Iers ministerie kon bij privégegevens veel Nederlanders via UWV

Medewerkers van een Iers ministerie hadden volledige toegang tot Suwinet, een systeem waarin het UWV en gemeenten gegevens van Nederlanders over onder meer uitkeringen, arbeidsverleden en boetes uitwisselen, zo ontdekte het CBP.

UWV company logoInmiddels kunnen de drie medewerkers van het Ierse ministerie voor sociale zaken niet meer bij de gegevens, zo meldt het College bescherming persoonsgegevens (CBP). Het Ierse ministerie had sinds anderhalf jaar toegang tot Suwinet om de gegevens van bijvoorbeeld in Nederland werkzame Ieren te raadplegen. Hoewel het UWV de toegang had kunnen beperken tot alleen Ieren, heeft de instantie dat niet gedaan. Het is onbekend hoe vaak het Ierse ministerie gebruik heeft gemaakt van de mogelijkheid: de toegang is niet gelogd.

De toegang van Ierland kwam aan het licht bij een onderzoek van het CBP naar toegang tot Suwinet, bij het UWV en bij de gemeente Den Bosch. Beide bleken toegang tot Suwinet niet afdoende af te schermen. Het ging onder meer fout bij het toekennen van autorisaties van medewerkers. Een gebruiker is binnen een organisatie administrator en mag naar believen collega's toegang geven; het UWV had geen duidelijke procedure voor de autorisatie, alleen een 'concept van een werknotitie'. Volgens het CBP handelt het UWV in strijd met de wet op de verwerking van persoonsgegevens, die vereist dat organisaties die met privégegevens omgaan zorgvuldig omgaan met die gegevens.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 04-12-2014 11:34 93

04-12-2014 • 11:34

93

Lees meer

Systeem met privégegevens alle Nederlanders bood opnieuw toegang aan derden
Systeem met privégegevens alle Nederlanders bood opnieuw toegang aan derden Nieuws van 20 juni 2015
Bewakingscamerabeelden vallen onder EU-regels voor bescherming privacy
Bewakingscamerabeelden vallen onder EU-regels voor bescherming privacy Nieuws van 11 december 2014
Beroepsvereniging: tekort ict'ers komt mede door wildgroei functieprofielen
Beroepsvereniging: tekort ict'ers komt mede door wildgroei functieprofielen Nieuws van 24 september 2014
Grote steden beginnen met digitale communicatie naar inwoners
Grote steden beginnen met digitale communicatie naar inwoners Nieuws van 18 februari 2014
Beveiliging 'grootverbruikers' DigiD schoot tekort
Beveiliging 'grootverbruikers' DigiD schoot tekort Nieuws van 22 maart 2013
'Overheid kampt met groot tekort aan ict-experts'
'Overheid kampt met groot tekort aan ict-experts' Nieuws van 9 juni 2012
Overheid snijdt fors in datacenters
Overheid snijdt fors in datacenters Nieuws van 15 februari 2011
Mislukt ict-project UWV kost 87 miljoen euro
Mislukt ict-project UWV kost 87 miljoen euro Nieuws van 26 juni 2008
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (93)

-Moderatie-faq
93
87
65
10
0
10
Wijzig sortering
Netrunner 4 december 2014 11:40
Wat is wel gelogd? een simpele extract/export, is zo gedaan.
Verwijderd @Netrunner4 december 2014 16:27
Welke gegevens worden gelogd?
De volgende gegevens worden bij elk gebruik van (de functionaliteiten van) Suwinet-Inkijk binnen de loggingapplicatie opgeslagen:
· het tijdstip van iedere log-in en log-out en andere actie;
· de gebruikersnaam van degene die inlogt/uitlogt;
· elk sofi-nummer (of andere zoeksleutel) waarvan gegevens worden opgevraagd;
· elke actie, zoals de bekeken kolom- of overzichtspagina’s.
Bron: http://www.bkwi.nl/filead...winet-Inkijk_v2010_01.pdf

[Reactie gewijzigd door Verwijderd op 23 juli 2024 06:58]

egnappahz 4 december 2014 12:54
"de toegang is niet gelogd."

