Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 93 reacties

Medewerkers van een Iers ministerie hadden volledige toegang tot Suwinet, een systeem waarin het UWV en gemeenten gegevens van Nederlanders over onder meer uitkeringen, arbeidsverleden en boetes uitwisselen, zo ontdekte het CBP.

UWV company logoInmiddels kunnen de drie medewerkers van het Ierse ministerie voor sociale zaken niet meer bij de gegevens, zo meldt het College bescherming persoonsgegevens (CBP). Het Ierse ministerie had sinds anderhalf jaar toegang tot Suwinet om de gegevens van bijvoorbeeld in Nederland werkzame Ieren te raadplegen. Hoewel het UWV de toegang had kunnen beperken tot alleen Ieren, heeft de instantie dat niet gedaan. Het is onbekend hoe vaak het Ierse ministerie gebruik heeft gemaakt van de mogelijkheid: de toegang is niet gelogd.

De toegang van Ierland kwam aan het licht bij een onderzoek van het CBP naar toegang tot Suwinet, bij het UWV en bij de gemeente Den Bosch. Beide bleken toegang tot Suwinet niet afdoende af te schermen. Het ging onder meer fout bij het toekennen van autorisaties van medewerkers. Een gebruiker is binnen een organisatie administrator en mag naar believen collega's toegang geven; het UWV had geen duidelijke procedure voor de autorisatie, alleen een 'concept van een werknotitie'. Volgens het CBP handelt het UWV in strijd met de wet op de verwerking van persoonsgegevens, die vereist dat organisaties die met privégegevens omgaan zorgvuldig omgaan met die gegevens.

Moderatie-faq Wijzig weergave

Reacties (93)

Wat is wel gelogd? een simpele extract/export, is zo gedaan.
Welke gegevens worden gelogd?
De volgende gegevens worden bij elk gebruik van (de functionaliteiten van) Suwinet-Inkijk binnen de loggingapplicatie opgeslagen:
· het tijdstip van iedere log-in en log-out en andere actie;
· de gebruikersnaam van degene die inlogt/uitlogt;
· elk sofi-nummer (of andere zoeksleutel) waarvan gegevens worden opgevraagd;
· elke actie, zoals de bekeken kolom- of overzichtspagina’s.
Bron: http://www.bkwi.nl/filead...winet-Inkijk_v2010_01.pdf

[Reactie gewijzigd door 80466 op 4 december 2014 16:31]

"de toegang is niet gelogd."

Hier lijkt wel dat hiervoor speciaal gezorgd geweest is om de logging ervan niet te kunnen(/willen?) geven.

Ik kan me helemaal niet voorstellen dat in het hele verhaal niets logged is geweest. (programma, besturingsysteem, alle mogelijke transportlagen, enzovoort enzoverder)
De toegang van SUWInet is normaal wel gelogd net zoals de BSN's van alle personen waarvan gegevens worden opgevraagd en alle acties die de gebruikers doen.
http://www.bkwi.nl/filead...winet-Inkijk_v2010_01.pdf

Eri s voor de ierse overheid waarschijnlijk een apart engelstalig portaaltje aangemaakt dat niet met de reguliere logging is meegelopen.
Volgens het CBP handelt het UWV in strijd met de wet op de verwerking van persoonsgegevens, die vereist dat organisatie die met privégegevens omgaan zorgvuldig omgaan met die gegevens.
Wordt eens tijd dat er wettelijk wordt verplicht dat er binnen ieder bedrijf of instantie iemand/iets verantwoordelijk is voor zulke voorvallen.
Helaas zijn digitale schandalen en datalekken tegenwoordig aan de orde van de dag, maar niemand die het iets kan schelen omdat niemand er zijn billen aan brandt (of doodleuk 'opstapt' naar een ander bedrijf). Misschien eens beginnen met het uitdelen van forse boetes, die ook na faillisement of opstappen nog van kracht zijn.

