Informatieavond 25 mei 2016 Stand van zaken datalek 1
Programma Opening Presentatie Zorg, vraag en antwoord 2
Marien den Boer, wethouder Henriëtte Tans, informatie adviseur gemeente Oegstgeest Helen van der Sluys, Coördinator CMI Marjon Miggels, informatie adviseur gemeente Oegstgeest 3
Een greep uit de te beantwoorden vragen Wat is een datalek? Wat is er precies gebeurd? Hoe kon dit gebeuren? Welke gegevens zijn gelekt? Hoe vindbaar waren de gegevens? Hoe toegankelijk waren de gegevens? Wat kunnen anderen met de gegevens? Wat kunt u zelf doen? Zijn uw gegevens nu veilig bij Oegstgeest? Zijn er al schadegevallen? Wat doet de gemeente nu verder? 4
In NL worden persoonsgegevens beschermd door de Wet Bescherming Persoonsgegevens, die per 1 jan16 is aangevuld met de Meldplicht Datalekken. Dit is nodig omdat ons werk en de samenleving steeds digitaler worden en onze persoonsgegevens meer bescherming nodig hebben. De Autoriteit Persoonsgegevens (AP) houdt hierop toezicht. Voorheen heette dit het College Bescherming Persoonsgegevens. De AP heeft een definitie voor een datalek en die is als volgt: 5
Wanneer is er sprake van datalek? Als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of (niet voor ons van toepassing) als we onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunnen uitsluiten (wel voor ons van toepassing) Autoriteit Persoonsgegevens 6
Conclusie van het onderzoek Zoals we in de 2 e brief hebben gemeld, is niet voor 100% uit te sluiten dat de gegevens geraadpleegd zijn, maar zoals we ook in de brief hebben gezegd: achten we de kans heel klein. Deskundigen geven ons dat aan. 7
Naast de Autoriteit Persoonsgegevens hebben we als gemeente ook te maken met de IBD Informatiebeveiligingsdienst voor gemeenten (IBD) Opgericht in 2013 door alle Nederlandse gemeenten als sectorale CERT (Computer Emergency Response Team) Onderdeel Nationaal Respons Netwerk (o.a. NCSC, Rijkswaterstaat, Belastingdienst, Defensie) Helpdesk 24/7 bereikbaar voor gemeenten Preventie, detectie en coördinatie 8
Wat is er gebeurd? 25 februari 2016 08u40 IBD ontvangt melding 08u40 09u15 IBD doet korte analyse 09u15 IBD heeft contact met eigenaar en leverancier 09u20 IBD zorgt voor onmiddellijk offline halen IBD zorgt voor verwijdering uit geheugen van zoekmachines binnen 24 uur daarna 09u20 17u09 leverancier doet onderzoek 9
Wat doet de gemeente dan? 25feb16 17u09: ontvangt melding over mogelijk datalek en schaalt op Heeft daarvoor o.a. contact met IBD, leverancier en gemeente Rotterdam die ook getroffen is: de medewerker die de gegevens openbaar gemaakt heeft, werkt niet meer bij de oud leverancier maar bij Rotterdam en ook van deze gemeente zijn gegevens openbaar gemaakt met zijn privé apparatuur. 26feb16 08u00 11u00: volgt de richtlijn van de AP en stelt datalek vast 26feb16 11u30: meldt datalek bij Autoriteit Persoonsgegevens en besluit dat betrokkenen moeten worden geïnformeerd. Rotterdam heeft dan al: de privé apparatuur in bewaring gesteld bij een notaris. gespecialiseerd bedrijf opdracht gegeven voor onderzoek om daadwerkelijke benadering van buitenaf van gegevens te kunnen uitsluiten
Welke acties volgen daarna? 8.000 betrokken krijgen brief Voorbereiding callcenter in werking Om u te bereiken moet we allereerst wachten op het Vrijkomen van de apparatuur dat duurt een aantal dagen Vrijkomen van de bestanden dit duurt ook een aantal dagen Bewerken van de bestanden omdat het gegevens van ca. 10 jaar geleden betreft, dus we moeten de gegevens actualiseren om u te bereiken. Inrichten tijdelijk callcenter, want dat moet klaar zijn als de brief op uw mat valt en ons normale callcenter heeft onvoldoende capaciteit. Voor dit alles hebben we nauwe afstemming met Rotterdam, omdat we de bekendmaking op hetzelfde moment willen doen. Genoemde punten verklaren waarom u op 8 maart een brief krijgt en niet eerder.
En na de 1 e brief? Na de eerste brief ontvangen wij telefoontjes in tijdelijk callcenter 175 telefonische reacties in normale callcenter 23 schriftelijke informatievragen 27 aansprakelijkstelling 75 WOB verzoeken 2 klachten 3
En na de 1 e brief? Wachten op onderzoeksresultaat Dit duurt ongeveer vijf weken Onderzoeksresultaat is geheim Afstemming met Rotterdam Omdat onderzoek in opdracht van Rotterdam is uitgevoerd moeten we met hen afstemmen Begin mei uitwerking verdere communicatie met betrokkenen Dit verklaart de tijd die nodig is tussen de 1 e en de 2 e brief.