Hier lijkt wel dat hiervoor speciaal gezorgd geweest is om de logging ervan niet te kunnen(/willen?) geven.

Ik kan me helemaal niet voorstellen dat in het hele verhaal niets logged is geweest. (programma, besturingsysteem, alle mogelijke transportlagen, enzovoort enzoverder)
Verwijderd @egnappahz4 december 2014 16:37
De toegang van SUWInet is normaal wel gelogd net zoals de BSN's van alle personen waarvan gegevens worden opgevraagd en alle acties die de gebruikers doen.
http://www.bkwi.nl/filead...winet-Inkijk_v2010_01.pdf

Eri s voor de ierse overheid waarschijnlijk een apart engelstalig portaaltje aangemaakt dat niet met de reguliere logging is meegelopen.
geekeep 4 december 2014 13:13
Volgens het CBP handelt het UWV in strijd met de wet op de verwerking van persoonsgegevens, die vereist dat organisatie die met privégegevens omgaan zorgvuldig omgaan met die gegevens.
Wordt eens tijd dat er wettelijk wordt verplicht dat er binnen ieder bedrijf of instantie iemand/iets verantwoordelijk is voor zulke voorvallen.
Helaas zijn digitale schandalen en datalekken tegenwoordig aan de orde van de dag, maar niemand die het iets kan schelen omdat niemand er zijn billen aan brandt (of doodleuk 'opstapt' naar een ander bedrijf). Misschien eens beginnen met het uitdelen van forse boetes, die ook na faillisement of opstappen nog van kracht zijn.

Alles moet tegenwoordig zo nodig digitaal, want dat is 'beter, sneller en makkelijker'. Maar investeren in beveiliging en fatsoenlijke toegang(/protocollen), ho maar...

In geval van sterfte of verwonding is nalatigheid toch ook strafbaar? Waarom dan nalatigheid in de ICT wereld niet?
Crahsystor @geekeep4 december 2014 13:30
Binnen het bedrijf is er altijd al iemand verantwoordelijk. Waar misschien meer mee te halen valt is een verplichting zoals bij jaarrekeningen en accountants. Als je als bedrijf een accountant inschakeld om garant te staan voor de juistheid van je jaarrekening, moet je ook een soortgelijke instantie inschakelen die garant staat voor degelijke opslag en verwerking van persoonsgegevens. Kun je dat niet aantonen, dan geen garantie en dat mag net zo'n slecht nieuws zijn als geen accountantsverklaring krijgen.

Achteraf bestraffen is allemaal leuk en aardig, maar weinig motiverend om er iets tegen te doen als de pakkans te laag is. Met een verplichte controle vooraf is de pakkans opeens vele malen groter en loont het opeens wel om iets aan de beveiliging van persoonsgegevens te doen.
ManiacsHouse @Crahsystor4 december 2014 18:39
Alsof die accountants tegenwoordig nog betrouwbaar zijn... Of niet gezellig meedoen met de andere kant opkijken.
Aardwolf @geekeep4 december 2014 13:20
Die forse boetes worden dan hopelijk uiteindelijk niet weer op de samenleving verhaald. Anders blijft het dweilen met de kraan open en boeit het overheidinstanties helemaal niets. In geval van bedrijven heb je dan wel een goed punt, al is het ook daar twijfelachtig hoe men het schadebedrag probeert op te lossen: duurder maken van hun producten of diensten? Hoe voorkom je dat het volk moet betalen en de betreffende persoon eigenlijk er maar weinig onder lijdt? Ga je hem oppakken voor een paar nachtjes cel?
Spookie 4 december 2014 11:49
Wat ik mij direct afvraag als ik dit lees is hoe zit het het de logging van dit soort systemen?
Kunnen ze achterhalen wie ze hebben bekeken en wat voor informatie ze hebben bekeken.

