Agent
  • Registratie: oktober 2012
  • Laatst online: 21:02
Blauwschaap schreef op donderdag 28 januari 2021 @ 20:21:
[...]

Ik zag het ook net. Wat een ongelooflijk kansloze opmerking.

We bouwen een systeem en zetten daar onnodig gevoelige data in zoals BSN. Vervolgens geven we 10.000+ random uitzendkrachten de mogelijkheid om alle data te exporteren naar pdf of Excel. Maar inderdaad hoor, tegen dit soort misdaad is geen kruid gewassen ;w
Dat je dit soort teksten überhaupt je strot uit kunt laten komen he....
Echt wat een amateur! Ik mag toch hopen dat er IEMAND is in die 2e kamer die hier doorheen prikt?

en het ergste is ook: het is al maandenlang bekend dat het systeem zo lek als een mandje is.
Nog erger trouwens: je gegevens kunnen gelekt zijn zonder dat je het weet d.m.v. de BCO registratie 8)7

Hoi :)


  • jadjong
  • Registratie: juli 2001
  • Laatst online: 27-02 11:23
Shadow_Agent schreef op donderdag 28 januari 2021 @ 20:34:
[...]

Dat je dit soort teksten überhaupt je strot uit kunt laten komen he....
Echt wat een amateur! Ik mag toch hopen dat er IEMAND is in die 2e kamer die hier doorheen prikt?

en het ergste is ook: het is al maandenlang bekend dat het systeem zo lek als een mandje is.
Nog erger trouwens: je gegevens kunnen gelekt zijn zonder dat je het weet d.m.v. de BCO registratie 8)7
Het systeem draait 24 uur per dag en mag niet onbereikbaar zijn. Als je daar in de ontwerpfase geen rekening mee gehouden hebt kan je, als het eenmaal draait, ook geen aanpassingen doen zonder downtime.
Tussen windows 95 en de laatse variant zit ook 25 jaar ontwikkeling...

  • ID-College
  • Registratie: november 2003
  • Laatst online: 23:08
Ik snap dat ie onder druk staat maar dit zijn toch al flink wat steken die vallen. Ook het hele vaccinatietraject zelf. Dan ook nog de toeslagen affaire erbij. Het wordt hoognodig tijd voor nieuwe aanwas want deze mannen hebben hun beste tijd echt gehad..

  • jadjong
  • Registratie: juli 2001
  • Laatst online: 27-02 11:23
ID-College schreef op donderdag 28 januari 2021 @ 20:40:
Ik snap dat ie onder druk staat maar dit zijn toch al flink wat steken die vallen. Ook het hele vaccinatietraject zelf. Dan ook nog de toeslagen affaire erbij. Het wordt hoognodig tijd voor nieuwe aanwas want deze mannen hebben hun beste tijd echt gehad..
Nee, deze mannen komen tijd te kort en hebben hulp nodig.

  • G_M_C
  • Registratie: december 2003
  • Laatst online: 22:45
jadjong schreef op donderdag 28 januari 2021 @ 20:41:
[...]

Nee, deze mannen komen tijd te kort en hebben hulp nodig.
Tijd tekort is nooit reden om foute besluiten te nemen, en die dan nog consistent dmv smoezen en draaien proberen te verdedigen.

De Jong moet gewoon het veld ruimen, en er moeten de GGD vervangen door een organisatie met een 'yes we can' mentaliteit.

  • ID-College
  • Registratie: november 2003
  • Laatst online: 23:08
jadjong schreef op donderdag 28 januari 2021 @ 20:41:
[...]

Nee, deze mannen komen tijd te kort en hebben hulp nodig.
Iedereen heeft evenveel tijd. Kwestie van de juiste prioriteiten leggen..

  • Shadow_Agent
  • Registratie: oktober 2012
  • Laatst online: 21:02
Maarten2212 schreef op donderdag 28 januari 2021 @ 20:21:
[...]


Precies hetzelfde systeem wordt nu gebruikt voor de vaccinaties, er wordt verder gewerkt in eenzelfde dossier.

<knip>

Er is nog niks verwijderd. Er zijn een paar wijzigingen gedaan (die export-functie werkt bijvoorbeeld niet meer) maar de data staat er vanaf april zo ongeveer.
Dat biedt dus geen hoop :{

Iedere callcenter medewerker kan via een simpele zoekopdracht kijken hoeveel en wie er al gevaccineerd is?

Overigens dank voor je bericht en kijkje in de keuken d:)b

Hoi :)


  • Antonius
  • Registratie: juli 2000
  • Laatst online: 19:38
G_M_C schreef op donderdag 28 januari 2021 @ 20:45:
[...]


Tijd tekort is nooit reden om foute besluiten te nemen, en die dan nog consistent dmv smoezen en draaien proberen te verdedigen.
Daar ben ik het roerend mee eens, geen excuus voor mogelijk.
De Jong moet gewoon het veld ruimen, en er moeten de GGD vervangen door een organisatie met een 'yes we can' mentaliteit.
Eerste deel helemaal akkoord. Maar het tweede deel niet.

De rotte appels hoger in de GGD die ondanks stevige signalen uit de politiek, AP en eerdere nieuwsberichten foute beslissingen nemen over de registratie systemen en gegronde geruchten over het datalek langdurig volkomen negeren danwel in de dooftrommel stoppen, die mogen er uit. Zonder gouden, zilveren of blikken handdruk maar liever met een flinke trap tegen de derrière.

De GGD mensen die ik bezig zag de keren dat ik mensen naar een teststraat heb gereden verdienen alle lof, voor hard en stipt werken ondanks kouwe tocht lokaties (daar zou ik spontaan al ziek van worden :+ ) en humor en persoonlijke aandacht bij uitvoeren van hun eentonige werk met vaak chagrijnige klanten die zich soms ook nog vreselijk onbeschoft en agressief schijnen op te stellen. Het is niet een en al ellende bij de GGD, voor dat deel van de uitvoering van de testen niets dan lof _/-\o_

  • Davidshadow13
  • Registratie: oktober 2006
  • Laatst online: 22:26
G_M_C schreef op donderdag 28 januari 2021 @ 20:45:
[...]


Tijd tekort is nooit reden om foute besluiten te nemen, en die dan nog consistent dmv smoezen en draaien proberen te verdedigen.

De Jong moet gewoon het veld ruimen, en er moeten de GGD vervangen door een organisatie met een 'yes we can' mentaliteit.
En hoe zie je dat voor je? De GGD an zich heeft de afgelopen 30 jaar redelijk gefunctioneerd voor zijn taken in de publieke gezondheid. Die hele organisatie ontmantelen lijkt me vooral heel duur en lost weinig op.

Het probleem hier is dat HPZone gewoon bewezen techniek is en is ontwikkeld in het VK met steun van de NHS en ze dit al jaren gebruikten. CoronIT moest ontzettend snel ontwikkelend worden onder enorme tijdsdruk en is specifiek voor deze pandemie en het verwerken van testen ontwikkeld. Hierdoor zijn hier gewoon steken laten vallen. Niet primair security pillar (authenticatie) maar wel in de secundaire en tertiaire (autorisatie) en (auditing). Er is duidelijk te weinig nagedacht over een goed autorisatie model en monitoring en auditing.

Als je bijvoorbeeld bij banken zoveel dossiers opvraagt of exporteert dan was je account al lang geblokkeerd vanwege afwijkend gedrag als je al de juiste autorisaties had om die exports überhaupt te draaien.

Ontwikkeling van zulke software is gewoon enorm complex en de overheid en de partijen die zij ingeschakeld hebben een ontzettend slecht trackrecord wat betreft 100% maatwerk software en dat bewijst dit fiasco maar weer eens. Het wordt tijd dat de aanbestedingsprocedures op de schop gaan en ook kleinere gespecialiseerde software huizen met 50-300 ontwikkelaars de mogelijkheid krijgen dit soort projecten te winnen. Dan kan het absoluut een stuk beter een stuk sneller en misschien nog wel een stuk goedkoper ook.

HD4Life @ Full-HD


  • Maarten2212
  • Registratie: oktober 2015
  • Laatst online: 27-02 14:13
Shadow_Agent schreef op donderdag 28 januari 2021 @ 21:04:
[...]


Dat biedt dus geen hoop :{

Iedere callcenter medewerker kan via een simpele zoekopdracht kijken hoeveel en wie er al gevaccineerd is?

Overigens dank voor je bericht en kijkje in de keuken d:)b
Goede vraag ja. Dit is niet zo. Een deel van de callcentermedewerkers (maar dan praten we alsnog over duizenden) heeft rechten om ook vaccinatie-afspraken te maken en zij kunnen dus ook zien wie al gevaccineerd is. De medewerkers van de testlocatie kunnen ook niet zien wie gevaccineerd is (behalve als deze medewerker ook in de vaccinatielocatie werken natuurlijk).

  • G_M_C
  • Registratie: december 2003
  • Laatst online: 22:45
Ik heb het over de organisatie GGD-GHOR, niet individuele medewerkers mits die idd de yes we can mentaliteit hebben.

Een crisis organisatie die zo vaak een negatief antwoord geeft als er iets nodig is (van nee we kunnen niet iedereen testen tot nee we kunnen niet sneller vaccineren) Die daarbij ook nog extra crisiscomponenten bijdraagt (informatie lekken), is een organisatie die je niet kan gebruiken bij een crisis. Zeker niet als je ook nog eens je politiek bestuurder daarbij telkens in verlegenheid brengt.

Ik zeg opdoeken en de operationele onderdelen onder een tijdelijke crisismanager brengen. Dat is een systeem dat snel kan ingericht, want dat is eerder gedaan, en dan kunnen we meteen meer meters maken.

En daarmee moet ook de hoofdverantwoordelijke verdwijnen. De Jong moet gewoon het veld ruimen.

  • IJzerlijm
  • Registratie: mei 2000
  • Niet online

IJzerlijm

Is net nieuw

Davidshadow13 schreef op donderdag 28 januari 2021 @ 21:11:
[...]

Ontwikkeling van zulke software is gewoon enorm complex en de overheid en de partijen die zij ingeschakeld hebben een ontzettend slecht trackrecord wat betreft 100% maatwerk software en dat bewijst dit fiasco maar weer eens. Het wordt tijd dat de aanbestedingsprocedures op de schop gaan en ook kleinere gespecialiseerde software huizen met 50-300 ontwikkelaars de mogelijkheid krijgen dit soort projecten te winnen. Dan kan het absoluut een stuk beter een stuk sneller en misschien nog wel een stuk goedkoper ook.
CoronIT is toch door zo'n kleine specialist, Topicus, ontwikkeld ?

And to think they once said that computers would take away jobs.


  • Davidshadow13
  • Registratie: oktober 2006
  • Laatst online: 22:26
IJzerlijm schreef op donderdag 28 januari 2021 @ 21:31:
[...]


CoronIT is toch door zo'n kleine specialist, Topicus, ontwikkeld ?
Ik ben niet bekend met wie deze specifieke software heeft ontwikkeld maar ik zou Topicus absoluut geen kleine specialist noemen. Het is de grootste detacheerder van het oosten en heeft ook gewoon 1000-5000 medewerkers.

HD4Life @ Full-HD


  • killercow
  • Registratie: maart 2000
  • Laatst online: 26-02 15:19
https://www.ggdghorkennisnet.nl/registreren schijnbaar kun je gewoon aanmelden.

Ook zin in een outdoor geek-fest? eth0.nl


  • PcDealer
  • Registratie: maart 2000
  • Laatst online: 26-02 08:16

PcDealer

HP ftw \o/

Lol!
Zowel de GGD als Teleperformance, het bedrijf dat verantwoordelijk is voor onder andere de testafsprakenlijn, stellen dat alleen mensen met een VOG met deze systemen mogen werken. Teleperformance meldt wel dat medewerkers soms al anderhalve maand aan het werk kunnen zijn terwijl ze op hun VOG wachten: " ls de VOG binnen 6 weken na start niet wordt opgeleverd, wordt er per direct afscheid genomen van een medewerker."
https://www.rtlnieuws.nl/...-vog-coronit-hpzone-light
Serieus, ik heb nooit meer dan pakweg een week hoeven wachten op mijn vog.

LinkedIn WoT Cash Converter


  • jadjong
  • Registratie: juli 2001
  • Laatst online: 27-02 11:23
PcDealer schreef op vrijdag 29 januari 2021 @ 00:17:
Lol!

[...]

