Systeem met privégegevens alle Nederlanders bood opnieuw toegang aan derden

Het blijkt dat het systeem waarmee ambtenaren de persoonsgegevens van alle Nederlanders kunnen inzien, toegang heeft geboden aan instanties die daar geen recht toe hebben. Onder andere incassobureaus zouden hebben gespeurd naar persoonsgegevens.

Radioprogramma Argos ontdekte dat Suwinet, dat door ambtenaren wordt gebruikt om de persoonsgegevens van alle Nederlanders in te kunnen zien, lek is. Dat wil zeggen dat personen en instanties die eigenlijk geen toegang zouden moeten hebben, toch de informatie in Suwinet hebben kunnen bekijken. Argos besteedt zaterdag aandacht aan het probleem, zo meldt RTL Nieuws.

Onder andere incassobureaus hebben Suwinet gebruikt om persoonsgegevens te achterhalen. Ook zijn er mensen geweest die naar verblijfsgegevens hebben gezocht van vrouwen die in een blijf-van-mijn-lijfhuis wonen. Staatssecretaris Klijnsma wil dat het lek wordt gedicht, zodat alleen ambtenaren nog toegang hebben. Eerder ontdekte het CBP dat een Iers ministerie alle gegevens in het systeem kon inzien.

Suwinet wordt onder andere gebruikt om vast te stellen of iemand recht heeft op een uitkering. Overheidsinstanties zoals gemeentes en het UWV verzamelen informatie en slaan die op in Suwinet. Burgers kunnen zelf via www.werk.nl inzien welke gegevens van hen zijn opgeslagen.

Lees meer

IT-banen

Reacties (261)

Spiritos 21 juni 2015 08:41

Als oud medewerker van het BKWI (welke Suwinet ontwikkeld en bijhoudt) toch enige nuancering:

- Suwinet is zowel een applicatie als een netwerk. Derden kunnen dus nooit 'even' toegang tot Suwinet krijgen vanuit hun eigen huis/kantoor.
- Suwinet (en de gegevens erin) zijn absoluut noodzakelijk bij de uitvoering van een aantal taken door meerdere (overheids)instanties, zoals vastgelegd in de Wet SUWI.
- De applicatie kent meerdere autorisatielevels. Niet iedereen kan ALLES inzien.
- Bij misbruik door een gebruiker (zoals ongeoorloofd gegevens van iemand opzoeken) volgt ontslag op staande voet (!)
- Iedere organisatie die gebruik maakt van Suwinet kent een security officer die structureel en/of steekproefsgewijs het gebruik controleerd.
- Zoals met de meeste privacy/IT-issues betreft het hier hoogst waarschijnlijk en "simpelweg" misbruik op persoonlijk/individueel gebruik en gaat het wat ver om weer met de wolven mee te huilen dat 'de overheid' een slecht IT-landschap heeft en/of onvoldoende bezorgd is om privacy.
Immers, een callcenter medewerker van een bank kan ook gegevens doorsluizen.

Niet gezegd hebbende dat dit alles een goede zaak is maar het betreft hier eerder een mentaliteits/integriteitskwestie op individueel niveau dan een fundamentele fout in het systeem.

