Vrijdagmiddag 21 oktober heeft het Instituut Mijnbouwschade Groningen een datalek geconstateerd in het aanvraagsysteem ‘Mijn dossier’. Enkele uren later was het datalek verholpen.
Rond het middaguur op vrijdag 21 oktober hebben wij een datalek geconstateerd in het klantportaal ‘Mijn dossier’. Na onderzoek bleek een technische storing de oorzaak. De storing deed zich voor bij mensen die een aanvraag wilden doen voor Bijkomende Kosten.
Uit onze data blijkt dat van woensdag 19 oktober 13.00 uur tot en met vrijdag 21 oktober 13.00 uur maximaal 60 aanvragers onterecht gegevens van andere aanvragers hebben kunnen inzien, niet kunnen wijzigen. Dit gaat om schadenummer, schadeadres, indieningsdatum, schadezaak en de status van de schadezaak.
We onderzoeken op dit moment hoe het datalek heeft kunnen ontstaan zodat we maatregelen kunnen nemen om dit in de toekomst te voorkomen. De uitkomsten van dit onderzoek verwachten we in de loop van deze week en publiceren we op onze website.
[UPDATE: 17 november]
Ons onderzoek naar het datalek is afgerond. De volgende punten komen hierbij naar voren.
- De oorzaak van het datalek is definitief vastgesteld: het datalek komt door een fout in een nieuwe versie van onze software Mira/MijnDossier. De software is op de dag van de ontdekking van het datalek hersteld met een verbeterde versie.
- Een gevolg van het datalek was dat aanvragers van bijkomende kosten zaken konden koppelen aan schadezaken van andere personen (niet dezelfde aanvrager). Zo’n koppeling zou niet mogelijk moeten zijn. Deze fout is hersteld en niet meer mogelijk. Foutieve koppelingen zijn niet meer zichtbaar voor gebruikers. Dat geldt ook voor documenten/brieven die automatisch gegenereerd waren bij de aanvraag.
- We hebben het datalek gemeld bij de autoriteit persoonsgegevens en vullen de melding aan met deze nieuwe informatie.
- Om dit in de toekomst te voorkomen hebben we een verbetering doorgevoerd in het testen van onze software, voordat er een update van het systeem gedaan wordt.
Veelgestelde vragen
-
Wat hebben aanvragers precies gezien?
Maximaal 60 aanvragers hebben een overzicht gezien van schadedossiers. Schadezaken worden per 10 tegelijk getoond met het schadenummer, schadeadres, indieningsdatum van de schade, de schadezaak en de status van de schadezaak.
-
Konden de aanvragers de informatie van andere dossiers wijzigen?
Nee, de informatie kon niet gewijzigd worden.
-
Konden de aanvragers door het dossier van een ander bladeren?
Nee, er was een overzicht zichtbaar, geen inhoud van dossiers. Dossiers van anderen konden niet worden ingezien.
-
Hoe heeft dit kunnen gebeuren?
Op dit moment is het nog niet duidelijk wat de oorzaak van de storing is, dat zijn we aan het onderzoeken. Het belangrijkste is dat de storing is verholpen en dat dossiers van andere aanvragers niet meer zichtbaar zijn.
-
Wat betekent dit voor mijn dossier?
Alle dossiers zijn beveiligd en alleen toegankelijk met de juiste inloggegevens. Hierdoor is het niet mogelijk om dossiers van andere aanvragers in te zien. Uw dossier is dus alleen toegankelijk met uw eigen inloggegevens.