Serieus, ik heb nooit meer dan pakweg een week hoeven wachten op mijn vog.
Hangt van het soort VOG af, als je Willem Alexander wilt beveiligen gaan ze de barman in Chersonissos ondervragen hoe jij 22 jaar geleden je daar gedroeg. Dan ben je zo een jaar verder. Waarschijnlijk zit de VOG voor het callcenter daar ergens tussenin. ;)

[Voor 8% gewijzigd door jadjong op 29-01-2021 06:30]


  • daanb14
  • Registratie: december 2013
  • Laatst online: 23:29
De nieuwsartikelen over het uit gebruik gaan nemen van HPzone zijn weer lekker kort door de bocht. Bijvoorbeeld nu.nl schetst echt het beeld dat er maar 1 softwaresysteem is en dat dit alle problemen oplost. De NOS benoemt in hun liveblog inderdaad dat het om HPzone gaat, maar vertelt er niet bij dat coronIT, wat ook zo lek als een mandje is, geen aankondiging voor het voornemen om het uit gebruik te nemen heeft. Hopelijk uit Daniël Verlaan hier nog een goede dosis kritiek op vandaag.

A cloud is just someone else's computer.


  • JeroenTheStig
  • Registratie: mei 2000
  • Laatst online: 23:00
Ik lees nu in de media dat er vanuit de GGD geen toezicht is op wat de medewerkers allemaal uitspoken in het systeem omdat ze thuis werken en dat ze nu ook nog niet weten of ze kunnen achterhalen welke informatie daadwerkelijk op straat is terecht gekomen. Vooral dat laatste doet mij vermoeden dat er er nauwelijks tot geen auditlog aanwezig is, laat staan dat logging is ingeregeld volgens de informatiebeveiligingsnormen zoals vastgelegd in NEN 7513. Het implementeren van NEN 7513, waarin wordt beschreven hoe gebeurtenissen in zorgsystemen moeten worden gelogd, is voor systemen waarin medische gegevens worden opgeslagen al een tijdje verplicht. De vraag is misschien wat de scheidslijn precies is en of het hier wel of niet om medische gegevens gaat, maar dit soort systemen, waar met zeer gevoelige informatie wordt gewerkt, verwacht je dat op zijn minst aandacht is besteed om vast te leggen welke gebeurtenissen, door wie, wanneer en met welke zoekvragen zijn uitgevoerd.

Ik weet bij het bedrijf waar ik werk, waar we met zorginformatie werken, hoeveel tijd en aandacht is besteed om NEN 7513 te implementeren en te voldoen aan de wettelijke bepalingen. Als dan uitgerekend de overheid zelf deze normen volledig aan zijn laars lapt, dan is dat bijzonder frustrerend om te zien.

  • renegrunn
  • Registratie: september 2006
  • Laatst online: 23:37
JeroenTheStig schreef op vrijdag 29 januari 2021 @ 08:19:
Ik lees nu in de media dat er vanuit de GGD geen toezicht is op wat de medewerkers allemaal uitspoken in het systeem omdat ze thuis werken en dat ze nu ook nog niet weten of ze kunnen achterhalen welke informatie daadwerkelijk op straat is terecht gekomen.
Dochter van een goede kennis werkt inderdaad op deze manier sinds een maand of 2 voor de GGD: belt vanuit huis in om afspraken voor vaccinaties in te plannen. Ook nooit gevraagd naar een VOG overigens.

  • Mektheb
  • Registratie: december 2006
  • Laatst online: 20:44
Vrouw van mijn zwager Idem geen VOG toen ze starte en vanuit huis na een training van 2 dagen.
Later wel de VOG uiteraard.
Door een externe partij die namens de GGD werkt, en kan alleen de region inzien die ze die dag toegewezen krijgt.

Welk systeem dat is is mij niet bekend

[Voor 8% gewijzigd door Mektheb op 29-01-2021 08:36]


  • bug53
  • Registratie: november 2019
  • Niet online
BSN zou andere functie moeten krijgen denk ik, ik zie het nu als 'security by obscurity' en voor zover dat al oké was is het met dergelijke lekken onhoudbaar.
Vergelijk het met het VIN van een auto, die staat in veel gevallen achter de voorruit voor iedereen zichtbaar.
Dat zou betekenen dat de gevoeligheid gelijk wordt aan die van de combinatie voor en achternaam en geboortedatum. Een nummertje om een persoon te identificeren.
Authenticatie zou altijd met andere middelen moeten zoals digid, te vertonen identificatiemiddel of een ander slim mechanisme.

lurkt sinds 1999, account sinds 2019


  • IJzerlijm
  • Registratie: mei 2000
  • Niet online

IJzerlijm

Is net nieuw

Zouden we bereid zijn geweest de BCO onderzoeken, testen en nu vaccineren een maand of twee uit te stellen om een beter en veiliger systeem te hebben ?

And to think they once said that computers would take away jobs.


  • bug53
  • Registratie: november 2019
  • Niet online
IJzerlijm schreef op vrijdag 29 januari 2021 @ 08:49:
Zouden we bereid zijn geweest de BCO onderzoeken, testen en nu vaccineren een maand of twee uit te stellen om een beter en veiliger systeem te hebben ?
weet niet of dat de keuze was. kan ook dat de keus was om een systeem met hogere prijs in te kopen of om het werk anders te organiseren ( ik was er niet bij , maar heb wel enige ervaring in die hoek :) )

lurkt sinds 1999, account sinds 2019


  • G_M_C
  • Registratie: december 2003
  • Laatst online: 22:45
IJzerlijm schreef op vrijdag 29 januari 2021 @ 08:49:
Zouden we bereid zijn geweest de BCO onderzoeken, testen en nu vaccineren een maand of twee uit te stellen om een beter en veiliger systeem te hebben ?
De vraag is eerder of je het hele doopceel van iemand nodig hebt om een afspraak te maken? En of het systeem dus anders had gekund.

  • Joris748
  • Registratie: januari 2018
  • Laatst online: 23:15
Antonius schreef op donderdag 28 januari 2021 @ 21:06:
[...]


Daar ben ik het roerend mee eens, geen excuus voor mogelijk.


[...]


Eerste deel helemaal akkoord. Maar het tweede deel niet.

De rotte appels hoger in de GGD die ondanks stevige signalen uit de politiek, AP en eerdere nieuwsberichten foute beslissingen nemen over de registratie systemen en gegronde geruchten over het datalek langdurig volkomen negeren danwel in de dooftrommel stoppen, die mogen er uit. Zonder gouden, zilveren of blikken handdruk maar liever met een flinke trap tegen de derrière.