Alles moet tegenwoordig zo nodig digitaal, want dat is 'beter, sneller en makkelijker'. Maar investeren in beveiliging en fatsoenlijke toegang(/protocollen), ho maar...

In geval van sterfte of verwonding is nalatigheid toch ook strafbaar? Waarom dan nalatigheid in de ICT wereld niet?
Binnen het bedrijf is er altijd al iemand verantwoordelijk. Waar misschien meer mee te halen valt is een verplichting zoals bij jaarrekeningen en accountants. Als je als bedrijf een accountant inschakeld om garant te staan voor de juistheid van je jaarrekening, moet je ook een soortgelijke instantie inschakelen die garant staat voor degelijke opslag en verwerking van persoonsgegevens. Kun je dat niet aantonen, dan geen garantie en dat mag net zo'n slecht nieuws zijn als geen accountantsverklaring krijgen.

Achteraf bestraffen is allemaal leuk en aardig, maar weinig motiverend om er iets tegen te doen als de pakkans te laag is. Met een verplichte controle vooraf is de pakkans opeens vele malen groter en loont het opeens wel om iets aan de beveiliging van persoonsgegevens te doen.
Alsof die accountants tegenwoordig nog betrouwbaar zijn... Of niet gezellig meedoen met de andere kant opkijken.
Die forse boetes worden dan hopelijk uiteindelijk niet weer op de samenleving verhaald. Anders blijft het dweilen met de kraan open en boeit het overheidinstanties helemaal niets. In geval van bedrijven heb je dan wel een goed punt, al is het ook daar twijfelachtig hoe men het schadebedrag probeert op te lossen: duurder maken van hun producten of diensten? Hoe voorkom je dat het volk moet betalen en de betreffende persoon eigenlijk er maar weinig onder lijdt? Ga je hem oppakken voor een paar nachtjes cel?
Wat ik mij direct afvraag als ik dit lees is hoe zit het het de logging van dit soort systemen?
Kunnen ze achterhalen wie ze hebben bekeken en wat voor informatie ze hebben bekeken.

Volgens mij is er ergens een wet dat aangeeft dat dit verplicht is (in ieder geval in de zorg).
Dat betekend dat er moet bij gehouden moet worden, wie welke (en wanneer) er informatie is inzien.

Dat deze rechten uitgedeeld kan worden is tot daar aan toe, dat kan natuurlijk altijd gebeuren.
Ik ben benieuwt indien dit vrij gegeven wordt hoeveel informatie er wordt vrij gegeven over dit soort informatie.

Maar lees ik nu ook goed dat UWV inzagen heeft in mijn bekeuringen? ik was van mening dat dit alleen kon door o.a de politie en justitie?

EDIT:

Na het lezen van het originele bericht; ben ik er al achter
Logging:
Bij het UWV wordt niet goed gelogd wie welke gegevens raadpleegt. Het is juist van belang en wettelijk verplicht om alle raadplegingen bij te houden, omdat daarmee onbevoegde toegang kan worden opgespoord en daartegen stappen kunnen worden ondernomen.
Dit is gewoon belachelijk! Ik ben benieuwt wat voor strafmaatregel er komt!

EDIT 2: Dit is ook niet de eerste keer

[Reactie gewijzigd door Spookie op 4 december 2014 11:56]

Hoe de logging werkt van Suwinet wordt gewoon op de site van het BKWI uitgelegd:

http://www.bkwi.nl/filead...winet-Inkijk_v2010_01.pdf
Er is dus wel logging in Suwinet maar mogelijk onvoldoende.
Bovendien was de apart gebouwde engelstalige toegang voor de Ierse overheid recent nog een pilot en deze kan daarom best buiten de bestaande logging zij gevallen.
Klopt, maar dit klopt nog steeds niet, Ook al is de taal anders, MOET er ook gelogd worden.
Dit kan niet even onder een "pilot" weg gemanaged worden vindt ik.

