Ik vind het echt bijzonder als iedereen op je afdeling complete exportlijsten mag maken. Is dat noodzakelijk voor je werk? Ik heb ook een integriteitsverklaring ingevuld maar dan nog heb ik niet overal toegang toe. Ookal ben ik zelf integer, mensen kunnen misbruik maken van mijn integriteit, ik kan fouten maken, gehackt worden. Dan nog moet mijn toegang zoveel mogelijk beperkt en gelogd en gemonitord worden. Vergelijk het met de voordeur open laten staan als je weggaat, omdat je zegt dat er toch alleen maar integere mensen in je straat wonen.
Die vergelijking gaat niet helemaal op. In je straat wonen wellicht integere mensen, echter kan iedereen in jouw straat komen en dus via de openstaande deur binnenwandelen. Bij een bedrijf waar mensen een integerheidsverklaring moeten ondertekenen, kunnen alleen zij bij die informatie. Als ik daar binnen wandel kan ik daar niet bij. Dan zou je beter kunnen vergelijken: ik geef alle buren in de straat een sleutel van mijn huis, want het zijn integere mensen die daar geen misbruik van maken. Dan kan het toch voorkomen dat een buur bijv onder druk met die sleutel jouw huis in gaat en daar wat steelt. Want dat is in feite wat er nu bij de GGD is gebeurd, mensen hebben misbruik gemaakt van hun positie. En wellicht was een betere beveiliging of minder toegang tot bepaalde data beter geweest. Dat kan ik echter vanuit mijn huis niet beoordelen.
De eerste vraag is of die gegevens noodzakelijk zijn voor het uitvoeren van het werk. Dan moet je ook rekening houden met het koppelen aan andere systemen. En ik kan me ook voorstellen dat er ook een afweging gemaakt wordt hoe snel die medewerkers aan de slag kunnen. En dat er geen tijd was om systemen aan te passen, maar dat er dus gebruik is gemaakt van bestaande systemen. Ik weet ook niet of er een VOG gevraagd is. Die krijg je meestal snel, maar als je niets op je kerfstok hebt, dan zegt zo'n VOG ook niet veel. De vraag is dan wel of die medewerkers direct toegang hadden tot heel de database. Dus dat ze 1 uitdraai konden maken met alle gegevens. Of dat het toch handwerk was. Als het met 1 druk op de knop te doen was, dan zal er vast onderzocht worden of dit inderdaad bekend was dat die mogelijkheid er was en zo ja, wat dan de risicoinschatting is (vs tijd).
Ja, bij ons is het noodzakelijk, aard van ons werk. Er is wel geprobeerd om meer beperkingen op te leggen, maar dat zou het werk zodanig lastig maken, dat ze daarvoor niet gekozen hebben. En vanuit de AVG mogen ze ook niet collega's checken waarin ze allemaal in neuzen, tenzij er aanwijzingen zijn dat er onrechtmatig gebruik wordt gemaakt van gegevens. Dus wij zitten meer op de controle achteraf, zodat er aan de voorkant genoeg ruimte is om iedereen zijn werk te kunnen laten doen.
Ja, zo begreep ik het ook. Helaas beschikt niet iedereen over een juiste integriteit, daar ben ik de afgelopen dagen al meerdere keren tegenaan gelopen Wat betreft het bsn nummer.. deze is natuurlijk uniek voor een persoon. Naam en geboortedatum niet. Ook is de GGD onderdeel van de overheid. En het bsn nummer wordt veelal gebruikt in de communicatie tussen overheid en burger. Dus bv om de uitslag van een coronatest door te geven. Maar geen idee of het bsn nummer daarvoor noodzakelijk is..
Vast niet, maar het is wel het meest uniek. Anders zou je een combi van gegevens moeten gebruiken, en dat zijn natuurlijk ook gegevens. En dan is er ook weer een grotere kans op fouten. Even ter illustratie: bij mijn huisarts van vroeger was er iemand met dezelfde voorletter en achternaam én hetzelfde geboortejaar... Kun je je voorstellen hoeveel Jannen de Vries er zijn uit 1950?