Verwijderd @Spiritos • 23 juni 2015 17:15

Ik weet niet tot wanneer u bij het BKWI heeft gewerkt, maar derden hebben wel degelijk toegang tot Suwinet en kunnen deze ook vanuit hun eigen werkplek/kantoor inzien.
- De derde partijen waar wij het, als Argos, in onze uitzending van 20 juni over hebben, zijn de Belastingdienst en commerciële incassobureaus. Een van die commerciële incassobureaus, Cannock Chase, heeft de inzage in Suwinet dusdanig ingericht dat medewerkers alleen vanuit het kantoor van Cannock Chase zelf in Suwinet kunnen. Deze medewerkers zitten dus per definitie niet op het gemeentehuis of op het kantoor van het UWV in Suwinet, maar op het kantoor van het incassobureau. Daarnaast hebben medewerkers van de Belastingdienst toegang tot Suwinet. Dit ook op het kantoor van de Belastingdienst, en niet bij de gemeente, de SVB of het UWV. Daarnaast is het voor steeds meer werknemers mogelijk om ook thuis te werken, en bestaat er dus ook de mogelijkheid om op de eigen smartphone of tablet in te loggen in Suwinet.
- Als u dat wilt, kunt u onze uitzending terugluisteren. Maar wij hebben in ieder geval nooit beweerd dat de gegevens in Suwinet niet nodig zijn om te bepalen of iemand recht heeft op een uitkering. Die gegevens zijn noodzakelijk, alleen het systeem zou niet misbruikt mogen worden.
- Suwinet kent inderdaad meerdere autorisatieniveaus en niet elke ambtenaar kan alles inzien. Ook heeft niet elke ambtenaar bij de gemeente of bij een andere uitkeringsinstantie toegang tot Suwinet. Maar de derde partijen die wij hebben behandeld in de uitzending hebben wel meer toegang dan waar een wettelijke grondslag voor bestaat. Ambtenaren of andere gebruikers van Suwinet die bovendien onrechtmatige raadplegingen doen, hebben per definitie geen wettelijke grondslag om die gegevens te raadplegen, omdat het niet voor de uitvoering van hun wettelijke taak is. Daar zetten wij vraagtekens bij. Wij hebben nooit beweerd dat iedere ambtenaar alles kan inzien.
- U schrijft dat bij misbruik door een gebruiker ontslag op staande voet volgt. Dit zou misschien wenselijk zijn, maar is zeker niet de realiteit. Niet iedere ambtenaar die onrechtmatige raadplegingen heeft uitgevoerd, is daarop betrapt, is daarop aangesproken, is daarvoor bestraft of is daarvoor ontslagen. Daarnaast is er het punt dat nog steeds 83 procent van de gemeenten niet voldoet aan alle zeven essentiële beveiligingsnormen, die wettelijk verplicht zijn. Deze 83 procent worden daar tot op de dag van vandaag niet voor bestraft. De staatssecretaris komt wederom met een waarschuwing, maar sluit geen gemeenten af van Suwinet, en het CBP heeft wederom een onderzoek ingesteld, maar heeft nog geen lasten onder dwangsom opgelegd.
- Iedere organisatie moet inderdaad een security officer hebben die het gebruik controleert. Er zijn echter gemeenten die nog steeds niet aan deze norm voldoen, dus niet alle gemeenten, die wel met Suwinet werken, hebben een security officer die het gebruik controleert. Daarbij is een controle die steekproefsgewijs wordt uitgevoerd verplicht, een structurele controle niet. Het is dus de vraag hoeveel gemeenten een structurele controle uitvoeren.
- Als 83 procent van de gemeenten niet aan alle zeven essentiële en wettelijk verplichte normen voldoet, lijkt het mij te simpel om te zeggen dat het om een kwestie van mentaliteit of integriteit op individueel niveau gaat. In sommige gevallen gaat het om individueel misbruik, maar er is breder toegang verleend aan derde partijen, zoals de Belastingdienst en commerciële incassobureaus. En als een systeem al dertien jaar bestaat, en al dertien jaar gemeenten en andere gebruikers niet aan de wettelijke eisen voldoen, dan komt dat toch meer in de richting van een fundamentele fout in de Suwi keten dan problemen met individueel gebruik.

U mag het uiteraard compleet met mij oneens zijn, maar dit is het verhaal zoals wij dat afgelopen zaterdag op de radio hebben geprobeerd te vertellen.

Spiritos @Verwijderd • 23 juni 2015 18:25

Beste medewerker van Argos,

Ik vind het persoonlijk niet gepast om nu op deze manier op dit forum een actuele discussie met een oud medewerker (mij) aan te gaan. Zeker niet gezien het feit dat dit de enige reden is dat u überhaupt hier op Tweakers.net bent. Dit leid ik af uit het feit dat u zich pas vandaag heeft geregistreerd.

Ook al zou ik graag inhoudelijk op een aantal -mijns inziens- onjuiste beweringen uwerzijds ingaan vind ik dat mede om bovengenoemde redenen niet mijn plek. Daarbij is het voor mij niet mogelijk om uw bevindingen te verifiëren. Ik heb vooralsnog namelijk geen idee hoe u aan deze getallen en informatie komt.

Het zou u sieren indien u rechtstreeks contact opneemt met het BKWI of de andere geëigende kanalen blijft bewandelen en niet probeert (zoals dat nu op mij overkomt) op ad-hoc basis op dit forum uw bevindingen probeert te verdedigen (overigens zonder bronvermelding of onderbouwing) en een oneigenlijke discussie aan te gaan met iemand (mij) of mede-Tweakers die tevens niet op de hoogte zijn van de actuele stand van zaken betreffende betrokken organisaties en uw onderzoek.

Zoals ik zelf in deze discussie meermalen heb aangegeven stoort het mij dat er een sentiment in de samenleving wordt gevoed waarin de combinatie 'overheden en ICT' als een slecht huwelijk wordt voorgesteld. Veelal (zo ook in dit geval) zonder feitelijke onderbouwing en wederom op een toon met datzelfde sentiment.

Begrijp me niet verkeerd. Ook ik vind dat de overheid soms door de journalistiek het vuur aan de schenen moet worden gelegd. Dit hoort nu eenmaal bij een transparante democratie waar de journalistiek veelal een controlerende positie in kan of zelfs behoort in te nemen.

Echter, in het kader van eerder genoemde stemmingmakerij vraag ik mijzelf wel eens af of het algemeen belang niet beter gediend zou zijn indien de journalistiek (net als bijvoorbeeld 'ethical hackers') bepaalde bevindingen niet eerst bij betreffende organisaties neer kan leggen alvorens deze publiekelijk te maken. Hoor en wederhoor.

Ik ben bekend met het adagium c.q. protocol van de pers wat betreft de rechtvaardiging van nieuwswaarde maar als burger word ik zowel door de journalistiek als door de overheid bediend en als individu heb ik aldus recht op mijn eigen ethische kader.

Mijns inziens zou ik als burger soms beter worden bediend indien bovenvoorgestelde handelswijze vaker wordt overgewogen m.b.t. de belangen van de samenleving als geheel. Zoals uit sommige reacties hier blijkt ,voedt een dergelijk nieuwsitem -uitsluitend bestaand uit 'platte' gegevens zonder eerder genoemde onderzoeksmethode, bronvermelding, inhoudelijke onderbouwing of nuance alleen maar het negatieve sentiment. Dit is overigens een algemene persoonlijk beschouwing op berichtgeving in de journalistiek en aldus zeker niet uitsluitend betrekking hebbend op u of uw item.

Volledigheidhalve wil ik nog wel melden dat ik niet meer voor het BKWI of de overheid werkzaam ben en in die zin nadrukkelijk niet praat als vertegenwoordiging van deze partijen maar uitsluitend als zelfstandig denkend mens.

Ik wens u desalniettemin succes met het verdere traject -indien voor u van toepassing en ik zal de verdere ontwikkelingen als toeschouwer nauwgezet volgen.

Edit: typo

[Reactie gewijzigd door Spiritos op 22 juli 2024 18:42]

