Beheer

Security
Coronatest

Opnieuw problemen met ICT-systeem van de GGD

Implementatie DigiD-inlog voldoet niet aan de eisen.

© Rijksoverheid
10 februari 2021

Implementatie DigiD-inlog voldoet niet aan de eisen.

Er zijn opnieuw problemen met het ICT-systeem van de GGD. Er zou "geen sprake zijn van een onveilige situatie".

Dat meldt demissionair minister Hugo de Jonge van Volksgezondheid in een brief aan de Tweede Kamer. Het gaat om de beveiliging van coronatest.nl, de site waarop mensen een testafspraak kunnen maken of een uitslag van een coronatest kunnen vinden. Om in te loggen op de site is een DigiD nodig. Daarvoor gelden bepaalde beveiligingseisen. Volgens toezichthouder Logius voldoet de GGD op zes punten niet aan die eisen.

Inmiddels heeft de GGD op vier punten de problemen aangepakt maar "op twee punten is de gestelde termijn niet behaald", schrijft de bewindsman. De GGD overlegt nu met de toezichthouder over de termijn waarop ook aan de laatste twee eisen moet worden voldaan.

Onlangs kwam de GGD nog in opspraak door datadiefstal. Er zijn hiervoor al meerdere mensen opgepakt. Ze worden verdacht van de verkoop van persoonsgegevens uit de systemen die de GGD gebruikt voor de coronatesten.

Privégegevens van tienduizenden Nederlanders, waaronder medische gegevens, belandden op straat doordat veel GGD-medewerkers hier toegang tot hadden. Dat werd onthuld door RTL Nieuws. Het probleem was al langer bekend bij de GGD.

Problemen in categorie 'Hoog risico'

Volgens de NOS voldeed de GGD al niet aan een aantal beveiligingseisen sinds de lancering van de site coronatest.nl in augustus. In drie gevallen ging het om problemen van de categorie 'hoog risico' en drie keer werden de deadlines om aan de eisen te voldoen niet gehaald, aldus de NOS die vertrouwelijke stukken over de problemen heeft ingezien.

Het is een nieuwe tegenvaller voor De Jonge. Hij moest eerder in de Tweede Kamer door het stof vanwege de datadiefstal. Hij kreeg toen van veel partijen scherpe kritiek. De Jonge moest toen erkennen dat er onvoldoende aandacht is geweest voor dataveiligheid.

Lees meer over
Lees meer over Beheer OP AG Intelligence
4
Reacties
Rob van Damme 10 februari 2021 13:01

@M R MARCIE
Ik werk voor zo een ICT bedrijf en heb elk jaar te maken met DigID audits bij een paar overheidsklanten, de DigID audits zijn zwaarder dan de ISAE3402 audits, maar niet moeilijk aan te voldoen als je als IT-er je werk goed doet.
Dus niet pas hard gaan lopen in de week voordat de auditor komt, maar gewoon altijd je werk toetsen tegen de controls.
Er is altijd wel een control die niet goed gaat, die corrigeer je dan of legt uit (comply or explain).
Maar als je zelfs na een hercontrole niet in staat bent om compliant te zijn (bij high critical controls) ben je als IT bedrijf verkeerd bezig, maar ook als GGD.
En ja, winst is natuurlijk ook een ding, als IT bedrijf wil je natuurlijk geld verdienen, je werkt niet voor de liefdadigheid.

MR 10 februari 2021 12:55

Volgens toezichthouder Logius voldeed de GGD op zes punten niet aan de eisen. Twee van die zes problemen zouden nog niet zijn verholpen. Zie ik in een veranderende coronawereld nu echt 16-december-2016 op het basisdocument staan?
Bron:
https://logius.nl/diensten/digid/ict-beveiligingsassessments-digid/docu…
#DigiD #GGD #datalek #cyberriskassessment #cyberleadership #cyberdefence

M r Marcie 10 februari 2021 12:45

@RobvanDamme Die ICT bedrijven doen denk ik gewoon wat ze gevraagd wordt, houden hun mond en kunnen daarna weer peperdure facturen sturen. Is deels geklungel van de overheid maar denk ook deels winstbejag van die bedrijven.

Rob van Damme 10 februari 2021 12:24

Wat een knullig gedoe daar, je weet wat de eisen in de controls zijn, je hoort dat iets niet in orde is, en lost dat op, vóór de nacheck.
Zo moeilijk is dat niet.
Misschien tijd dat ze een andere IT leverancier nemen.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.