Volgens mij is er ergens een wet dat aangeeft dat dit verplicht is (in ieder geval in de zorg).
Dat betekend dat er moet bij gehouden moet worden, wie welke (en wanneer) er informatie is inzien.

Dat deze rechten uitgedeeld kan worden is tot daar aan toe, dat kan natuurlijk altijd gebeuren.
Ik ben benieuwt indien dit vrij gegeven wordt hoeveel informatie er wordt vrij gegeven over dit soort informatie.

Maar lees ik nu ook goed dat UWV inzagen heeft in mijn bekeuringen? ik was van mening dat dit alleen kon door o.a de politie en justitie?

EDIT:

Na het lezen van het originele bericht; ben ik er al achter
Logging:
Bij het UWV wordt niet goed gelogd wie welke gegevens raadpleegt. Het is juist van belang en wettelijk verplicht om alle raadplegingen bij te houden, omdat daarmee onbevoegde toegang kan worden opgespoord en daartegen stappen kunnen worden ondernomen.
Dit is gewoon belachelijk! Ik ben benieuwt wat voor strafmaatregel er komt!

EDIT 2: Dit is ook niet de eerste keer
http://www.dbaudit.nl/gem...-met-beveiliging-suwinet/

[Reactie gewijzigd door Spookie op 23 juli 2024 06:58]

Verwijderd @Spookie4 december 2014 13:52
Hoe de logging werkt van Suwinet wordt gewoon op de site van het BKWI uitgelegd:

http://www.bkwi.nl/filead...winet-Inkijk_v2010_01.pdf
Er is dus wel logging in Suwinet maar mogelijk onvoldoende.
Bovendien was de apart gebouwde engelstalige toegang voor de Ierse overheid recent nog een pilot en deze kan daarom best buiten de bestaande logging zij gevallen.
Spookie @Verwijderd4 december 2014 13:58
Klopt, maar dit klopt nog steeds niet, Ook al is de taal anders, MOET er ook gelogd worden.
Dit kan niet even onder een "pilot" weg gemanaged worden vindt ik.

Helaas is het ook niet de eerste keer, zoals je in mijn artikel kan lezen is dit al een behoorlijke tijd niet op orde.

Ik blijf het vreemd vinden dat bepaalde takken hier ZEER zwaar op gestraft worden als we het niet doen, met als gevolg dat we onze ISO en NEN certificerings kwijt kunnen raken. Waardoor bepaalde aanbestedingen niet meer gedaan kunnen worden.

Ze mogen echt intern een keer kijken en dit op orde krijgen, maja wie zijn wij.. ik wacht het (definitief) rapport geduldig af.
ManiacsHouse @Spookie4 december 2014 12:02
Wat betreft boetes. Ik neem aan de boetes welke men uitdeelt vanuit het UWV als je iets niet goed hebt doorgegeven etc.
nhanssen @Spookie4 december 2014 12:03
De strafmaatregel zal het volgende zijn: Meer belastingen.
ManiacsHouse 4 december 2014 12:04
Wat ik me nu afvraag is in hoeverre je als belanghebbende (ja ik heb met het UWV te maken) nu aangifte kunt doen richting de betreffende instanties aangezien zij zich niet aan de wet houden of hebben gehouden.
Wij gaan zorgvuldig, veilig en vertrouwelijk met uw persoonlijke gegevens om. Ook houden wij ons aan de Wet Bescherming Persoonsgegevens.
Ja niet dus... :'(

[Reactie gewijzigd door ManiacsHouse op 23 juli 2024 06:58]