Verwijderd @Spiritos • 25 juni 2015 11:08

Beste Spiritos,

Het was niet mijn bedoeling om in een discussie te treden. Het was slechts mijn bedoeling om een aantal zaken die worden besproken nader toe te lichten en waar nodig recht te zetten. Ik heb eerst een algemeen bericht geplaatst, vervolgens op uw reactie gereageerd, omdat deze bovenaan stond in de thread en vervolgens nog op een aantal andere reacties gereageerd. Ik heb inderdaad niet op alle reacties gereageerd. Ten eerste omdat dat wel erg veel is, en ten tweede omdat een aantal reacties ook gaan over persoonlijke meningen en opvattingen. Daar heb ik niets aan toe te voegen. Maar er staan wel degelijk een aantal feitelijke onjuistheden in deze discussie - zoals dat wij in de uitzending zouden hebben gezegd dat Suwinet lek is. Dit hebben wij niet gezegd, dit heeft RTL Nieuws en vervolgens een aantal andere nieuwssites ervan gemaakt. Dat is ook de reden dat ik op uw post heb gereageerd, omdat u over een aantal zaken schrijft, die volgend uit ons onderzoek niet blijken te kloppen. Op die punten ben ik ingegaan, en niet op de punten waar ik niets aan heb toe te voegen, of waar ik naar aanleiding van ons onderzoek ook niet meer vanaf weet dan u of ieder ander.

U schrijft dat het voor u niet mogelijk is om onze bevindingen te verifiëren. Dat u geen idee heeft hoe wij aan deze getallen en informatie komen. In de uitzending noemen wij bij elke bevinding of bewering de bron waar wij deze informatie hebben gevonden en vervolgens de bron waar wij deze informatie gecheckt hebben. In de volgorde van behandeling in onze uitzending zal ik deze bronnen nu even toelichten.
De kopfragmenten bestaan uit een persoonlijke opvatting/ervaring van de ambtelijk secretaris van de Landelijke Cliëntenraad en een toelichting van haar over wat Suwinet is. Vervolgens licht een privacydeskundige toe wat zijn bevindingen zijn wat betreft Suwinet. Daarvoor heeft hij jaarverslagen van het BKWI, de Suwi wet en andere documenten op de website van het BKWI doorgespit. Vervolgens komen er mensen aan het woord, die worden gevraagd naar hun persoonsgegevens. Hiervoor zijn zij zelf de bron. Daarna lichten twee gemeenteambtenaren toe wat Suwinet is, hoe het werkt en wat de voordelen van Suwinet zijn. Hiervoor zijn zij wederom zelf de bron. De informatie in onze voice-over teksten hebben wij uit jaarverslagen van het BKWI, het CBS, en de Suwi wet. Het feit dat Karst T., de man die op Koninginnedag op de Naald in Apeldoorn reed, is geraadpleegd in Suwinet hebben wij ook uit documenten van het BKWI zelf, bijvoorbeeld dit document: http://www.bkwi.nl/upload...uldig_gebruik_suwinet.pdf.

Vervolgens gaan wij in op de resultaten van rapporten van de Inspectie (voorheen IWI, nu SZW). Het rapport uit 2004 kunt u hier vinden: https://zoek.officielebekendmakingen.nl/kst-26448-191-b1.pdf. Het rapport uit 2007 kunt u hier vinden: https://zoek.officielebekendmakingen.nl/kst-30545-19-b1.pdf. De toelichtende brief waarin wordt besproken waarom gemeenten in 2005 nog geen beveiligingsplan hadden, vindt u hier: https://zoek.officielebekendmakingen.nl/kst-30545-57-b1.pdf. Het onderzoek uit 2009 vindt u hier: http://onderzoekwerkenink...vacy-in-de-suwi-keten.pdf. Het rapport uit 2013 waaruit bleek dat vier procent van de onderzochte gemeenten voldeed aan de zeven meest essentiële beveiligingsnormen vindt u hier: http://www.inspectieszw.n...Suwinet_tcm335-346931.pdf. En het meest recente rapport van de Inspectie SZW: http://www.inspectieszw.n...egevens_tcm335-365900.pdf. In deze rapporten kunt u dus alle getallen/cijfers over gemeenten, beveiligingsnormen et cetera terug vinden. Daarna gebruiken wij quotes uit het vragenuur van 12 november 2013. De uitwerking daarvan kunt u hier vinden: https://zoek.officielebek...=3&sorttype=1&sortorder=4. De verbeteringen waar wij vervolgens op in gaan, zijn cijfers uit het meest recente rapport van de Inspectie, 'Suwinet; veilig omgaan met elkaars gegevens' (de link staat hierboven). Vervolgens komt de vice-voorzitter van het CBP aan het woord.

Daarna gaan we in op tips die wij van anonieme bronnen binnen de Suwi-keten hebben gekregen. U begrijpt dat ik dat verder niet kan toelichten. De informatie die wij van hen hebben ontvangen, hebben wij vervolgens wel gecheckt. Wat betreft de blijf-van-mijn-lijfhuizen op sites van advocatenkantoren en in uitspraken die zijn gepubliceerd op rechtspraak.nl (bijvoorbeeld zaaknummer 11-5457 AW, vindplaats TAR 2013/166 en ECLI-nummer ECLI:NL:CRVB:2013:BZ9625). Vervolgens hebben wij dit ook voorgelegd aan de Federatie Opvang. Hopelijk begrijpt u ook dat zij niet kunnen vertellen van welke bronnen zij precies hebben vernomen dat zij getraceerd zijn via Suwinet. De privacydeskundige in onze uitzending gaat vervolgens in op de WBP en dat bepaalde gegevens extra beveiligd moeten worden. Ook het CBP licht toe dat met dit soort gegevens extra zorgvuldig moet worden omgegaan. Uit het jaarverslag 2005 van het BKWI (hier te vinden: https://zoek.officielebek....nl/kst-26448-271-b10.pdf) blijkt dat dit probleem al in 2005 bekend was. Wij hebben vervolgens aan het BKWI gevraagd wat er toen precies is gebeurd, en zij hebben toegelicht dat iemand had gevraagd haar adresgegevens af te schermen in Suwinet. Uit antwoorden van het BKWI op onze vragen bleek vervolgens dat zij naar aanleiding daarvan het technisch mogelijk hebben gemaakt om gegevens van mensen op te nemen in een blacklist. Op die manier zijn zij niet te raadplegen via Suwinet. Maar voor zover wij hebben kunnen vinden staat er niets over deze blacklist op de site van het BKWI. Wij hebben nog gevraagd hoeveel mensen er op een blacklist staan, om na te gaan hoe bekend deze mogelijkheid nu eigenlijk is, maar daar hebben wij geen antwoord op gekregen van het BKWI.

Dan bespreken wij de volgende tip die wij kregen, namelijk dat commerciële incassobureaus toegang hebben tot Suwinet. Wij hebben navraag gedaan bij het BKWI, maar volgens hen zijn er geen commerciële incassobureaus die toegang hebben tot Suwinet. Maar volgens een besluit van het College van B&W van de gemeente Rheden (hier te vinden: http://www.rheden.nl/bis/...gsplan_Suwinet_Inkijk.org) is het incassobureau Cannock Chase geautoriseerd om gebruik te maken van Suwinet. Wij hebben vervolgens contact opgenomen met de gemeente Rheden en aanvullende vragen hierover gesteld. Ook de VNG heeft in het 'Stappenplan voor een veiliger gebruik van Suwinet' gemeld dat het risico's met zich meebrengt als dergelijke externe partijen toegang hebben tot Suwinet (bron: https://www.vng.nl/files/vng/20140217-stappenplan-suwi.pdf). De privacydeskundige licht vervolgens toe waarom dit in zijn opvatting zeer dubieus is.

Het laatste voorbeeld dat wij behandelen is de toegang die de Belastingdienst heeft tot Suwinet. Dit blijkt uit het volgende document: http://www.rijksoverheid....rdering-oei/bijlage-j.pdf. Deze casus en alle documenten daaromtrent (het Suwinet Gegevensregister, antwoorden van het BKWI, antwoorden van de Belastingdienst) hebben wij voorgelegd aan een hoogleraar fiscaal recht. En aan de privacydeskundige. Tenslotte licht het CBP toe wat voor mogelijkheden zij hebben om te handhaven, en komt de staatssecretaris aan het woord.

U begrijpt dat wij de url van bijvoorbeeld rapporten van de Inspectie niet letter voor letter kunnen noemen in onze uitzending, daar hebben wij simpelweg niet genoeg zendtijd voor en het zorgt ook niet voor erg levendige radio die makkelijk te beluisteren is. Maar zoals ik hierboven ook al aangaf, hebben wij in de voice-over teksten elke keer aangegeven welke bron wij hebben voor de informatie en getallen die wij noemen. Wij hebben ook contact opgenomen met het BKWI, het UWV, de VNG, de Belastingdienst, de staatssecretaris, het CBP, de Landelijke Cliëntenraad, de gemeente De Wolden, de gemeente Rheden, de Federatie Opvang, de gemeente Den Haag, de gemeente Venlo, de gemeente Amsterdam, een aantal privacydeskundigen, een hoogleraar fiscaal recht en incassobureau Cannock Chase. Wij hebben al deze organisaties - waar van toepassing - om wederhoor gevraagd. Het BKWI, het UWV, de Belastingdienst, de gemeente Den Haag en Cannock Chase wilden echter geen interview op band geven. Het BKWI, het UWV en de Belastingdienst hebben wel schriftelijk gereageerd op onze vragen. Ook de VNG heeft schriftelijk gereageerd (voornamelijk vanwege tijdgebrek). Al onze bevindingen hebben wij dus bij de desbetreffende instanties neergelegd, alvorens het afgelopen zaterdag uit te zenden. Tot zover mijn toelichting op onze onderzoeksmethode, bronvermelding en inhoudelijke onderbouwing.

Tot slot wil ik nog even aangeven dat ik het sentiment waar u over spreekt niet kan wegnemen. Iedereen heeft recht op zijn eigen mening, en die kan gefundeerd of ongefundeerd zijn. Onze uitzending kan bijdragen aan dat sentiment of het kan zijn dat mensen dat sentiment toch wel hebben of zij onze uitzending hebben geluisterd of niet. Wij kunnen niet beïnvloeden hoe mensen onze reportage opvatten of welk sentiment het voedt. Wij proberen ons werk zo goed en zorgvuldig mogelijk te doen, maar dan nog steeds kunnen mensen zoals u van mening zijn dat wij dit niet hebben gedaan. Door middel van deze reacties wil ik alleen toelichten wat wij hebben gedaan en hoe wij dat hebben gedaan. U mag daarvan denken wat u wilt. Daarbij wil ik nog toevoegen dat ik er ook niet vanuit ging dat u sprak namens het BKWI, de overheid of een overheidsinstantie.

Spiritos @Verwijderd • 25 juni 2015 20:32

Beste medewerker van Argos,

Ik was bezig met een uitgebreide reactie aan u mede aan de hand van de door u verschafte documentatie die in verschillende tabs openstond maar door een stommiteit van mijn kant klikte ik het verkeerde tabblad weg en daarmee mijn reactie waar ik inmiddels uit respect voor uw inspanning en moeite al bijna 3 uur mee bezig was. Waar mensen werken worden fouten gemaakt...

Om uw reactie toch niet helemaal voor niets te laten zijn geweest hierbij een poging tot een beknopte reconstructie van hetgeen ik u wilde melden.

In de eerste plaats wil ik u verzekeren dat ook ik niet de intentie had om een inmiddels behoorlijk substantiële bijdrage te leveren aan deze discussie maar zoals u wellicht kunt begrijpen reageert er iemand, vraagt iemand wat of lees je onjuistheden waardoor je er vervolgens persoonlijk en emotioneel bij betrokken raakt.

Ten tweede vind ik het u sieren dat u op een dergelijke rustige toon reageert terwijk ik mij gedoseerd toch van een zekere "stemmingmakende" toon bediende. Wellicht is het een tactische beslissing uwerzijds terwijl u van binnen kookte maar toch: Professioneel en mijn waardering daarvoor.

Hopelijk begrijpt u wel wáárom ik bewust koos om op momenten een dergelijke "kleur" van taal te hanteren. Ik wilde laten zien dat je een inhoudelijk en onderbouwde reactie kunt geven die je toch een zekere richting of kleur meegeeft want dat was in de kern mijn verwijt aan u.