De GGD mensen die ik bezig zag de keren dat ik mensen naar een teststraat heb gereden verdienen alle lof, voor hard en stipt werken ondanks kouwe tocht lokaties (daar zou ik spontaan al ziek van worden :+ ) en humor en persoonlijke aandacht bij uitvoeren van hun eentonige werk met vaak chagrijnige klanten die zich soms ook nog vreselijk onbeschoft en agressief schijnen op te stellen. Het is niet een en al ellende bij de GGD, voor dat deel van de uitvoering van de testen niets dan lof _/-\o_
Ik zou het eerder incompetente appels noemen. Te weinig kaas gegeten van de materie en adviezen van deskundigen in de wind slaan.

  • IJzerlijm
  • Registratie: mei 2000
  • Niet online

IJzerlijm

Is net nieuw

G_M_C schreef op vrijdag 29 januari 2021 @ 09:06:
[...]


De vraag is eerder of je het hele doopceel van iemand nodig hebt om een afspraak te maken? En of het systeem dus anders had gekund.
Je moet over de telefoon iemand z'n identiteit vast stellen, wat zou jij dan als benodigde info willen hebben om dat te doen ?

And to think they once said that computers would take away jobs.


  • Shadow_Agent
  • Registratie: oktober 2012
  • Laatst online: 21:02
jadjong schreef op donderdag 28 januari 2021 @ 20:40:
[...]

Het systeem draait 24 uur per dag en mag niet onbereikbaar zijn. Als je daar in de ontwerpfase geen rekening mee gehouden hebt kan je, als het eenmaal draait, ook geen aanpassingen doen zonder downtime.
Tussen windows 95 en de laatse variant zit ook 25 jaar ontwikkeling...
Wat probeer je hier nu te zeggen? Als je een systeem ontwikkeld waar iedereen met één druk op de knop een paar honderd mensen kan opvragen en daarbij ALLE NAW gegevens incl BSN, telefoonummers en mailadressen kan opvragen heeft dat echt niets met "24/7 systeem" of downtime te maken. Dit is gewoon een kapitale ontwikkel fout! Ik kan mij nog voorstellen dat je een offline systeem wilt voor als het systeem down is. Maar dan prangt de vraag: als het systeem down is, hoe kan die knop dan nog beschikbaar zijn? }:O Dat even terzijde. Geef dan een handjevol medewerkers bij iedere regio toegang tot die knop. En dan medewerkers die er al tig jaar werken, een VOG hebben en een goede staat van dienst. En dan NOG is het niet nodig dat Pietje in Amsterdam de gegevens van 100'den Friesen of Limburgers in kan zien.

En aanpassingen doen zonder downtime? Euhmm kan prima hoor. Misschien niet alles, maar het is geen gegeven dat het per definitie NIET kan. En ja: ik spreek uit ervaring.
Tussen windows 95 en de laatse variant zit ook 25 jaar ontwikkeling...
Okee :) en hoe verhoud zich dat tot CoronIT? Als Topicus dit inderdaad heeft gebouwd, dat zijn toch ook geen koekebakkers? Die zouden toch ook dit moeten hebben zien aankomen? En het is niet zo dat het ineens om de hoek kwam. Al maandenlang bekende fout, geen actie is ondernomen!

Echt een grote grove schande!

Hoi :)


  • Shadow_Agent
  • Registratie: oktober 2012
  • Laatst online: 21:02
IJzerlijm schreef op vrijdag 29 januari 2021 @ 09:18:
[...]


Je moet over de telefoon iemand z'n identiteit vast stellen, wat zou jij dan als benodigde info willen hebben om dat te doen ?
Misschien niet het hele BSN tonen aan een callcentermedewerker? Maar slechts de laatste paar cijfers?
Iedereen die een test gepland heeft, een unieke QR code doen toekomen per mail die hij.zij bij de teststraat laat zien? Waarom zou die medewerker OOK mijn dossier moeten kunnen inzien?

Zomaar wat ideeën :)

Hoi :)


  • Shadow_Agent
  • Registratie: oktober 2012
  • Laatst online: 21:02
daanb14 schreef op vrijdag 29 januari 2021 @ 08:02:
De nieuwsartikelen over het uit gebruik gaan nemen van HPzone zijn weer lekker kort door de bocht. Bijvoorbeeld nu.nl schetst echt het beeld dat er maar 1 softwaresysteem is en dat dit alle problemen oplost. De NOS benoemt in hun liveblog inderdaad dat het om HPzone gaat, maar vertelt er niet bij dat coronIT, wat ook zo lek als een mandje is, geen aankondiging voor het voornemen om het uit gebruik te nemen heeft. Hopelijk uit Daniël Verlaan hier nog een goede dosis kritiek op vandaag.
Ik las het ook inderdaad 8)7
Waarschijnlijk omdat CoronIT ook voor de vaccinatieregistratie wordt gebruikt en ze niet zonder kunnen. HPZone voornamelijk voor BCO onderzoek (zoals hier elders is te lezen)

Met alle respect, ik denk dat het BCO momenteel sowieso al op een laag pitje staat en "men" weinig moeite doet daarvoor. Dus kan de zwarte piet prima naar HPZone worden geschoven om de aandacht van CoronIT af te leiden.

Hoi :)


  • Webgnome
  • Registratie: maart 2001
  • Laatst online: 22:23
GGD's willen stoppen met omstreden systeem

Volgens mij moet de GGD ook even bij zichzelf te rade gaan of ze bepaalde protocollen moeten herzien.

Strava, Twitter


  • daanb14
  • Registratie: december 2013
  • Laatst online: 23:29
Shadow_Agent schreef op vrijdag 29 januari 2021 @ 09:30:
[...]


Ik las het ook inderdaad 8)7
Waarschijnlijk omdat CoronIT ook voor de vaccinatieregistratie wordt gebruikt en ze niet zonder kunnen. HPZone voornamelijk voor BCO onderzoek (zoals hier elders is te lezen)

Met alle respect, ik denk dat het BCO momenteel sowieso al op een laag pitje staat en "men" weinig moeite doet daarvoor. Dus kan de zwarte piet prima naar HPZone worden geschoven om de aandacht van CoronIT af te leiden.
Ik hoop heel erg dat Daniël Verlaan hier vandaag even een zegje op gaat doen en vermeld dat dit het probleem niet op gaat lossen en de gegevens van geteste mensen nog steeds niet goed beschermd is.

A cloud is just someone else's computer.


  • Shadow_Agent
  • Registratie: oktober 2012
  • Laatst online: 21:02
daanb14 schreef op vrijdag 29 januari 2021 @ 09:31:
[...]