Frankster @ManiacsHouse4 december 2014 12:20
Ben ik ook benieuwd naar! Ben zelf (gelukkig) niet bij de lui betrokken. Ik zou zeggen: wandel eens een politie bureau binnen en doe aangifte! Overigens denk ik dat Bits of Freedom je van harte bij wil staan in een proefproces...
martijn.s @ManiacsHouse4 december 2014 17:02
Elke volwassen Nederlander is in Suwinet te vinden, niet alleen maar mensen met een uitkering.
rdfeij @ManiacsHouse4 december 2014 12:22
Ik denk dat je in dit geval wel een mooie kans maakt.
Zij moeten het bewijzen dat jouw gegevens veilig zijn en niet ingezien door onbevoegden. Gezien ze niet eens loggen wie er wanneer inlogt is er waarschijnlijk ook geen bewijs wie wat wanneer gelezen heeft.

Dit is wel weer mooi het zoveelste bewijs van een slecht uitgevoerd / mislukt overheids ICT project.
Verwijderd @rdfeij4 december 2014 17:17
Gezien ze niet eens loggen wie er wanneer inlogt is er waarschijnlijk ook geen bewijs wie wat wanneer gelezen heeft.
Dat logt het bkwi normaal dus juist allemaal wel.
http://www.bkwi.nl/filead...winet-Inkijk_v2010_01.pdf
cyberstalker 4 december 2014 11:41
Buiten dat ik het bijzonder slordig vind dat deze toegang zomaar zonder enige restricties wordt gegeven is het echt idioot dat toegang niet gelogd wordt. Zoiets zou gewoon standaard moeten gebeuren en het liefst niet eens uit te zetten zijn.

We kunnen alle webrequests van alle Nederlanders zes maanden bewaren zonder aanwijsbare reden, maar een paar requests van overheden loggen is dan weer teveel gevraagd?
wica @cyberstalker4 december 2014 11:43
Slordig? Sorry dat is een term die ik niet meer kan gebruiken bij de UWV.
Er zal wel weer geen strafrechtelijk onderzoek gedaan worden.
Iblies @wica4 december 2014 11:47
En wie ga je onderzoeken? De Ieren, de medewerkers, diegene die ze autorisaties hebben gegeven, management , de overheid,

of de burgers die toelaten dat onze gegevens overal en nergens met heel weinig controle worden opgeslagen. Er is geen controle omdat er geen overzicht is.
halofreak1990 @Iblies4 december 2014 12:14
En wie ga je onderzoeken? De Ieren, de medewerkers, diegene die ze autorisaties hebben gegeven, management , de overheid
Het management en de overheid. De rest is niet verantwoordelijk voor een falend beleid en/of grove nalatigheid.

Het UVW is sowieso een schijtorganisatie; Ze zouden je moeten helpen met allerlei dingen (werk zoeken, ondersteuning etc.)... doen ze niet. Uitkeringen (bijv. Wajong) zijn alleen onder voorwaarden... wordt never nooit gecontroleerd. Oh, je hebt werk en wil dat registreren? Vraag een wijzigingsformulier aan, vul het in en stuur het terug. Wacht tenminste 6 weken voor reactie 8)7 En zo kan ik nog een uur of 5 doorgaan.

Als je alle misstanden en daardoor verspild geld bij elkaar optelt kom je op een makkelijke miljarden bezuiniging, zonder aan kwaliteit (want dat is er al niet) in te boeten. Gewoon beter management en betere controle (ook de Belasting Dienst is hiervoor kandidaat) en de situatie wordt zowaar werkbaar.
Verwijderd @halofreak19904 december 2014 15:33
Ze zouden je moeten helpen met allerlei dingen (werk zoeken, ondersteuning etc.)... doen ze niet.
Dat soort taken is allang grotendeels wegbezuinigd.
Alleen als je langdurig werkeloos bent of kansarm (jonggehandicapten en oudere werkelozen) krijg je ondersteunende hulp van het UWV. De overheid wil dat werkelozen gewoon zelf een baan zoeken.