Uw terechte rectificatie betreffende de verbastering van RTL Nieuws begrijp en deel ik volkomen en wil ik meteen verbinden aan enkele reacties op dit forum aan de hand van uw uitspraak dat u niet kunt beïnvloeden hoe mensen uw reportage waarderen. Het raakt aan de deconstructie van Derrida. Het is aldus de context die van belang is. Hierdoor ben ik het met u eens, daar waar het vooroordelen en/of bestaande sentimenten betreft. Kijk hiervoor ook naar mijn eerste reactie die door 8 mensen als off-topic/irrelevant is gemod en door 73 mensen als spotlight. Dat is bijna 10% bestaand sentiment op basis van een eenvoudige weergave van enkele feitjes.

Niet eens met u ben ik het wat betreft de geboden vorm/context en de beïnvloeding die daaruit voortvloeit. Mijn kritiek hierop heb ik in mijn laatste reactie reeds gegeven, onderbouwd en als voorbeeld zelf gehanteerd en al waardeer ik het dat u nu (pas) een zeer uitgebreide onderbouwing en bronvermelding geeft (althans hier op dit forum) valt het mij wel op dat u niet reageert op die kritiek mijnerzijds die -andermaal- een wezenlijk deel vormde van mijn verontwaardiging.

U geeft gelijk daar waar u schrijft dat ik voor deze onderbouwing naar uw uitzending had kunnen luisteren. Echter, in uw eerste reactie aan mij stond geen explicite verwijzing naar deze link. Die volgde pas later. Het is dan ook pas nadat ik deze heb beluisterd dat ik kritiek uitte op de vorm. Zoals gezegd was het niet mijn intentie om zoveel tijd aan deze discussie te besteden en gegeven het feit dat u er zelf voor koos om in eerst geplaatste reacties na registratie op Tweakers zonder onderbouwing en bronvermelding te reageren rechtvaardigd en verklaard mijns inziens mijn eerdere response aan u. U ging zelf het debat aan op dit forum waar al een dag gediscusieërd werd op basis van de berichtgeving hier op Tweakers (en dus onvolledig) met misschien de onterechte verwachting dat een ieder die zijn mening ventileerde reeds de tijd en moeite had genomen om uw uitzending van een half uur op te zoeken en te beluisteren.

Ik vind het nog steeds niet mijn plaats om inhoudelijk een debat met u aan te gaan over uw bevindingen omdat ik reeds sinds 5 jaar niet meer voor het BKWI werk en derhalve niet alle kennis meer paraat heb maar ik wil als verdere onderbouwing qua kritiek op de vorm en een gedeeltelijke inhoud wel nog een aantal punten uitlichten:

1. In de uitzending meldt u dat er in 2002 5,8 miljoen bugers zijn bevraagd terwijl er maar 3,7 miljoen uitkeringen werden verstrekt. Door dit feit binnen een dergelijke context (geen) op die manier te presenteren impliceert dit dat er 1,8 miljoen mensen ten onrechte zijn bevraagd. Echter, één doel van bevraging is het bepalen van het recht op een uitkering. Dit betekent dus ook dat er aanvragen op basis van raadpleging worden afgewezen. Daarnaast heeft een medewerker die Suwinet gebruikt (in ieder geval tijdens mijn tijd bij het BKWI) het recht om zijn eigen BSN te bevragen. Tevens zijn er medewerkers schuldhulpverlening, sociale recherche, terugvordering en verhaal, inburgering , bronhouders en andere partijen die om andere wettelijke redenen gegevens van een burger mogen/moeten bevragen.

In mijn optiek is dit niet anders te duiden dan "kleur" geven aan een feit.

2. De privacy-deskundige Bart van der Sloot meldt dat er "ontzettend veel dossiers zijn opgeslagen". Andermaal, het gaat om een verwijsindex die bronnen bevraagd. Van opslaan is dus absoluut geen sprake. Dit is een feitelijke onjuistheid die tevens (ook in mijn ogen als het waar zou zijn) een negatief sentiment meegeeft aan de werking van de applicatie.