Helaas is het ook niet de eerste keer, zoals je in mijn artikel kan lezen is dit al een behoorlijke tijd niet op orde.

Ik blijf het vreemd vinden dat bepaalde takken hier ZEER zwaar op gestraft worden als we het niet doen, met als gevolg dat we onze ISO en NEN certificerings kwijt kunnen raken. Waardoor bepaalde aanbestedingen niet meer gedaan kunnen worden.

Ze mogen echt intern een keer kijken en dit op orde krijgen, maja wie zijn wij.. ik wacht het (definitief) rapport geduldig af.
Wat betreft boetes. Ik neem aan de boetes welke men uitdeelt vanuit het UWV als je iets niet goed hebt doorgegeven etc.
De strafmaatregel zal het volgende zijn: Meer belastingen.
Wat ik me nu afvraag is in hoeverre je als belanghebbende (ja ik heb met het UWV te maken) nu aangifte kunt doen richting de betreffende instanties aangezien zij zich niet aan de wet houden of hebben gehouden.
Wij gaan zorgvuldig, veilig en vertrouwelijk met uw persoonlijke gegevens om. Ook houden wij ons aan de Wet Bescherming Persoonsgegevens.
Ja niet dus... :'(

[Reactie gewijzigd door ManiacsHouse op 4 december 2014 12:15]

Ben ik ook benieuwd naar! Ben zelf (gelukkig) niet bij de lui betrokken. Ik zou zeggen: wandel eens een politie bureau binnen en doe aangifte! Overigens denk ik dat Bits of Freedom je van harte bij wil staan in een proefproces...
Elke volwassen Nederlander is in Suwinet te vinden, niet alleen maar mensen met een uitkering.
Ik denk dat je in dit geval wel een mooie kans maakt.
Zij moeten het bewijzen dat jouw gegevens veilig zijn en niet ingezien door onbevoegden. Gezien ze niet eens loggen wie er wanneer inlogt is er waarschijnlijk ook geen bewijs wie wat wanneer gelezen heeft.

Dit is wel weer mooi het zoveelste bewijs van een slecht uitgevoerd / mislukt overheids ICT project.
Gezien ze niet eens loggen wie er wanneer inlogt is er waarschijnlijk ook geen bewijs wie wat wanneer gelezen heeft.
Dat logt het bkwi normaal dus juist allemaal wel.
http://www.bkwi.nl/filead...winet-Inkijk_v2010_01.pdf
Buiten dat ik het bijzonder slordig vind dat deze toegang zomaar zonder enige restricties wordt gegeven is het echt idioot dat toegang niet gelogd wordt. Zoiets zou gewoon standaard moeten gebeuren en het liefst niet eens uit te zetten zijn.

We kunnen alle webrequests van alle Nederlanders zes maanden bewaren zonder aanwijsbare reden, maar een paar requests van overheden loggen is dan weer teveel gevraagd?
Slordig? Sorry dat is een term die ik niet meer kan gebruiken bij de UWV.
Er zal wel weer geen strafrechtelijk onderzoek gedaan worden.
En wie ga je onderzoeken? De Ieren, de medewerkers, diegene die ze autorisaties hebben gegeven, management , de overheid,

of de burgers die toelaten dat onze gegevens overal en nergens met heel weinig controle worden opgeslagen. Er is geen controle omdat er geen overzicht is.
En wie ga je onderzoeken? De Ieren, de medewerkers, diegene die ze autorisaties hebben gegeven, management , de overheid
Het management en de overheid. De rest is niet verantwoordelijk voor een falend beleid en/of grove nalatigheid.

Het UVW is sowieso een schijtorganisatie; Ze zouden je moeten helpen met allerlei dingen (werk zoeken, ondersteuning etc.)... doen ze niet. Uitkeringen (bijv. Wajong) zijn alleen onder voorwaarden... wordt never nooit gecontroleerd. Oh, je hebt werk en wil dat registreren? Vraag een wijzigingsformulier aan, vul het in en stuur het terug. Wacht tenminste 6 weken voor reactie 8)7 En zo kan ik nog een uur of 5 doorgaan.

