Persoonsgegevens 65.000 ambtenaren gelekt

Netwerkkabels die verbonden zijn met een router

De persoonsgegevens van ongeveer 65.000 ambtenaren, voornamelijk van het ministerie van Justitie en Veiligheid, zijn op plekken beland waar ze niet thuishoren. Een oud-medewerker van het ministerie kopieerde de data naar meerdere overheidsomgevingen. Het datalek is direct gemeld bij de Autoriteit Persoonsgegevens. Momenteel lopen er drie afzonderlijke onderzoeken naar het incident.

Dat schrijft demissionair minister van Justitie en Veiligheid Ferd Grapperhaus in een brief aan de Tweede Kamer.

Oud-medewerker lekt grote hoeveelheden persoonsgegevens

Het lek werd op woensdag 30 juni aan het ministerie gemeld door de GGD GHOR, de overkoepelende organisatie van alle GGD-afdelingen in ons land. Tijdens een routinecontrole op het netwerk troffen medewerkers de gegevens aan. Daarna is de data ook aangetroffen bij het Openbaar Ministerie en in de werkomgeving van een voormalig werknemer.

Minister Grapperhaus schrijft dat een extern ingehuurde oud-medewerker -die kwaliteitscontroles uitvoerde op toegangsdiensten- een analysetool en de daaraan gekoppelde data naar een eigen werkomgeving had gekopieerd. Daarna deed hij hetzelfde naar twee andere overheidsomgevingen. Daarbij zijn de persoonsgegevens van zo’n 65.000 ambtenaren op plekken terecht gekomen waar ze niet behoren. Verreweg de meeste ambtenaren werken voor het ministerie van Justitie en Veiligheid. Een klein deel is werkzaam voor andere departementen.

Door het datalek zijn zaken als naam, organisatie, soort dienstverband, ID- of paspoortnummer, Rijkspasnummer, e-mailadres, geboorteplaats, geboortedatum, geslacht en nationaliteit uitgelekt. Minister Grapperhaus benadrukt dat het lek geen privéadressen, telefoonnummers of wachtwoorden bevat.

Minister Grapperhaus laat drie onderzoeken uitvoeren naar datalek

De werkwijze van de voormalige medewerker druist tegen de regels in. Minister Grapperhaus zegt dat het nadrukkelijk verboden is om vertrouwelijke of privacygevoelige informatie op onveilige apparatuur te verwerken. “Deze informatie moet altijd met grote zorgvuldigheid worden behandeld en die zorgvuldigheid is hier met voeten getreden”, aldus de minister. Hij vindt het ‘zeer kwalijk’ dat de oud-medewerker de analysetool en persoonsgegevens naar diverse overheidsomgevingen heeft kunnen kopiëren.

Grapperhaus laat het er niet bij zitten. Hij heeft drie afzonderlijke onderzoeken aangekondigd naar het datalek. De Auditdienst Rijk (ADR) heeft de opdracht gekregen om in kaart te brengen hoe het incident heeft kunnen plaatsvinden en welke maatregelen het ministerie kan nemen om herhaling in de toekomst te voorkomen. De dienst kijkt daarbij naar werkprocessen, systemen en waarborgen binnen het departement. Doel is om beveiligingsrisico’s te identificeren en verbeterpunten te formuleren.

Het ministerie van Justitie en Veiligheid heeft cybersecuritybedrijf Fox-IT gevraagd om forensisch onderzoek uit te voeren. Minister Grapperhaus wil hierdoor te weten komen of mensen buiten het ministerie om toegang hadden tot de persoonsgegevens van de ambtenaren. Het Integriteitsbureau van de Dienst Justitiële Inrichting (DJI) onderzoekt de ‘feitelijke handelingen rond dit incident’ op de werkvloer.

Betrokken ambtenaren zijn op de hoogte gebracht van het lek

“In totaal lopen nu dus drie onderzoeken naar dit informatiebeveiligingsincident. Op advies van de beveiligingsautoriteit van mijn ministerie wordt op basis van de uitkomsten van deze onderzoeken bekeken of nadere stappen moeten worden ondernomen”, zo schrijft minister Grapperhaus aan de Tweede Kamer.

Alle ambtenaren die betrokken zijn bij dit beveiligingsincident en de bestuurders van de getroffen organisaties, zijn vrijdag geïnformeerd door het ministerie van Justitie en Veiligheid. Medewerkers die vragen hebben kunnen terecht bij een centrale mailbox die het ministerie heeft geopend. Het datalek is na de ontdekking direct gemeld bij de Autoriteit Persoonsgegevens.

Update (13 oktober 2021): minister Grapperhaus laat via een brief aan de Tweede Kamer weten dat hij maatregelen heeft getroffen om een nieuw voorval als deze te voorkomen. Uit onderzoeken van het Integriteitsbureau van de Dienst Justitiële Inrichting (DJI), Fox-IT en Auditdienst Rijk (ADR) bleek dat er ruimte voor verbetering was.

In de eerste plaats worden werkafspraken en procedures aangescherpt bij de inhuur van externe medewerkers en het databeheer binnen de betrokken afdeling. Ook wordt er gekeken of het mogelijk is om minder informatie beschikbaar te stellen aan externe arbeidskrachten. De analysetool die de ingehuurde medewerker gebruikte wordt op termijn vervangen door een nieuwe tool genaamd Data Leakage Protection (DLP).

Tot slot wil de minister medewerkers van zijn ministerie meer bewust maken van beveiligingsrisico’s en hun kennis over digitaal werken vergroten. Zij kunnen binnenkort een uitnodiging verwachten om deel te nemen aan het bewustwordingsprogramma ‘Weerbaar JenV’.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen