Data van 65.000 ambtenaren op straat na fout van IT-consultant
De persoonsgegevens van maar liefst 65.000 ambtenaren zijn op straat komen te liggen, door toedoen van een fout van een externe IT-consultant.
“Op dit moment heb ik geen indicatie dat deze gegevens door onbevoegden zijn ingezien of gebruikt”, zegt Ferdinand Grapperhaus, demissionair minister van Justitie en Veiligheid (J&V), in een brief aan de Tweede Kamer. “Het onderzoek dat hierover uitsluitsel moet geven, is nog niet afgerond.”
Daarnaast is het ook niet bekend voor welke IT-dienstverlener of welk adviesbureau de desbetreffende IT-consultant werkte. Wel laat Grapperhaus weten dat de externe medewerker op het ministerie van J&V kwaliteitscontroles uitvoerde op toegangsdiensten, zoals de Rijkspas, waarmee ambtenaren en andere bevoegden overheidsgebouwen kunnen betreden.
Tijdens de kwaliteitscontroles heeft de IT-consultant – “tegen de regels in” – software gekopieerd naar “zijn eigen werkomgeving”, schrijft Grapperhaus. Vervolgens kopieerde de adviseur de software ook naar de digitale omgeving van twee andere overheidsdiensten. Bij deze drie stappen kopieerde de externe medewerker niet enkel de software maar ook de bijbehorende data.
Het gaat om gegevens van circa 65.000 medewerkers, “waarvan een klein deel niet bij J&V-organisaties werkt”, zegt Grapperhaus, die meldt dat het om uiteenlopende data gaat. Denk onder meer aan paspoortgegevens, het soort dienstverband van een medewerker en zijn of haar Rijkspasnummer. “Het datalek bevat geen privéadressen, telefoonnummers of wachtwoorden”, verzekert hij.
Tijdens een routinecontrole bij koepelgezondheidsorganisatie GGD GHOR trof een andere IT-medewerker de gekopieerde data aan op het netwerk. “Dat is direct aan mijn ministerie gemeld. Daarna is de data ook aangetroffen bij het Openbare Ministerie.” De gelekte data is inmiddels verwijderd, zo is te lezen in de brief.
De waarheid naar boven halen
“Ik betreur het incident zeer en neem dit hoog op”, benadrukt Grapperhaus, die kort na de ontdekking drie onderzoeken startte. Het eerste wordt uitgevoerd door de experts van ADR – de onafhankelijke interne auditor van het Rijk. Zij zullen de komende tijd de beveiligingsrisico’s en verbetermogelijkheden vaststellen, “teneinde incidenten in de toekomst te voorkomen”.
Het tweede onderzoek is forensisch van aard. Hiervoor is Fox-IT ingeschakeld, een Nederlandse specialist op het gebied van computer- en netwerkbeveiliging. “Het doel van dit onderzoek is een technische reconstructie om te bepalen of meer personen buiten mijn ministerie toegang hebben gehad tot het gegevensbestand.”
“Verder heb ik het Integriteitsbureau van de Dienst Justitiële Inrichtingen gevraagd een onderzoek te doen naar de feitelijke handelingen rond dit incident op de werkvloer”, bericht Grapperhaus. “Op advies van de beveiligingsautoriteit van mijn ministerie wordt op basis van de uitkomsten van deze drie onderzoeken bekeken of nadere stappen moeten worden ondernomen.”