Als je alle misstanden en daardoor verspild geld bij elkaar optelt kom je op een makkelijke miljarden bezuiniging, zonder aan kwaliteit (want dat is er al niet) in te boeten. Gewoon beter management en betere controle (ook de Belasting Dienst is hiervoor kandidaat) en de situatie wordt zowaar werkbaar.
Ze zouden je moeten helpen met allerlei dingen (werk zoeken, ondersteuning etc.)... doen ze niet.
Dat soort taken is allang grotendeels wegbezuinigd.
Alleen als je langdurig werkeloos bent of kansarm (jonggehandicapten en oudere werkelozen) krijg je ondersteunende hulp van het UWV. De overheid wil dat werkelozen gewoon zelf een baan zoeken.

De hoofdtaken van het UWV liggen in het verstrekken van uitkeringen aan ruim 1 miljoen werkelozen en arbeidsongeschikten. Volgens jaar gaat moet een deel van die arbeidsgehandicapten zelfs naar de gemeenten voor een bijstanduitkering. Dan heb je dus 400 aparte uitkeringsinstanties voor arbeidsgehandicapten.
De overheid wil dat werkelozen gewoon zelf een baan zoeken.
Kansloos. Zonder aansporing gaat dit niet gebeuren. Oftewel, als een uitkering wordt verstrekt, moet gecontroleerd worden of er aan de voorwaarden wordt voldaan, en zo niet, de uitkering stoppen. Anders gaan mensen gewoon die uitkering innen en verder niets doen.
De hoofdtaken van het UWV liggen in het verstrekken van uitkeringen aan ruim 1 miljoen werkelozen en arbeidsongeschikten.
Ja, en wie doet de controle, dan? Of is die wegbezuinigd? In het laatste geval moet de overheid niet bij ons komen om geld, maar in plaats daarvan de zelfgecreëerde puinhoop opruimen.
Ik denk dat het vooral makkelijk gezegd is wat je hierboven stelt. Probleem met instanties als het UWV, CAK, DUO, Belastingdienst is dat zij een bepaalde macht uitoefenen en jij als persoon de plicht hebt daar aan te voldoen. Simpel nee zeggen en de gevraagde informatie niet geven of een bezwaarschrift schrijven heeft geen enkel nut en brengt je alleen verder in de problemen (deurwaarders, boetes, etc). Althans dat is mijn ervaring ermee.

Waar ik wel mee eens ben is dat je niet te gemakkelijk informatie moet geven, ondanks dat ze het vast en zeker wel via omwegen te weten kunnen komen. Ongevraagd info geven is gewoon onnodig en kan maar zo ooit eens in je nadeel uitpakken.
De 'macht' van de belastingdienst wordt gelegitimeerd door de overheid,

en het wordt misschien cliché, maar de overheid zijn wij. De tweede kamer heeft 150 leden, de eerste kamer heeft 75 leden en daarnaast hebben we nog eens talloze gemeenteraadsleden die we al dan niet (in)direct kiezen.