De hoofdtaken van het UWV liggen in het verstrekken van uitkeringen aan ruim 1 miljoen werkelozen en arbeidsongeschikten. Volgens jaar gaat moet een deel van die arbeidsgehandicapten zelfs naar de gemeenten voor een bijstanduitkering. Dan heb je dus 400 aparte uitkeringsinstanties voor arbeidsgehandicapten.
halofreak1990 @Verwijderd4 december 2014 17:30
De overheid wil dat werkelozen gewoon zelf een baan zoeken.
Kansloos. Zonder aansporing gaat dit niet gebeuren. Oftewel, als een uitkering wordt verstrekt, moet gecontroleerd worden of er aan de voorwaarden wordt voldaan, en zo niet, de uitkering stoppen. Anders gaan mensen gewoon die uitkering innen en verder niets doen.
De hoofdtaken van het UWV liggen in het verstrekken van uitkeringen aan ruim 1 miljoen werkelozen en arbeidsongeschikten.
Ja, en wie doet de controle, dan? Of is die wegbezuinigd? In het laatste geval moet de overheid niet bij ons komen om geld, maar in plaats daarvan de zelfgecreëerde puinhoop opruimen.
Aardwolf @Iblies4 december 2014 12:28
Ik denk dat het vooral makkelijk gezegd is wat je hierboven stelt. Probleem met instanties als het UWV, CAK, DUO, Belastingdienst is dat zij een bepaalde macht uitoefenen en jij als persoon de plicht hebt daar aan te voldoen. Simpel nee zeggen en de gevraagde informatie niet geven of een bezwaarschrift schrijven heeft geen enkel nut en brengt je alleen verder in de problemen (deurwaarders, boetes, etc). Althans dat is mijn ervaring ermee.

Waar ik wel mee eens ben is dat je niet te gemakkelijk informatie moet geven, ondanks dat ze het vast en zeker wel via omwegen te weten kunnen komen. Ongevraagd info geven is gewoon onnodig en kan maar zo ooit eens in je nadeel uitpakken.
Iblies @Aardwolf4 december 2014 12:36
De 'macht' van de belastingdienst wordt gelegitimeerd door de overheid,

en het wordt misschien cliché, maar de overheid zijn wij. De tweede kamer heeft 150 leden, de eerste kamer heeft 75 leden en daarnaast hebben we nog eens talloze gemeenteraadsleden die we al dan niet (in)direct kiezen.