Mijns inziens hoort dat er hier niet in, een BSN, het is een vaccinatie die niet bij de zorgverzekeraar gedeclareerd wordt. Het enige waar zij hem voor lijken te gebruiken is het koppelen van gegevens en dat je op "mijn overheid" je uitslag in kan zien. Sorry maar voor het koppelen aan andere systemen daar zijn andere methodes voor en is "mijn overheid" nou écht zo relevant? Sowieso vind ik het behoorlijk wat gegevens voor een prikje of een testje zeg maar. Gewoon ronduit overkill. Dat je iemands leeftijd en postcode wilt weten voor de statistieken en de naam zodat je voorkomt je dat pietje komt als je kees verwacht. Maar je kan gewoon een code op je test zetten en dezelfde code meekrijgen. Het enige wat je wilt weten is het positief of niet. Hoeft naar mijn idee geen verdere gegevens bij. Stempel in je vaccinatiepaspoort/bewijs is ook prima. Wil je bron en contact onderzoek mogelijk maken of mensen kunnen bellen als de teststraat in de hens is gegaan of onbemand en de afspraak verzetten, vooruit telefoonnummer dan nog maar dan houdt t wel een beetje op mijns inziens. Plaats de procedure in meerdere talen centraal onder de plek waar je je testuitslag ophaalt met je code. De GGD spreekt zichzelf toch tegen, zoals menigeen na 2-3 telefoontjes aan de lijve heeft ondervonden. Ik werk dan met datawarehouses waarbij je bedrijfsinformatie systemen samenvoegt met een hele laag logica om er gestructureerde data uit te krijgen. Het is meer voor analyse werk, dus iets ander doel dan CRM pakketten enzo. Ik ken de logica, beveiligingen en kan bij de databases zelf dus kan heeeeel veel maar wij gooien er wel heel wat beveiligingen overheen. Wachtwoorden hashen is bijv al een basis ding (versleutelde wachtwoorden) net als 2factor authentication, rowlevelsecurities en domaincontrolled access. In applicaties die we gebouwd hebben zijn exports bijv ook beperkt, bepaalde velden KAN je niet exporteren (ik wel, maar een reguliere gebruiker niet) echter houden we ook van alles bij wie wanneer gelogd heeft op een server en zonder een geldige reden mogen wij niet op een server van de klant. Alles moet verantwoord kunnen worden. Ik zelf wil omwille van privacy in datawarehouses geen herleidbare klantgegevens in hebben staan en wat er in komt is al beperkt en afgeschermd voor het doel wat het heeft. BSN wordt bij ons bijv. nooit opgenomen, voor analyses heeft het geen nut. Geboortedatum boeit ook niet, geboortejaar is voldoende voor nagenoeg alles. Huisnummers en straten vertik ik eveneens, postcode kan je krijgen. Ondanks alle beveiligingen heb je gewoon een risico en iedereen heeft een prijskaartje, je moet alleen het goede bieden (of goed genoeg dreigen, er zijn niet alleen kopers maar ook bendes die uit zijn op data, dat wordt nog wel eens vergeten) wat er niet in zit kan ook niet misbruikt worden. Dan hou je wel bedrijfsinformatie over etc. maar voor de winstcijfers is er toch al een jaarrekening plicht bij de meesten. Wil je ook niet op straat hebben, maar is een andere orde dan persoonsgegevens.
Ik volg je niet helemaal hoor (ICT gaat boven mijn pet), maar het bsn nummer wordt lijkt mij niet gebruikt voor de statistieken, maar voor de identificatie. Dan heb je niks aan alleen geboortedatum en naam. Een uniek testnummer zou dat wellicht wel kunnen ondervangen inderdaad.
Zelfs met bsn nummer en geboorte datum kunnen dingen fout gaan. Zo heeft mijn vader eens mijn pil vergoed gekregen.. we hebben 1 dezelfde voorletter.
Identificatie of jij bij die teststraat staat kan prima zonder BSN, als jij bij een winkel een afspraak maakt op een bepaald tijdstip heb je ook voldoende aan je naam en het noemen van het tijdstip. Dat je dan de foto van t id (met de naam) met persoon wilt vergelijken, ala, hooguit dat je tweelingbroer met dezlefde initialen daar gaat staan maar dat heeft ook weinig nut en al helemaal geen belang, je gaat niet voor je lol. Ik zie echt t nut niet voor t vastleggen van BSN voor een test. Anders dan die koppeling naar mijn overheid, ja goed bij, verplichte verklaringen voor reizen. Maar dat doet de GGD niet, die geeft geen papiertje af namelijk.
En door BSN kon het zo gekoppeld worden aan DigiD, dat gebruikt iedereen al langer, ook wel praktisch lijkt me.
Ik vermoed dat de GGD op basis van de Wet Publieke Gezondheid zelfs verplicht is het BSN vast te stellen van iedereen waarbij Corona wordt vastgesteld. Daarnaast is het BSN het enige unieke identiteitsgegeven en wil je wel dat medische gegevens aan de juiste persoon gelinkt zijn. Tot slot, het is gekoppeld aan een digitale inlog op basis van DigiD. Ook daar is je BSN het unieke kenmerk. Maar als je twijfels hebt over het gebruik van het BSN door de GGD, dan kun je het beste checken bij de AP. Ongetwijfeld hebben ze iets op hun website staan hierover en anders kun je ze een vraag stellen. Qua beveiliging...nee de GGD had het niet op orde. Het is niet alleen een integriteitskwestie. Een organisatie is buiten het zorgen voor integer personeel (wat onderdeel is van je informatiebeveiliging) ook verplicht om inzage van (bijzondere) persoonsgegevens te beperken tot dat wat noodzakelijk is. Dan kun je je afvragen of alle medewerkers bij alle testgegevens moeten kunnen. En verplicht om goed te loggen en logging te checken. En dan moeten abnormale bevragingen normaal gesproken ook aan het licht komen, bijvoorbeeld door het gebruik van een systeem dat abnormale activiteit in logging signaleert (een SIEM), maar desnoods handmatig als men het niet goed ingeregeld heeft. Dit had de GGD niet op orde.
GGD heeft jouw wachtwoorden toch niet? Mijn Google account is ooit ook gehackt. Maar dat ligt dan toch echt aan de beveiliging van Google. En niet aan die van de GGD. Zwakste punt van databeveiliging is de mens die ermee werkt. Heel lullig dat dit is gebeurt. Die mensen zijn ook gepakt nu toch? Neem aan dat daar een passende straf zal volgen. En dat ze bij de GGD nog eens goed hun beveiliging gaan nalopen.
Oeh. Complot van de complotwappies tegen de overheid .... Zou kunnen natuurlijk. Maar ik denk eerder een paar gasten die dachten makkelijk binnen te lopen.
De AVG geldt ook andersom: je mag werknemers niet zomaar volgen in hun activiteiten. Lastig hoor, die QVG. Soms denk ik dat die meer problemen veroorzaakt dan oplost.
Bij het RIVM zijn in het afgelopen etmaal 3.997 positieve coronatests gemeld, iets minder dan het gemiddelde van de afgelopen zeven dagen (5.090). Het is voor het eerst sinds 24 november dat minder dan vierduizend positieve tests worden gemeld. --- Ok, dan het enige positieve nieuws van vandaag.
Ik vraag me steeds meer af hoeveel je aan deze cijfers hebt. Zijn er cijfers over het aantal testen in totaal? Laten mensen zich misschien nu minder snel testen. Omdat ze bijv al vaak genoeg getest zijn en geen zin meer hebben? Ik vraag me dit af omdat de ziekenhuisopnames niet echt dalen. Ook het bericht dat er bijv in Charlois weinig testbereidwilligheid is. Ik ben erg benieuwd wat daaruit komt.
Nou.... niks positief https://www.nu.nl/coronavirus/6112389/minder-optimisme-bij-rivm-daling-stagneert-en-britse-variant-rukt-op.html Hoewel in de afgelopen week minder nieuwe besmettingen met het coronavirus zijn gemeld dan in de voorgaande week, neemt het optimisme bij het RIVM af. De ingezette daling van het aantal nieuwe positieve tests stagneert. "De Britse variant rukt op, deze mutatie drukt zijn stempel", vertelt RIVM-topvrouw Aura Timen in gesprek met NU.nl.
Ik vraag me af, STEL er gaan massaal minder mensen testen (en hopelijk dan maar 10-14 dagen binnen gaan zitten en doen alsof ze besmet zijn), dan droppen de relatieve aantallen maar heb je dik kans dat t percentage getest en positief bevonden ineens een stuk hoger komt te liggen als mensen alleen met de typische verschijnselen gaan testen. Gaan we dan de rekenmethode weer omgooien? IC bezetting, Ziekenhuisbezetting, aantal besmet, dan ratio getest / positief. Mijn schoonouders vertikken t sowieso om een BSN af te geven dus die kunnen al sinds t begin niet getest worden. Maar meerdere om me heen die ik hoor dat ze dus maar niet meer gaan testen en liever binnen gaan zitten en uitzieken, ongeacht wat men zegt over beveiliging. Anoniem testen, desnoods tegen kosten, vindt men geen probleem. Das best zorgelijk...Alhoewel ik ineens een unieke business case voorzie voor commerciele testbedrijven! Nu nog een lab wat daar mee om kan gaan.