Grapperhaus gaat procedures aanscherpen na datalek

Hangslot boven op het toetsenbord van een laptop

Demissionair minister van Justitie en Veiligheid Ferd Grapperhaus heeft geleerd van het datalek dat afgelopen juli plaatsvond op zijn ministerie en heeft maatregelen aangekondigd. Hij gaat werkafspraken en procedures bij de inhuur van externe medewerkers aanscherpen. Daarnaast gaat hij op termijn de Data Leakage Protection (DLP) tool invoeren en moeten medewerkers deelnemen aan een bewustwordingsprogramma om veiligheidsrisico’s beter en sneller te herkennen.

Dat schrijft minister Grapperhaus in een brief aan de Tweede Kamer.

Gegevens van 65.000 ambtenaren op straat

Voor het begin van deze zaak moeten we terug naar eind juni. Toen ontdekte GGD GHOR dat de persoonsgegevens van zo’n 65.000 ambtenaren van het ministerie van Justitie en Veiligheid op plekken waar beland waar ze niet thuishoorden. Het ging om gegevens als naam, organisatie, soort dienstverband, ID- of paspoortnummer, Rijkspasnummer, e-mailadres, geboorteplaats, geboortedatum, geslacht en nationaliteit.

Een extern ingehuurde medewerker bleek het datalek te hebben veroorzaakt. Hij had een analysetool en de daaraan gekoppelde data naar zijn eigen werkomgeving en van twee andere overheidsdiensten gekopieerd. Dat was tegen de regels. “Deze informatie moet altijd met grote zorgvuldigheid worden behandeld en die zorgvuldigheid is hier met voeten getreden”, zo benadrukte Grapperhaus destijds.

De minister kondigde daarop drie afzonderlijke onderzoeken aan. Het Integriteitsbureau van de Dienst Justitiële Inrichting (DJI) legde de werkwijze van de externe kracht en zijn interne collega’s onder de loep. Cybersecuritybedrijf Fox-IT verrichtte forensisch onderzoek om te achterhalen welke personen en overheidsdiensten mogelijk toegang hebben gehad naar de gegevens. De Auditdienst Rijk (ADR) kreeg de opdracht om in kaart te brengen hoe het incident heeft kunnen plaatsvinden en welke maatregelen het ministerie kan nemen om herhaling in de toekomst te voorkomen.

Dit zijn de uitkomsten van de onderzoeken

De onderzoeken zijn inmiddels afgerond. Via een brief brengt minister Grapperhaus de Tweede Kamer op de hoogte van de uitkomsten en de maatregelen die hij treft om ervoor te zorgen dat dergelijke incidenten niet weer kunnen plaatsvinden.

Het Integriteitsbureau komt tot de conclusie dat de ingehuurde medewerker bekend was met de gedragsregels en dat hij deze overtrad. Hij was zich echter niet bewust dat door zijn gedrag hij een datalek creëerde. Interne werknemers van het ministerie wisten niets van zijn kopieergedrag af. Op een aantal punten hadden de werkafspraken over het transporteren van data met de externe medewerker scherper moeten worden vastgelegd, zo concludeert het Integriteitsbureau.

Fox-IT heeft vastgesteld dat de persoonsgegevens van de ambtenaren buiten het departement hebben gecirculeerd. Het Openbaar Ministerie, GGD GHOR, de werkgever van de extern ingehuurde medewerker en de IT-dienstverleners van deze organisaties hadden toegang tot deze informatie. Het beveiligingsbedrijf heeft echter geen aanwijzingen gevonden dat de gegevens zijn misbruikt, gekopieerd of op andere locaties is opgeslagen. Door de beperkte beschikbaarheid van logbestanden kan het bedrijf dit niet met volledige zekerheid uitsluiten.

De ADR stelt dat het ministerie van Justitie en Veiligheid waarborgen heeft ingebouwd omtrent geheimhouding, privacybescherming en integriteit. De beheer- en werkprocessen worden bovendien regelmatig geëvalueerd. De dienst ziet echter mogelijkheden om de naleving van procedurele en administratieve waarborgen beter na te leven. Verder zegt de ADR dat Microsoft Access risico’s op het gebied van toegangsbescherming met zich meebrengt.

Deze maatregelen heeft de minister getroffen

Minister Grapperhaus vindt het een geruststelling dat het datalek het gevolg is van ‘het individueel handelen van de externe medewerker’, en niet doordat er ernstige tekortkomingen zijn op zijn departement. Ook is hij blij dat de gegevens niet op andere locaties zijn aangetroffen. De melding die de minister deed bij de Autoriteit Persoonsgegevens is daarmee afgesloten.

De minister zegt dat zijn ministerie van het voorval heeft geleerd en de aanbevelingen van de ADR overneemt. Om te beginnen worden werkafspraken en procedures aangescherpt bij de inhuur van externe medewerkers en het databeheer binnen de betrokken afdeling. Ook wordt er gekeken of het mogelijk is om minder informatie beschikbaar te stellen aan externe arbeidskrachten. Dit noemen we ook wel dataminimalisatie, een uitgangspunt dat wordt verwoord in artikel 5.1 (c) van de Algemene Verordening Gegevensbescherming (AVG).

Daarnaast heeft minister Grapperhaus de opdracht gegeven voor een project om de analysetool die de ingehuurde medewerker gebruikte te vervangen door een nieuwe tool genaamd Data Leakage Protection (DLP). Dit is een hulpmiddel dat een onderscheid kan maken tussen vertrouwelijke en niet-gerubriceerde informatie en het transport daarvan vroegtijdig kan signaleren. Tot slot wil Grapperhaus door middel van training het bewustzijn van beveiligingsrisico’s en de kennis van veilig digitaal werken van medewerkers vergroten. Hiervoor is het bewustwordingsprogramma ‘Weerbaar JenV’ bedacht.

De minister zegt geen aangifte te zullen doen tegen de ingehuurde medewerker. Wel zijn hij en zijn werkgever aansprakelijk gesteld voor de schade die de Staat heeft geleden of nog gaat lijden. Alle betrokkenen van het datalek zijn geïnformeerd over de uitkomsten van de onderzoeken en de maatregelen die de minister heeft getroffen. “Ik betreur het incident en zet met het opvolgen van de verbeteradviezen in op een nog betere bestendiging van dit veiligheidsaspect”, zo eindigt minister Grapperhaus zijn brief aan de Tweede Kamer.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen