Door vergaande slordigheid van een justitiemedewerker zijn alle persoonsgegevens van bewaarders van de gevangenis in Lelystad letterlijk op straat komen te liggen.
De medewerker van de Dienst Justitiële Inrichtingen zette in een Haagse volkswijk een computer bij het grofvuil, maar verzuimde het interne geheugen van het apparaat te wissen. Een inwoner van Den Haag vond de computer en leverde de harde schijf afgelopen week af bij de Telegraaf.
Na onderzoek bleken onder meer alle namen en verdere persoonlijke gegevens als telefoonnummers, ziekteverzuim en verlofaanvragen van de bewaarders kinderlijk eenvoudig te achterhalen.
Medewerkers van de strafinrichting in Lelystad reageerden geschokt toen ze door de Telegraaf op de hoogte werden gesteld van het uitlekken van hun persoonsgegevens.
Achtergrond:
In dit geval gaan er een aantal zaken mis:
Los van deze technische maatregelen gaat er nog wat anders mis en dat is dat er geen lessons learned is geweest van een eerdere overtreding van de regels in 2006, het Tonino-incident. Lessons learned zijn een belangrijke element voor de maatregel om de bewustwording bij medewerkers te verhogen.
Immers: in het verleden uitgevoerde, maar ook in recent uitgevoerde onderzoeken blijkt nog steeds dat het (bewust of onbewust) foutief handelen van de medewerkers nog te vaak leidt tot beveiligingsincidenten met alle gevolgen van dien, zoals hierboven.
De medewerker van de Dienst Justitiële Inrichtingen zette in een Haagse volkswijk een computer bij het grofvuil, maar verzuimde het interne geheugen van het apparaat te wissen. Een inwoner van Den Haag vond de computer en leverde de harde schijf afgelopen week af bij de Telegraaf.
Na onderzoek bleken onder meer alle namen en verdere persoonlijke gegevens als telefoonnummers, ziekteverzuim en verlofaanvragen van de bewaarders kinderlijk eenvoudig te achterhalen.
Medewerkers van de strafinrichting in Lelystad reageerden geschokt toen ze door de Telegraaf op de hoogte werden gesteld van het uitlekken van hun persoonsgegevens.
Achtergrond:
- DJI moet zich, net als alle andere rijksoverheidsdiensten conformeren aan de richtlijnen van de Baseline Informatiebeveiliging Rijksdienst, kortweg de BIR;
- De BIR is gebaseerd op de internationale standaard voor informatiebeveiliging NEN/ISO 27001:2005 en NEN/ISO 27002:2007, aangevuld met specifieke beveiligingsmaatregelen voor het binnen de Rijksdienst gangbare vertrouwelijkheidsniveau Departementaal Vertrouwelijk en voor de verwerking van persoonsgegevens vallend onder WBP risicoklasse 2;
- Voor elk onderdeel van de Rijksdienst geldt een 'pas-toe of leg-uit' principe voor de implementatie van de BIR;
- In de BIR staan enkele beveiligingsmaatregelen voor tele/thuiswerken, die in dit geval van toepassing zijn:
- er behoren beleid, operationele plannen en procedures voor telewerken te worden ontwikkeld en geïmplementeerd;
- er wordt een beleid met gedragsregels en een geschikte implementatie van de techniek opgesteld t.a.v. telewerken;
- de telewerkvoorzieningen zijn waar mogelijk zo ingericht dat op de werkplek (thuis of op een andere locatie) geen bedrijfsinformatie wordt opgeslagen (“zero footprint”) en mogelijke malware vanaf de werkplek niet in het vertrouwde deel terecht kan komen.
In dit geval gaan er een aantal zaken mis:
- De DJI medewerker heeft persoonsgegevens van bewaarders op zijn privé PC verwekt, dit had alleen binnen het domein van DJI mogen plaatsvinden;
- De DJI medewerker heeft de persoonsgegevens 'lokaal op zijn PC' verwerkt, terwijl er (verplichte) afspraken zijn gemaakt over de geaccepteerde (en veilige) tele/thuiswerk voorzieningen; deze maken immers gebruik van een zero-footprint principe. Gegevens worden dan alleen 'in een venster getoond' en niet getransporteerd naar het endpoint, de PC van de tele/thuiswerker;
- de DJI medewerker had daarom zijn PC moeten opschonen, de hard-disk-drive had gewist moeten worden, conform de regels: overschrijven met willekeurige karakters met een goedgekeurd product, zoals bijvoorbeeld van Blancco, of fysiek uitgenomen/vernietigd moeten worden.
Los van deze technische maatregelen gaat er nog wat anders mis en dat is dat er geen lessons learned is geweest van een eerdere overtreding van de regels in 2006, het Tonino-incident. Lessons learned zijn een belangrijke element voor de maatregel om de bewustwording bij medewerkers te verhogen.
Immers: in het verleden uitgevoerde, maar ook in recent uitgevoerde onderzoeken blijkt nog steeds dat het (bewust of onbewust) foutief handelen van de medewerkers nog te vaak leidt tot beveiligingsincidenten met alle gevolgen van dien, zoals hierboven.
