Minister Hugo de Jonge (VWS) kreeg op zijn kop van de Tweede Kamer om zijn lakse reactie op het datalek bij de GGD. Hij beloofde ervoor te zorgen dat de persoonsgegevens van Nederlandse burgers beter beschermd zouden worden. Maar hoe dan? Moeten de GGD-systemen worden vervangen? Of is oplappen het devies?
De bewindsman kreeg gisteren in de Kamer veel kritiek op zijn volgens velen nonchalante reactie op het datalek bij de GGD. Vorige week bleek dat GGD-medewerkers toegang hadden tot privégegevens van burgers die zich hebben laten testen op het coronavirus. Een onbekend aantal gegevens is vervolgens te koop aangeboden. Hij beloofde beterschap en er voor te zorgen dat GGD-medewerkers niet meer zo maar bij persoonlijke gegevens van geteste burgers kunnen komen.
Maar wat is de beste oplossing, nu tevens is gebleken dat het GGD-landschap verouderd is en al maanden lek? Vernieuwen zoals de GGD wil, en specifiek het systeem HPZone Lite door een ander registratiesysteem. Dat vindt het RIVM (Rijkinstituut voor Volksgezondheid en Milieu) geen goed idee. Directeur Jaap van Dissel waarschuwt in een brandbrief dat een te snelle overstap op iets nieuws het zicht houden op en het inzicht hebben in de verspreiding van het coronavirus nadelig kan beïnvloeden.
Of volstaat het doorvoeren van een aantal basale it-veiligheidsmaatregelen die volgens een opinie op Computable.nl niet of onvoldoende zijn genomen? Zoals het beperken van het aantal opvragen per dag, voorkomen van downloaden van complete lijsten, afschermen van een deel van het burgerservicenummer (bsn) en stevige monitoring op ongebruikelijk gedrag. Zaken die door ervaren it’ers in een paar weken zijn te realiseren.
Wat vindt u: vernieuwen of oplappen?
De vraag of er wel of niet nieuwe systemen moeten komen voor de GGD is ongetwijfeld een interessante. Maar dat midden in een Corona crisis voorstellen is bijzonder dom.
Wie van ons in ICT-land heeft een overheidsproject binnen 2 jaar, zonder incidenten en vertragingen zien lukken?
Dus constateren dat er straks iets moet gebeuren prima, maar nu even niet!
Wat je technisch met en procedureel rond HPZone Lite kan doen om de problemen op te lossen, dat weet ik niet. De voorstellen van Ap zijn wellicht voldoende. De makers en beheerders van het systeem kunnen dit het beste aangeven. De vraag is of het vervangen van systemen nu de beste oplossing is. Het is vanuit change management heel riskant om bij zo’n warrige klant in zo’n hectische tijd primaire systemen te gaan vervangen. Is er bijvoorbeeld genoeg tijd voor conversie en testen? De kans is groot dat ze uiteindelijk in een situatie komen waarbij ze een oud en een nieuw systeem in de lucht moeten houden met overlappende data en een extra database moeten beveiligen.
Het RIVM is terecht bang dat hun informatievoorziening door een nieuw GGD systeem in het geding komt. VWS zou de regie van het ketenmanagement op zich moeten nemen, dus ook moeten beslissen of ze de HPZone omgeving verder gaan aanpassen of vervangen.
Er zijn allerlei operationele en organisatoische risico’s te bedenken als je tijdens een crisis veranderingen aan gaat brengen in je informatiesystemen. Eén van de risico’s is dat je lekken dicht en daarmee ook bepaalde gebruikers afsluit van informatie. Als gevolg van exportfuncties staan persoonsgegevens op fileshares, USB disks en liggen uiteindelijk op straat want het is algemeen bekend dat onderzoekers individuele rechten zoals privacy en keuzevrijheid als sta-in-de-weg zien. De vraag of we individuele rechten laten vervallen als het algemene belang in gevaar komt is een lastige maar wel één waar we goed over moeten nadenken:
“In challenging times one must question the accepted reality because things are going wrong, rapid answers are needed and the solution may well be found outside the usual compass.” – Winston Churchill
We gaan wellicht voorbij aan de essentie. Wat is er mis?
je mag aannemen dat er een architectuur is en een ontwerp.
Er zal destijds niet voldaan zijn aan de design principes zoals deze nu in de privacywetgeving zijn opgenomen. Maar er is natuurlijk wel een scan gedaan zodra deze wet in werking trad of de systemen daar nog aan voldoen. En er is natuurlijk ook een budgetaanvraag geweest om die aanpassingen door te voeren?
niet? Dat is dat een mooi startpunt.