Hoofdpunten situatie Nog even teruggrijpen naar de toestand van het moment van ontdekking Data vanaf privé apparatuur onbewust onbeveiligd gemaakt (door foutieve instelling) Ontdekt door andere gemeente en gemeld bij IBD 14
Hoe kon dit gebeuren? Afspraken overtreden: bestanden op privéapparatuur Bestanden niet gewist Beveiliging per ongeluk onvolledig/verwijderd 15
Welke gegevens zijn gelekt? Er zijn persoonsgegevens en belastinggegevens gelekt, en zoals we in de communicatie naar u steeds hebben aangegeven Deze gegevens stonden Wel in de bestanden: De relevante gegevens voor een datalek: Naam Adres Woonplaats, geboortedatum en BSN Belastinggegevens Deze gegevens stonden Niet in de bestanden : Niet DigiD, Niet bankrekeningnummer(s) Niet mailadres(sen)/ Niet gebruikersnamen/wachtwoorden Niet telefoonnummer(s) Deze gegevens kunnen dus ook niet zijn gelekt! 16
Hoe vindbaar waren de gegevens? Onbewuste openbaarheid Deskundigen hebben aangegeven dat het onwaarschijnlijk is dat iemand wist dat deze gegevens openbaar waren gemaakt, dus een gerichte zoekactie ligt niet voor te hand. Dat is anders dan wanneer er sprake is van een datalek door hacking. Dan zijn mensen gericht aan het zoeken naar gegevens. Zoekterm Deskundigen geven aan dat als er werd gezocht naar de zoekterm Oegstgeest, de bestanden met de gevoelige data vermoedelijk niet werden gevonden. Als gezocht werd naar de naam van een persoon, dan werd die niet gevonden. Specialistische kennis nodig Deskundigen geven aan dat alleen een specialist data zou hebben kunnen vinden o.a. door naamgeving van bestanden 17
Hoe toegankelijk waren de gegevens? Doorzoekbaarheid bestanden de bestanden met persoonsgegevens waren niet geïndexeerd, dat betekent dat Google ze niet heeft kunnen vinden Leesbaarheid bestanden Het gaat om.dat bestanden, zonder separators, dat betekent dat er geen punten of komma s in zitten. Gegevensindicatie Er is geen sprake van kolommen, maar er is ook geen naamgeving aan kolommen als iemand zo slim zou zijn er kolommen van te maken dus het is moeilijk om de data te interpreteren Omvang bestanden enorm groot, waardoor moeilijk te openen op gewone huis tuin en keuken laptop. Record soorten bestanden zijn geen mooie bestanden maar bestanden die nog verder bewerkt moesten worden voordat ze bruikbaar waren. Ze zijn dan ook moeilijk te duiden, omdat niet alle taxatiegegevens erin zitten. Om die duiding te kunnen doen,heb je nog informatie uit een hertaxatiesysteem nodig. 18
Centraal Meldpunt Identiteitsfraude en fouten (CMI) Vertegenwoordiger van CMI komt aan het woord en vertelt wat CMI doet. Onderdeel Ministerie Binnenlandse Zaken Behandelt meldingen slachtoffers identiteitsfraude en fouten: geeft advies en ondersteuning In contact met Ketenpartners als oa Politie, Belastingdienst, RDW, Logius en IND Voorlichting en bewustwording identiteitsfraude 19
Wat kunnen anderen met de gegevens? Bestelling/abonnementen op naam/adres Dit kan ook zonder dit lek: NAW (naam, adres, woonplaats) zijn hiervoor voldoende en dit zijn openbare gegevens Mensen zouden bij leveranciers die zonder vooruitbetaling leveren, bestellingen kunnen doen op uw naam/adres. U zou dan wel de rekening krijgen, maar niet het bestelde product. Aandachtspunten Aanvragen bij officiële instellingen vereisen altijd legitimatie met identiteitsbewijs of DigiD 20
Wat kunt u zelf doen? Eigen gegevens monitoren: Log regelmatig in op DigiD Stel DigiD met sms verificatie in Zorg dat emailadres bekend is bij DigiD www.mijnoverheid.nl voor juiste registratie Controleer rekeningafschriften https://veiliginternetten.nl/ en www.rijksoverheid.nl/identiteitsfraude Kopie identiteitsdocument? Zorg voor veilige kopie! KopieID app 21
Zijn er al schadegevallen? Eén melding Poging DigiD fraude Niet gerelateerd aan datalek Er is melding geweest van poging tot DigiD fraude. Logius, de beheerder van DigiD, heeft dit onderzocht en bevestigd dat dit geval niet samenhangt met dit datalek. 22
Beleid Zijn uw gegevens nu veilig? Voldoen aan Baseline Informatiebeveiliging Nederlandse Gemeente (BIG)Voldoen aan BIG, door de IBD opgesteld, elke gemeente in Nederland heeft zich gecommitteerd om hieraan te voldoen. Dit zijn zo n 500 maatregelen die variëren van puur technische maatregelen zoals instellingen van wachtwoorden tot fysieke beveiliging van het gebouw, screenen van personeel. Actualisering informatieveiligheidsbeleid pakken wij samen met onze regiogemeenten op Beleid gegevensbescherming vastgesteld Veiligheids en privacyfuncties 23
Techniek Zijn uw gegevens nu veilig? SP71 faciliteert ons rekencentrum sinds 2012 2 gescheiden datacentra Mail en webverkeer gescand Toegang van buitenaf alleen met speciale autorisatie Leveranciers: Manier van werken leveranciersaccounts Bewustwording medewerkers 24
Wat doet de gemeente nu verder? Plan van Aanpak Aansprakelijkstellingen zowel m.b.t. Leverancier als betrokkenen Klachten Informatievragen Onderzoek naar crisisaanpak Onderzoek naar hoe voorkomen 25
Hoe kunt u nog contact met ons opnemen: Callcenter 071 51 91 899 (26 en 27 mei) Contactformulier op de website 26