Ik hoop heel erg dat Daniël Verlaan hier vandaag even een zegje op gaat doen en vermeld dat dit het probleem niet op gaat lossen en de gegevens van geteste mensen nog steeds niet goed beschermd is.
eens! Iemand met Twitter zou hem er even op moeten wijzen wellicht >:) Zelf heb ik (gelukkig) geen Twitter/Instagram/whatever account :+

Hoi :)


  • t_captain
  • Registratie: juli 2007
  • Laatst online: 23:53

t_captain

Moderator General Chat
De fouten op een rijtje:

1. (vermoedelijke AVG overtreding) meer gegevens opslaan dan noodzakelijk om de dienst te leveren, zijnde covid-test en eventueel bron- en contact onderzoek BCO.
* Noodzakelijk voor test: geen gegevens, een test kan anoniem met een uniek volgnummer voor de uitslag.
* Noodzakelijk voor BCO: naam, contactgegevens.
* Optioneel voor statistieken, alleen opslaan met toestemming klant: postcode etc.

2. (vermoedelijke AVG overtreding) gegevens langer bewaren dan noodzakelijk
Na een negatieve test of na het afronden van BCO kunnen de persoonlijke gegevens eruit. Je kunt wel de testresultaten anonimiseren en behouden voor statistieken.

3. Ongebreidelde toegang van personeel en externen tot gevoelige gegevens

4. Ontbreken van effectieve audit mechanismen

  • Nox
  • Registratie: maart 2004
  • Laatst online: 22:16

Nox

Noxiuz

Webgnome schreef op vrijdag 29 januari 2021 @ 09:31:
GGD's willen stoppen met omstreden systeem

Volgens mij moet de GGD ook even bij zichzelf te rade gaan of ze bepaalde protocollen moeten herzien.
Ik ben benieuwd waarom het systeem opeens vervangen moet worden, het zijn medewerkers, protocollen en policies die niet in orde waren. Niet het systeem. Dit is als het vervangen van keukenmessen door dunschillers omdat een gast een keukenmes heeft gebruikt bij een overval ofzo.

Overlever van KampeerMeet 4.1
All your Acer belongs to /dev/null


  • Webgnome
  • Registratie: maart 2001
  • Laatst online: 22:23
Nox schreef op vrijdag 29 januari 2021 @ 09:36:
[...]

Ik ben benieuwd waarom het systeem opeens vervangen moet worden, het zijn medewerkers, protocollen en policies die niet in orde waren. Niet het systeem. Dit is als het vervangen van keukenmessen door dunschillers omdat een gast een keukenmes heeft gebruikt bij een overval ofzo.
Dat weet iedereen die een beetje meer verstand van zaken heeft. MAar voor de buitenwereld klinkt dit wel lekker. Een nieuw systeem waar niks mee mis kan gaan!!

Strava, Twitter


  • Shadow_Agent
  • Registratie: oktober 2012
  • Laatst online: 21:02
Overigens mag de AP zich ook wel even twee keer achter de oren krabben in dit geheel. Al maanden geleden doken de eerste berichten op dat het systeem faalde. Hoe kan het dan dat diezelfde AP niet in actie is gekomen? Waarom is er niet direct en actief actie ondernomen?

Klinkt als een slager (AP) die z;n eigen vlees keurt (GGD systemen). "Nee hoor, alles is goed bij de GGD. Wat zeg je, een bulkexport, mensen werken wekenlang zonder VOG en kunnen niet essentiële gegevens opvragen? Nou nee, dat zou misschien niet moeten denken we, maar zolang een journalist van RTL geen ruchtbaarheid hieraan geeft gaan we ons liever bezighouden met andere zaken. John, jij nog koffie?"

/cynische mode uit

Ik ga maar eens aan het werk, met een koffie!

Hoi :)


  • bug53
  • Registratie: november 2019
  • Niet online
Webgnome schreef op vrijdag 29 januari 2021 @ 09:37:
[...]


Dat weet iedereen die een beetje meer verstand van zaken heeft. MAar voor de buitenwereld klinkt dit wel lekker. Een nieuw systeem waar niks mee mis kan gaan!!
dit zelfde gebeurt ook regelmatig organisatorisch. als er 4 teams zijn die niet goed samenwerken er een 5e multidisciplinair team naast zetten want dan kan er snel geschakeld worden ( waarbij dan soms over t hoofd gezien wordt dat team 5 afhankelijk is van team 1-4 omdat die bijvoorbeeld de systemen beheren)

lurkt sinds 1999, account sinds 2019


  • t_captain
  • Registratie: juli 2007
  • Laatst online: 23:53

t_captain

Moderator General Chat
Ze gaan intussen gewoon door om op BSN's te leunen:
Het maken van een afspraak kan op twee manieren: ​

​Online met je DigiD via rijksoverheid.nl/coronatest of
Bel 0800 1202. Houd je burgerservicenummer (BSN) bij de hand. Je vindt dit nummer op je paspoort, identiteitskaart, rijbewijs of loonstrook.
Dit begint toch wel naar grove nalatigheid te rieken. Ik denk dat er juridisch een goede kans is om de GGD aansprakelijk te stellen voor de schade van identiteitsfraude.

Wie zijn gegevens in het systeem heeft zitten, doet er goed aan om twee stappen te zetten:

1. stuur alvast een ingebrekestelling voor het blootstellen van je persoonsgegevens, dat kan een eventuele civiele rechtzaak verderop in de tijd ondersteunen;
2. oefen je (AVG) recht uit om vergeten te worden

  • Webgnome
  • Registratie: maart 2001
  • Laatst online: 22:23
Op zich is het maken van afspraken op basis van je BSN niet heel verkeerd.. als je er maar voor zorgt dat die gegevens daarna niet meer inzichtelijk zijn voor mensen die er geen toegang tot hebben. Een BSN is toch echt jou persoonlijke identificatienummer. Er zijn zoveel systemen (overheid) waar je met je BSN moet laten weten wie je bent.

Strava, Twitter


  • daanb14
  • Registratie: december 2013
  • Laatst online: 23:29
Shadow_Agent schreef op vrijdag 29 januari 2021 @ 09:46:
Overigens mag de AP zich ook wel even twee keer achter de oren krabben in dit geheel. Al maanden geleden doken de eerste berichten op dat het systeem faalde. Hoe kan het dan dat diezelfde AP niet in actie is gekomen? Waarom is er niet direct en actief actie ondernomen?