Om een of andere reden slagen we er als samenleving niet in om competente mensen te kiezen die eens duidelijke strakke regels gaan formeren. Het is erger. De vertegenwoordigers die we kundig achtten, roepen een andere instantie in het leven om ze te adviseren. Lijkt me de omgekeerde wereld. Je wilt een kundig persoon met een visie en het eerste wat die doet is de vraag weer terugwerpen naar anderen waardoor er een afstand ontstaat.
Thystan @Iblies4 december 2014 12:07
De verantwoordelijke minister, als het daar op aankomt ;)
koelpasta @Thystan4 december 2014 12:37
Wat heb je aan een verantwoordelijke minister als die zn verantwoordelijkheid niet neemt?
Verwijderd @koelpasta4 december 2014 13:09
Bedoel je het hele kabinet misschien?
wica @Iblies4 december 2014 12:41
Wat dacht je van onze eigen justitie?
Het is een semi overheids bedrijf, wat keer op keer in de fout gaat. Het gaat zovaak verkeerd, dat je haast aan opzet zou denken.
of de burgers die toelaten dat onze gegevens overal en nergens met heel weinig controle worden opgeslagen. Er is geen controle omdat er geen overzicht is.
U bedoelt die burger om de zoveel tijd een rondje mag inkleuren, omdaar mee aan tegeven welke clown volksvertegenwoordiger, hem weer mag vertegenwoordigen. Te minste dat denk te burger.
Deathchant 4 december 2014 11:43
Ik vraag me af hoevaak mensen nog met de neus op de feiten gedrukt moeten worden, opdat zij gaan inzien dat overheden/instanties ook niet de heilige graal zijn wat betreft bescherming van privacy. Sterker nog, ze hebben al vaker bewezen met dit soort nieuws dat juist zij niet kunnen waarmaken wat ze beloven. Ik hoop dat de naiviteit van veel mensen langzaam omslaat tot echt bewustwording, en daarbij realiseren dat er ook andere, wellicht minder makkelijke/comfortabele wegen te bewandelen zijn om je privacy nog enigszins beschermd te laten. Nou snap ik dat het bij dit betreffende artikel niet anders kan; als je werkloos bent dan kun je niet anders dan je inschrijven bij het UWV. Sommige dingen zul je wel moeten, maar ik hoop dat mensen bewust worden dat dit niet voor alles geldt en dat men gewoon serieus vraagtekens erbij gaat stellen welke bedrijven/instanties men vrijwillig in "vertrouwen" nemen en welke moedwillig.
mashell @Deathchant4 december 2014 11:58
Ik zie het zo, waar gehakt worden vallen spaanders. Maar er is toezicht door het CPB, de bevindingen zijn openbaar. We kunnen dus verbetering afdwingen. Kom daar maar eens om bij (buitenlandse) commerciële partijen.
Rhitik 4 december 2014 11:49
Tsja.. zoveelste item. Hoe dan ook, 'tis gebeurd. Wellicht gaan andere instanties nu ook nadenken en de boel verbeteren.
Beelzebassie @Rhitik4 december 2014 12:03
Hoezo verbeteren? Daarbij hebben ze hulp nodig van professionals die destijds al aan hadden moeten geven dat je dit niet moet willen; wat ga je daarvan verwachten?
Tunaflish 4 december 2014 12:00
Suwinet, een systeem waarin het UWV en gemeenten gegevens van Nederlanders over onder meer uitkeringen, arbeidsverleden en boetes uitwisselen, zo ontdekte het CBP.
Dit verbaast me niet eens meer, dat al die instanties allemaal op hetzelfde netwerk zitten en zomaar overal bijmogen.
Verwijderd @Tunaflish4 december 2014 16:27
Dat is zelfs noodzakelijk omdat uitkerende instanties moeten controleren of iemand als ergens anders inkomsten heeft.
Vroeger werd juist daar veel mee gefraudeerd
Tunaflish @Verwijderd5 december 2014 10:39
En daarvoor heb je ook mijn boetegeschiedenis nodig? Dat ze samenwerken en gegevens delen snap ik, bijvoorbeeld voor fraude tegengaan, daar heb ik niks tegen. Wat mij tegenstaat is dat al die instanties blijkbaar zonder restricties zo overal bij kunnen, ook bij de dingen die ze helemaal niets aangaan voor het uitvoeren van hun functie.
Verwijderd @Tunaflish5 december 2014 12:47
Verkeersboetes kun je niet zien.
Boetes op uitkeringen wel.
Die kunnen namelijk leiden tot een verlaging van de uitkering en het is niet de bedoeling dat dat leidt tot compensatie met hogere uitkeringen van aan andere instantie.

Er is in Suwinet overigens wel een koppeling met de het kentekenregister van de RDW en RDW+ in Suwinet. RDW+ is alleen voor opsporingszaken en is alleen geautoriseerd voor bijvoorbeeld medewerkers van de FIOD of fraude opsporingsfuncties.
Tunaflish @Verwijderd5 december 2014 14:22
OK, dan valt het allemaal mee. Zoals het in het bericht staat lijkt het alsof daar nauwelijks restricties opzitten en iedereen onbeperkt bij elkaar kan kijken, dat zou kwalijk zijn.
Thystan 4 december 2014 12:09
Ik vind het bestwel erg dat je verplicht wordt je gegevens af te geven bij mensen die er duidelijk niet goed mee om kunnen gaan.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq