De diefstal van persoonsgegevens uit de systemen van de GGD houdt veel mensen bezig. Er zijn nu ook twee medewerkers van het afspraken centrum van GGD GHOR Nederland opgepakt. Ze zouden de persoonsgegevens van mensen die zich op het coronavirus hebben laten testen, te koop hebben aangeboden op de chat-app Telegram.
Zagen we dit niet al een beetje aankomen? Het privacy verhaal van de corona-app tot vaccinaties is iets wat al geruime tijd rondgaat. En zeker bij de situatie waar we nu inzitten, dat we alles snel willen doen vanwege corona. Maar juist door het ad hoc werken kunnen we (helaas) fouten maken. Belangrijk is dus om eerst goede bewustwording toe te passen en met een expert schakelen over de risico’s. Want als we kijken naar de essentie van het probleem is dit een kwetsbaarheid wat al veel langer speelt.
Kijk naar de privacy problematiek in ziekhuizen met bijvoorbeeld BN’er Barbie in 2018 (met een 460.000 euro boete als gevolg). Het doorspelen van vertrouwelijke informatie aan criminelen door een opsporingsambtenaar in 2017. En nu toegang tot het exporteren van data terwijl dat niet mogelijk had moeten zijn bij deze personen. We komen dan op belangrijke aandachtsgebieden zoals toegangsbeheer, logging en screening. Iets wat ook terugkomt bij belangrijke normen zoals ISO27001, NEN7510 en de BIO.
Maar dan nog, als dit in samenwerking met een expert tot in de puntjes is geregeld kun je het nooit 100 procent waterdicht maken. Het menselijke aspect blijft altijd bestaan in deze processen. De mens in nou eenmaal de zwakste schakel in informatiebeveiliging. Helemaal als er een menselijke verleiding bestaat om gegevens te delen of zelfs te verkopen. Bewustwording en preventieve controle helpt hier echt bij.
We lezen het volgende terug in ICT magazine;
“De GGD controleert niet stelselmatig op lekken van data. Wel waren ze, mede door een incident eerder dit jaar hun controles aan het intensiveren. Nu krijgen medewerkers alleen toegang tot de systemen als dat voor hun werk ook echt nodig is. Eind maart zeggen ze zover te zijn dat er automatisch altijd controle plaatsvindt op wie toegang heeft tot welke systemen en gegevens.”
Het lijkt nu steeds een “mosterd na de maaltijd” verhaal te worden. Waarom wordt er niet veel eerder door experts gekeken naar de manieren hoe processen en technologie ingericht zijn?