Maar het is natuurlijk ook nog eens zo dat hier in een voor de overheid zeer korte tijd een compleet systeem is neergezet. Vanzelfsprekend zijn hier shortcuts genomen ook in ontwerpen, bouwen, testen en evaluatie. Daar zullen we mee moeten dealen en dat mag mijns inziens ook wel in een crisissituatie.
De misbruikers moeten wat mij betreft zwaar worden bestraft. Die hebben namelijk ernstig misbruik gemaakt van de situatie en het vertrouwen.
Churchill had wat mij betreft een punt.
Met Luuk eens dat je soms, in tijden van crisis, hazepaadjes moet nemen om snelheid te winnen. Wij hebben in de tijden van bestrijding van mond en klauwzeer en varkenspest ook snel, maar niet super afgeschermde systemen neergezet. In zo’n situatie, eigenlijk in alle gevallen, is screening van de medewerkers op betrouwbaarheid en chanteerbaarheid, dan ook zeker nodig.
Dat is op korte termijn overigens ook niet te regelen.
Ik zou in dit geval toegang tot de “export” functie hebben beperkt tot een paar betrouwbare en gescreende mensen. Laat onverlet dat iedereen achter een scherm ook gegeven kan overnemen door ze handmatig te kopieren. Het blijft altijd puzzelen.
Hoezo challenging times? De overgangsperiode naar de AVG was van 24 mei 2016 tot 24 mei 2018. Daarvoor gold de Wet bescherming persoonsgegevens inwerking getreden op 1 september 2001. Daarvoor gold al de Wet persoonsregistraties in werking getreden op 1 juli 1989. Als het in begin 2020 alsnog zo gigantisch mis gaat, dan is er geen sprake van “challenging times” maar van ernstige nalatigheid. En die kon je ook al voor 1 juli 1989. ook al aangerekend worden. De GGD GHOR heeft dit probleem geheel aan zichzelf te danken. Of mogen we ook een paar decennia langer 130 kmh op de snelweg blijven rijden?
Hier moet duidelijk snel “opgelapt” worden, waarna men zeker een nieuw (moderner, flexibeler en veiliger) systeem moet gaan bouwen. Na deze crisis komt er met de tijd ongetwijfeld weer een nieuwe situatie, waarin we als burgers er zeker van dienen te zijn dat een instantie als de GGD betrouwbaar en veilig met onze persoonlijke gegevens omgaat. Daarnaast is er heel wat te verbeteren aan de algehele informatievoorziening, gebruiksvriendelijkheid en flexibiliteit. Er zijn tegenwoordig prima technieken om snel en betrouwbaar “op te lappen” en te vernieuwen.
Dus Overheid: Kom in beweging! Immers, de hierboven ook reeds aangehaalde Winston Churchill wist het al …: “Never waste a good crisis”
Ik ken dat HPzone Lite niet maar hopelijk is er een WebAPI waar de frontend UI mee praat en die helemaal los staat van de schermgeneratie of de Windows-applicatie. Zo niet hebben ze misschien – al of niet distributed – dynamic link libraries. Zo niet, hebben ze dan hopelijk in ieder geval 2-laags SQL client server direct vanuit de UI. Als dat laatste het geval is, moeten ze dus een WebAPI om die database heen bouwen waarbij ze met een beetje geluk in ieder geval de oude COM-libraries kunnen gebruiken. Zo niet, moeten ze eerst alle procesfunctionaliteit in stored procedures gaan herschrijven. Als het SQL Server is hebben ze geluk en kunnen ze COM en .Net Libraries redeployen als CLR Stored Procedures. Dat zou echt enorme mazzel zijn. Als ze meerdere database-instances hebben, moeten ze API multitenant naar de databases maken middels een reverse-proxy. Ik ga ervan uit dat er een genormaliseerd en goed relationeel datamodel achter zo’n applicatie zit. Als dat ook niet het geval is, moeten ze achter een nieuw te ontwikkelen database met de data van de oude omgeving gaan praten met een soort ad hoc gebouwde API met screen grabbers of zo. Maar zo gruwelijk zal het allemaal vast niet wezen.
“Never waste a good crisis”, dat wisten die gasten die de exportfunctie gebruikten vast ook.
dan maar advertentie zetten, gezocht : “een paar betrouwbare en gescreende mensen” 😛
Je moet het natuurlijk niet oplappen noemen, zo onprofessioneel.
Continuous improvement, kortcyclisch waarde toevoegen.
Business as usual.
@Rob,
Ik vraag me af hoeverre het MVC model voldoende is doorgevoerd om de data mbv van microservices te kunnen ontsluiten.
Zeker wanneer de service mesh de CLR stored stored procedure API aanpak gewoonweg onmogelijk maakt.
Geen probleem als je het niet kunt volgen. Het klinkt tenslotte zeer interessant.
@Rob … BINGO!
oh, dacht even dat het de meer technische variant van bullshit-bingo was