Klinkt als een slager (AP) die z;n eigen vlees keurt (GGD systemen). "Nee hoor, alles is goed bij de GGD. Wat zeg je, een bulkexport, mensen werken wekenlang zonder VOG en kunnen niet essentiële gegevens opvragen? Nou nee, dat zou misschien niet moeten denken we, maar zolang een journalist van RTL geen ruchtbaarheid hieraan geeft gaan we ons liever bezighouden met andere zaken. John, jij nog koffie?"

/cynische mode uit

Ik ga maar eens aan het werk, met een koffie!
Internetrecht-jurist Mathieu Paapst geeft in dit artikel met Nieuwsuur aan dat er een veel breder probleem is bij de autoriteit persoonsgegevens. De autoriteit persoonsgegevens is structureel ondergefinancierd en dit is al jarenlang het geval. Hierdoor heeft de autoriteit persoonsgegevens gewoon niet de capaciteit om zijn werk goed uit te voeren. Met name op een vlak zo kritiek als de beveiliging van persoonsgegevens, is dit heel ernstig te noemen.

A cloud is just someone else's computer.


  • True
  • Registratie: april 2011
  • Niet online

True

Dislecticus

jadjong schreef op vrijdag 29 januari 2021 @ 06:29:
[...]

Hangt van het soort VOG af, als je Willem Alexander wilt beveiligen gaan ze de barman in Chersonissos ondervragen hoe jij 22 jaar geleden je daar gedroeg. Dan ben je zo een jaar verder. Waarschijnlijk zit de VOG voor het callcenter daar ergens tussenin. ;)
Dat is geen VOG, VOG is puur een ja/nee gebaseerd op het werk wat je wilt doen, gebaseerd op je strafblad. Dat er bij bepaalde functies meer dan een VOG nodig is, is zeker waar maar heeft niets met een VOG te maken.

Steam Profile


  • t_captain
  • Registratie: juli 2007
  • Laatst online: 23:53

t_captain

Moderator General Chat
Webgnome schreef op vrijdag 29 januari 2021 @ 10:27:
Op zich is het maken van afspraken op basis van je BSN niet heel verkeerd.. als je er maar voor zorgt dat die gegevens daarna niet meer inzichtelijk zijn voor mensen die er geen toegang tot hebben. Een BSN is toch echt jou persoonlijke identificatienummer. Er zijn zoveel systemen (overheid) waar je met je BSN moet laten weten wie je bent.
Ik zie geen reden waarom je geen anonieme testmogelijkheid zou bieden voor wie bezwaar heeft tegen registratie. Het zou kunnen helpen om de testbereidheid iets te vergroten.

Verder, ook al werk je op BSN, dan nog is er geen noodzaak om de BSN ook op te slaan. Als je dan een key wil hebben om de persoon te koppelen tussen verschillende tabellen (afspraken, tests, resultaten, etc), zou ook een hash van de BSN kunnen maken.

  • G_M_C
  • Registratie: december 2003
  • Laatst online: 22:45
IJzerlijm schreef op vrijdag 29 januari 2021 @ 09:18:
[...]


Je moet over de telefoon iemand z'n identiteit vast stellen, wat zou jij dan als benodigde info willen hebben om dat te doen ?
Nee, datnis allemaal alleen nodig als je iets doet waar iedereen misbruik van zou maken als je het niet controleert.

Een PCR test is niet iets wat iemand voor zijn lol doet, en bovendien pretendeer iedereen te willen testen en zo laagdrempelig mogelijk te willen zijn.

De reden zit hem in het willen voorkomen van drukte, maar vooral in de statistieken. Je wilt dubbeltellingen voorkomen. Daar is vast ook een andere methode voor te vinden zonder de info op te hoeven slaan en te bewaren en inzichtelijk te hoeven maken voor iedereen.

  • Shadow_Agent
  • Registratie: oktober 2012
  • Laatst online: 21:02
t_captain schreef op vrijdag 29 januari 2021 @ 10:53:
[...]


Ik zie geen reden waarom je geen anonieme testmogelijkheid zou bieden voor wie bezwaar heeft tegen registratie. Het zou kunnen helpen om de testbereidheid iets te vergroten.

Verder, ook al werk je op BSN, dan nog is er geen noodzaak om de BSN ook op te slaan. Als je dan een key wil hebben om de persoon te koppelen tussen verschillende tabellen (afspraken, tests, resultaten, etc), zou ook een hash van de BSN kunnen maken.
Zeker! Ik zou mij nu niet meer laten testen als het niet echt noodzakelijk is. Maar goed, ben al getest dus maakt niet meer uit.

Daarom wil de GGD nu ook "ineens" af van het "systeem".
De GGD wil met de overstap
voorkomen dat mensen zich niet meer laten testen uit zorg of hun gegevens veilig zijn.
Bron: Teletekst pag. 104

Tevens vraag ik mij af wat het betekent voor de bereidheid tot vaccinatie wanneer hier een verplichte registratie aanhangt, aangezien hetzelfde systeem nog steeds gebruikt wordt.

Hoi :)


  • Shadow_Agent
  • Registratie: oktober 2012
  • Laatst online: 21:02
G_M_C schreef op vrijdag 29 januari 2021 @ 10:57:
[...]


Nee, datnis allemaal alleen nodig als je iets doet waar iedereen misbruik van zou maken als je het niet controleert.

Een PCR test is niet iets wat iemand voor zijn lol doet, en bovendien pretendeer iedereen te willen testen en zo laagdrempelig mogelijk te willen zijn.

De reden zit hem in het willen voorkomen van drukte, maar vooral in de statistieken. Je wilt dubbeltellingen voorkomen. Daar is vast ook een andere methode voor te vinden zonder de info op te hoeven slaan en te bewaren en inzichtelijk te hoeven maken voor iedereen.
Inderdaad, een OLTP db voor de callcenter medewerkers, een OLAP voor de statistieken en de bulkexports wat mij betreft. Maar toegang tot de OLAP db zou nooit voor tijdelijke medewerkers mogelijk moeten zijn. Althans geen thuiswerkende callcentermedewerker die belt als bijbaantje. Een ingehuurde detacheerder kan natuurlijk prima.

