Beheer

Security
Veiligheid CoronIT werd voor oplevering getest

'Veiligheid CoronIT werd voor oplevering getest'

Pentesten gedaan èn de registratie en doorgifte van data is getoetst.

25 januari 2021

Pentesten gedaan èn de registratie en doorgifte van data is getoetst.

Externe (onafhankelijke) experts hebben het IT-systeem CoronIT getest voor oplevering van het systeem voor testen. Dat gebeurde door zogenaamde pentesten. Ook de registratie én doorgifte van data is getoetst aan de regelgeving ten aanzien van de bescherming van persoonsgegevens. Dat schreef minister Hugo de Jonge begin januari in een brief aan de Tweede Kamer. Gisteren maakte RTL Nieuws bekend dat er grootschalig wordt gehandeld in miljoenen adresgegevens die zijn gehaald uit CoronIT en HPzone Light, de twee coronasystemen van de GGD.

Journalist Daniël Verlaan ontdekte de illegale handel in data uit de coronasystemen. In die systemen staan BSN's, huisadressen, mailadressen en telefoonnummers van Nederlanders die een coronatest hebben gedaan. De GGD zegt na de melding van RTL Nieuws direct maatregelen te hebben getroffen. De politie heeft twee mannen aangehouden die verdacht worden van de datahandel. Er is melding gemaakt bij de Autoriteit Persoonsgegevens die de zaak onderzoeken.

De Jonge schrijft in de brief van begin januari dat de registratie en doorgifte van data is getoetst, maar hij zegt niet hoe het toegangsbeheer van de applicatie is geregeld. En daar lijkt het mis te zijn gegaan, want volgens RTL Nieuws gaan criminelen actief op zoek naar mensen die toegang hebben tot CoronIT en HPzone en wordt hen gevraagd data uit de systemen te halen.

Toegangsbeheer

De GGD laat in een reactie op zijn website weten dat hij op verschillende manier controleert hoe medewerkers omgaan met informatie in de systemen. Toegang tot een persoonsdossier zou alleen mogelijk moeten zijn door mensen waarvoor dat voor hun werk noodzakelijk is. Dat wordt steeksproefsgewijs gecontroleerd, schrijft de GGD. Medewerkers moeten voordat ze aan de slag gaan een Verklaring van Goed Gedrag overhandigen.

De monitoring van het gebruik van de systemen wordt verder opgeschaald, schrijft de GGD verder. “We verwachten eind maart systemen te implementeren die automatisch en continu zullen controleren. Hier werken wij al geruime tijd aan.”

Het is niet de eerste keer dat het systemen van de GGD voor bron- en contactonderzoek onder vuur liggen. De Jonge schreef eerder al aan de Tweede Kamer dat de IT-keten die nu wordt gebruikt ter ondersteuning van het testen en het bron- en contactonderzoek voor Covid-19 niet berekend is op een pandemie. Dat blijkt uit een risicoanalyse. Hij nam toen ook maatregelen voor het inrichten van, wat De Jonge noemde, 'beter passend autorisatiebeheer'.

Lees meer over
Lees meer over Beheer OP AG Intelligence
3
Reacties
Mathijs Groen 30 januari 2021 15:45

Was het nou zo moeilijk om even een autorisatie matrix op te stellen?! En deze juist te implementeren?
Eerste klas informatiekunde...

Off topic:
NB:
Teleurstellend dat AGConnect geen overzicht oplevert van de nieuws/discussies waar je op gereageerd hebt. Dat zie je bij ieder forum. Denk ook aan mailtje krijgen als je er een nieuwe reactie geplaatst is... Zo kan het wel WERKEN om online discussies/gesprekken onder nieuwsberichten te voeren... Nogmaals, teleurstellend.

Rob van Damme 26 januari 2021 16:50

Het is toch allang bekend dat hackers tegenwoordig niet meer inbreken maar gewoon inloggen?
De grootste dreiging komt van binnenuit, van je eigen gebruikers.

tja 26 januari 2021 15:54

Was het gba bevraging niet een goed voorbeeld geweest hoe het wel zou moeten?
nee we willen alles weer nieuw uitvinden.
bij gba kan elke burger zelf opvragen wie in zijn data heeft lopen wroeten. en worden er meerdere controles ingebouwd

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.