Om een of andere reden slagen we er als samenleving niet in om competente mensen te kiezen die eens duidelijke strakke regels gaan formeren. Het is erger. De vertegenwoordigers die we kundig achtten, roepen een andere instantie in het leven om ze te adviseren. Lijkt me de omgekeerde wereld. Je wilt een kundig persoon met een visie en het eerste wat die doet is de vraag weer terugwerpen naar anderen waardoor er een afstand ontstaat.
De verantwoordelijke minister, als het daar op aankomt ;)
Wat heb je aan een verantwoordelijke minister als die zn verantwoordelijkheid niet neemt?
Bedoel je het hele kabinet misschien?
Wat dacht je van onze eigen justitie?
Het is een semi overheids bedrijf, wat keer op keer in de fout gaat. Het gaat zovaak verkeerd, dat je haast aan opzet zou denken.
of de burgers die toelaten dat onze gegevens overal en nergens met heel weinig controle worden opgeslagen. Er is geen controle omdat er geen overzicht is.
U bedoelt die burger om de zoveel tijd een rondje mag inkleuren, omdaar mee aan tegeven welke clown volksvertegenwoordiger, hem weer mag vertegenwoordigen. Te minste dat denk te burger.
Ik vraag me af hoevaak mensen nog met de neus op de feiten gedrukt moeten worden, opdat zij gaan inzien dat overheden/instanties ook niet de heilige graal zijn wat betreft bescherming van privacy. Sterker nog, ze hebben al vaker bewezen met dit soort nieuws dat juist zij niet kunnen waarmaken wat ze beloven. Ik hoop dat de naiviteit van veel mensen langzaam omslaat tot echt bewustwording, en daarbij realiseren dat er ook andere, wellicht minder makkelijke/comfortabele wegen te bewandelen zijn om je privacy nog enigszins beschermd te laten. Nou snap ik dat het bij dit betreffende artikel niet anders kan; als je werkloos bent dan kun je niet anders dan je inschrijven bij het UWV. Sommige dingen zul je wel moeten, maar ik hoop dat mensen bewust worden dat dit niet voor alles geldt en dat men gewoon serieus vraagtekens erbij gaat stellen welke bedrijven/instanties men vrijwillig in "vertrouwen" nemen en welke moedwillig.
Ik zie het zo, waar gehakt worden vallen spaanders. Maar er is toezicht door het CPB, de bevindingen zijn openbaar. We kunnen dus verbetering afdwingen. Kom daar maar eens om bij (buitenlandse) commerciële partijen.
Tsja.. zoveelste item. Hoe dan ook, 'tis gebeurd. Wellicht gaan andere instanties nu ook nadenken en de boel verbeteren.
Hoezo verbeteren? Daarbij hebben ze hulp nodig van professionals die destijds al aan hadden moeten geven dat je dit niet moet willen; wat ga je daarvan verwachten?
Suwinet, een systeem waarin het UWV en gemeenten gegevens van Nederlanders over onder meer uitkeringen, arbeidsverleden en boetes uitwisselen, zo ontdekte het CBP.
Dit verbaast me niet eens meer, dat al die instanties allemaal op hetzelfde netwerk zitten en zomaar overal bijmogen.
Dat is zelfs noodzakelijk omdat uitkerende instanties moeten controleren of iemand als ergens anders inkomsten heeft.
Vroeger werd juist daar veel mee gefraudeerd
En daarvoor heb je ook mijn boetegeschiedenis nodig? Dat ze samenwerken en gegevens delen snap ik, bijvoorbeeld voor fraude tegengaan, daar heb ik niks tegen. Wat mij tegenstaat is dat al die instanties blijkbaar zonder restricties zo overal bij kunnen, ook bij de dingen die ze helemaal niets aangaan voor het uitvoeren van hun functie.
Verkeersboetes kun je niet zien.
Boetes op uitkeringen wel.
Die kunnen namelijk leiden tot een verlaging van de uitkering en het is niet de bedoeling dat dat leidt tot compensatie met hogere uitkeringen van aan andere instantie.

Er is in Suwinet overigens wel een koppeling met de het kentekenregister van de RDW en RDW+ in Suwinet. RDW+ is alleen voor opsporingszaken en is alleen geautoriseerd voor bijvoorbeeld medewerkers van de FIOD of fraude opsporingsfuncties.
OK, dan valt het allemaal mee. Zoals het in het bericht staat lijkt het alsof daar nauwelijks restricties opzitten en iedereen onbeperkt bij elkaar kan kijken, dat zou kwalijk zijn.
Ik vind het bestwel erg dat je verplicht wordt je gegevens af te geven bij mensen die er duidelijk niet goed mee om kunnen gaan.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True