Hoi :)


  • Antonius
  • Registratie: juli 2000
  • Laatst online: 19:38
t_captain schreef op vrijdag 29 januari 2021 @ 09:33:
De fouten op een rijtje:

1. (vermoedelijke AVG overtreding) meer gegevens opslaan dan noodzakelijk om de dienst te leveren, zijnde covid-test en eventueel bron- en contact onderzoek BCO.
* Noodzakelijk voor test: geen gegevens, een test kan anoniem met een uniek volgnummer voor de uitslag.
* Noodzakelijk voor BCO: naam, contactgegevens.
* Optioneel voor statistieken, alleen opslaan met toestemming klant: postcode etc.

2. (vermoedelijke AVG overtreding) gegevens langer bewaren dan noodzakelijk
Na een negatieve test of na het afronden van BCO kunnen de persoonlijke gegevens eruit. Je kunt wel de testresultaten anonimiseren en behouden voor statistieken.

3. Ongebreidelde toegang van personeel en externen tot gevoelige gegevens

4. Ontbreken van effectieve audit mechanismen
5. De genoemde fouten zijn over langere tijd zowel intern binnen de GGD+uitvoering als extern (met name door journalisten) bekend. Met deze informatie is door hogere niveau's in de organisatie niets of niet genoeg mee gedaan. Dat zet zich door tot helemaal in de top, waar de verantwoordelijke minister de problemen ook bagatelliseerde en onder het tapijt probeerde te vegen in de Tweede Kamer.


NB: de reactie van @kwibox onder het nieuwsartikel op de frontpage vandaag is zo mogelijk belangrijker dan het nieuwsbericht zelf. Dank voor die aanvulling bij het nieuwsartikel d:)b
nieuws: GGD gaat lekke HPZone-software vervangen

Het bevestigt mijn gevoel dat de uitvoering echt zijn stinkende best voor ons doet, maar dat het goed scheef zit in de management lagen van de landelijke organisatie.

  • t_captain
  • Registratie: juli 2007
  • Laatst online: 23:53

t_captain

Moderator General Chat
Shadow_Agent schreef op vrijdag 29 januari 2021 @ 11:02:
[...]

Zeker! Ik zou mij nu niet meer laten testen als het niet echt noodzakelijk is. Maar goed, ben al getest dus maakt niet meer uit.

[...]
Bron: Teletekst pag. 104

Tevens vraag ik mij af wat het betekent voor de bereidheid tot vaccinatie wanneer hier een verplichte registratie aanhangt, aangezien hetzelfde systeem nog steeds gebruikt wordt.
Ik kies momenteel ook voor striktere zelfisolatie en niet voor testen.

  • Gunner
  • Registratie: oktober 1999
  • Niet online

Gunner

Invincibles

Ik vraag me af he. waarom staat De Jonge niet meer onder druk hierover? Ik vind het best wel stil vanuit de kamer. De problemen min of meer wegwuiven en niet eens de waarheid spreken vind ik echt niet passend.

Ondanks dat de coalitie demissionair is kunnen er nog steeds individuelen worden weggestuurd. Nu ben ik daar niet perse voorstander van omdat dat het probleem niet direct oplost maar dit is wel zijn verantwoordelijkheid.

Ezechiël 25:17 | 10x295wp Pal Zuid | PVoutput


  • Shadow_Agent
  • Registratie: oktober 2012
  • Laatst online: 21:02
Gunner schreef op vrijdag 29 januari 2021 @ 12:38:
Ik vraag me af he. waarom staat De Jonge niet meer onder druk hierover? Ik vind het best wel stil vanuit de kamer. De problemen min of meer wegwuiven en niet eens de waarheid spreken vind ik echt niet passend.

Ondanks dat de coalitie demissionair is kunnen er nog steeds individuelen worden weggestuurd. Nu ben ik daar niet perse voorstander van omdat dat het probleem direct oplost maar dit is wel zijn verantwoordelijkheid.
Lost het probleem inderdaad niet op. Maar ook ik vind het verdacht stil (weer) vanuit politiek Den Haag.

Hoi :)


  • Gunner
  • Registratie: oktober 1999
  • Niet online

Gunner

Invincibles

Volgens de GGD hoeven we ons geen zorgen te maken. Dan weet je dat je dat wel moet doen.



(even klikken voor de reactie van de GGD in een plaatje)

Het is leuk dat die exportfunctie er nu uit is gehaald, maar dat is natuurlijk te laat; het kwaad is al geschied.

[Voor 35% gewijzigd door Gunner op 29-01-2021 13:06]

Ezechiël 25:17 | 10x295wp Pal Zuid | PVoutput


  • Antonius
  • Registratie: juli 2000
  • Laatst online: 19:38
Shadow_Agent schreef op vrijdag 29 januari 2021 @ 12:50:
<knip>

Maar ook ik vind het verdacht stil (weer) vanuit politiek Den Haag.
Er staat hierover een debat gepland in de Tweede Kamer, volgende week woensdagmiddag.
Bron: agenda van de Tweede Kamer


Vandaag op nu.nl
De Jonge ontkent ook dat hij de Tweede Kamer verkeerd informeerde over het grote datalek. Hij stelde dinsdag dat alle GGD-medewerkers met toegang tot gevoelige informatie een Verklaring Omtrent het Gedrag (VOG) hebben ingeleverd, maar dat blijkt niet te kloppen. Ook worden de systemen niet "volautomatisch" en "volcontinu" getest, zoals De Jonge beweerde, maar gebeurt dit volgens de GGD alleen nog steekproefsgewijs.

Zijn antwoorden tijdens het vragenuurtje wekten verbijstering bij meerdere experts, omdat ze feitelijk onjuist zijn. Maar De Jonge zegt dat hij antwoordde "op basis van de informatie die ik had".
En dan nu weer zo'n antwoord op de terechte kritiek die hij krijgt nav het vragenuurtje, daar zakt je toch de broek van af. Dan vraag ik mij af of hij eerder onjuistheden ingefluisterd heeft gekregen, of gewoon improviseerde en ook maar gokte "dat het wel goed zat". Moet een van die twee zijn, en beide opties zijn fout. Daar mag volgende week heel specifiek op doorgevraagd worden.

  • Ram-G-maN
  • Registratie: augustus 2009
  • Laatst online: 25-02 23:30

Ram-G-maN

Voorheen was ik GT-R.

Heeft het zin om hiervoor een HIBP aan de hand van telefoonnummers te inrichten?
Of kunnen we ervan uitgaan dat iedereen die tot het moment -dat deze kwestie aan het licht kwam- zich had laten testen slachtoffer is van deze data lek?

Ik kan het niet bewijzen maar ik heb sterk het gevoel dat sinds de datalek dat ik veel meer telefoontjes krijg van frauduleuze telemarketeers. Terwijl ik echt wel ingeschreven sta op het bel-mij-niet-register. Ik zou graag willen weten of mijn gegevens nu ook op straat ligt.

Mijn desktop, mijn laptop en mijn gamesetup.


  • Wolly
  • Registratie: januari 2001
  • Niet online
Antonius schreef op vrijdag 29 januari 2021 @ 13:12:
[...]


En dan nu weer zo'n antwoord op de terechte kritiek die hij krijgt nav het vragenuurtje, daar zakt je toch de broek van af. Dan vraag ik mij af of hij eerder onjuistheden ingefluisterd heeft gekregen, of gewoon improviseerde en ook maar gokte "dat het wel goed zat". Moet een van die twee zijn, en beide opties zijn fout. Daar mag volgende week heel specifiek op doorgevraagd worden.
Wat verwacht je van die doorvraging? Uiteindelijk wordt dit natuurlijk weer een verkiezingsdebat over zaken die de digibeten in de kamer niet begrijpen en ook niet interesseren. De Jonge erkent misschien zijn schuld (al is dat met zijn arrogantie wel een hele grote aderlating) en belooft beterschap. Ik hoorde hem vanmorgen al praten over een extern onderzoek, dus je weet al dat het 1e antwoord zal zijn 'Wij wachten dit onderzoek af'.


Maar aan het einde van de rit zal zo'n schandaal zich snel weer aandienen bij de overheid. Structureel gaat hier niets verbeterd worden.

  • loekf2
  • Registratie: februari 2002
  • Laatst online: 23:05
Goh, een reactie van de GGD dat mijn verzoek om mijn gegevens uit de database halen in behandeling is.

Als iedereen dat nou doet, gaat er misschien een lampje branden daar.

(ja ik weet het 8 miljoen testen sinds maart)

iMac 27" 2019 | HTPC (i5, GTX1650) | iPhone 12 Pro 256GB | iPad Pro 11" 256GB | AW Series 6 | Sony KD-55XE9305 (Ziggo CI+) | ATV 4K | Onkyo TX-NR686 | Shield TV | PS5/PS VR | XSX | Nest Audio | Netatmo | Hue | Harmony Elite | FRITZ!Box 7590 (XS4ALL)


  • Antonius
  • Registratie: juli 2000
  • Laatst online: 19:38
Wolly schreef op vrijdag 29 januari 2021 @ 13:54:
Wat verwacht je van die doorvraging?
Te veel, denk ik.
Uiteindelijk wordt dit natuurlijk weer een verkiezingsdebat over zaken die de digibeten in de kamer niet begrijpen en ook niet interesseren. De Jonge erkent misschien zijn schuld (al is dat met zijn arrogantie wel een hele grote aderlating) en belooft beterschap. Ik hoorde hem vanmorgen al praten over een extern onderzoek, dus je weet al dat het 1e antwoord zal zijn 'Wij wachten dit onderzoek af'.


Maar aan het einde van de rit zal zo'n schandaal zich snel weer aandienen bij de overheid. Structureel gaat hier niets verbeterd worden.
Cynisch gesteld, maar ik vrees dat je gelijk hebt :|

  • G_M_C
  • Registratie: december 2003
  • Laatst online: 22:45
Vinden we het in dit kader vreemd dat het aantal mensen dat de overheid niet meer vertrouwd gestaag stijgt?

Mij verbaast het niets iig.

Ik heb zelfs het gevoel dat dit een van die vele druppels in de emmer is die bijdragen tot de steeds grotere en heftigere vorm van de demonstraties (van boeren tot wat deze week gebeurde). De we hebben de overheid gemachtigd om namens ons te handelen, maar het vertrouwen wat daarbij hoort wordt meer en meer geschaad.

[Voor 53% gewijzigd door G_M_C op 29-01-2021 14:15]


  • Joris748
  • Registratie: januari 2018
  • Laatst online: 23:15
Welke informatie heeft een callcenter medewerker nu helemaal nodig?
  • Computer belt een voor medewerker onbekend telefoonnummer
  • Schermpje popt up om te checken of de geteste persoon aan de telefoon is (voorletters, achternaam, geboortedatum) en met de uitslag van de test.
BSN is daar niet eens voor nodig, want hoeveel mensen kennen hun BSN uit het hoofd?

Hoe kan het dan zijn dat NAW, BSN, telefoonnummers en alles wat daarbij hoort in te zien is en/of te downloaden is door een callcenter medewerker? Geef die callcentermedewerker niet meer gegevens dan strict noodzakelijk is voor het uitoefenen van zijn functie. Zelfs browsen door records is nergens voor nodig.

Ik merk dat ik me steeds meer opwindt over hoe nonchalant de overheid met dit soort zaken om gaat. Omtzigt heeft gelijk: Kamerleden moeten hun controlerende taak weer serieus gaan nemen. Misstanden moeten bij de bron aangepakt worden.

  • Wolly
  • Registratie: januari 2001
  • Niet online
Joris748 schreef op vrijdag 29 januari 2021 @ 14:28:
Welke informatie heeft een callcenter medewerker nu helemaal nodig?
  • Computer belt een voor medewerker onbekend telefoonnummer
  • Schermpje popt up om te checken of de geteste persoon aan de telefoon is (voorletters, achternaam, geboortedatum) en met de uitslag van de test.
BSN is daar niet eens voor nodig, want hoeveel mensen kennen hun BSN uit het hoofd?

Hoe kan het dan zijn dat NAW, BSN, telefoonnummers en alles wat daarbij hoort in te zien is en/of te downloaden is door een callcenter medewerker? Geef die callcentermedewerker niet meer gegevens dan strict noodzakelijk is voor het uitoefenen van zijn functie. Zelfs browsen door records is nergens voor nodig.

Ik merk dat ik me steeds meer opwindt over hoe nonchalant de overheid met dit soort zaken om gaat. Omtzigt heeft gelijk: Kamerleden moeten hun controlerende taak weer serieus gaan nemen. Misstanden moeten bij de bron aangepakt worden.
Volgens mij bellen mensen naar het callcenter voor een afspraak, de uitslag krijg je digitaal.

Eigenlijk zouden ze dus een DigiD authenticatie moeten maken voor inbellers, net zoals je nu inlogt op overheidssites. Als je dan als burger de authenticatie hebt doorlopen kan de callcentermedewerker de afspraak inplannen zonder dat er verder persoonsgegevens aan te pas komen.
Pagina: 1 2 Laatste


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True