3. In het interview met het D66 kamerlid doet deze als goed politicus een lekker catchy statement, namelijk dat "de beveiliging van Suwinet een potje is". Nadat hij is uitgesproken is de volgende "vraag" van de interviewer "de overheid maakt er een potje van?" Kleur en tevens woorden in de mond leggen. Lekker scorende radio maar weinig constructief.

4. Het voorbeeld van de "Blijf van mijn lijf" huizen. Het gaat hier om een zeer kwetsbare groep uit de samenleving en spreekt daarmee tot ieders verbeelding en wordt derhalve dan ook een aantal keer aangehaald in de docu. U noemt een geval uit 2013 en twee zaken in Amsterdam en Venlo. Laat ik voorop stellen dat ook ik vind dat dit bestraft moet worden. Echter, de proportionaliteit qua frequentie wordt aardig opgeblazen en tevens wordt de indruk gewekt dat dit een structureel probleem zou zijn. Als ik het goed begrepen heb gaat het echter om een geval waarbij een medewerker van de gemeente zelf zijn vrouw opzocht of om een mogelijke situatie (zoals de dame van de cliëntenraad hypothetisch stelt) waarbij "iemand" zijn netwerk op orde heeft en een "vriendje" bij de gemeente kent die beiden "toevallig" een danig karakter hebben dat deze in "voorkomend geval" "eventueel" misbruik van Suwinet zouden kunnen maken.

Ik wil het niet bagataliseren maar zoals ook in een andere post van mij vermeld geldt dit mogelijke misbruik voor ALLE situaties betreffende zowel private als publieke partijen die informatie over een persoon zouden kunnen verschaffen. Om dit als een fundamentele fout aan te merken van de applicatie vind ik persoonlijk onzin. Zoals ik ook in de genoemde eerdere post vroeg: Noem mij één database van welke mondiale organisatie dan ook die niet misbruikt kan worden door een kwaadwillend indiviu.

5. Ik ben onbekend met de toegang van de Belastingdienst tot Suwinet maar ter overweging: De BD is samen met het UWV bronhouder van (de basisregistratie) Polisadministratie waar alle inkomens- en uitkeringsverhoudingen instaan en daarmee welllicht de partij die het grootste deel aan informatie levert via Suwinet. Als zij toegang hebben.. Tot welke informatie dan? Er wordt gesproken over heffingskortingen. Deze worden bepaald aan de hand van de gegevens die de BD en UWV zelf beheren. Uiteraard vind ik dat hier een wettelijk grondslag voor moet zijn maar praktisch gedacht kijken zij dus wellicht naar hun eigen gegevens middels een interface omdat deze dit overzichtelijker toont dan die van hunzelf.

6. In het verlengde van het vorige punt wordt in de hele docu nergens gesproken (correctie: een enkele keer) over de verschillende rollen en levels van autorisatie. Als ik als leek naar de docu luister dringt zich het beeld op dat toegang tot de applicatie per definitie betekent dat een gebruiker alles over iedereen kan zien. Dit is pertinent onjuist.

Het is niet mijn bedoeling om jullie volledig af te branden. Ik ben slechts een kritisch denkend en waarnemend mensen. Op basis van uw laatste reactie is mij helder dat jullie wel degelijk een gedegen journalistiek onderzoek hebben gedaan en de bronvermelding netjes op orde hebben (wellicht met uitzondering van de anonieme bronnen - maar als burger t.o.v. de journalistiek is daar om zeer begrijpelijke maar binnen de context van dit item tevens ironische redenen geen transparantie in).

Wellicht vloeit mijn ergernis voort uit het feit dat ik zelf voor de overheid heb gewerkt en heb gezien hoeveel betrokkenheid en deskundigheid er rondloopt en (in relatie tot Suwinet) hoeveel strenge regelgeving er bestaat die frappant genoeg vaak hele humane en logisch lijkende (ICT)oplossingen in de weg staan.

Tegelijkertijd is een ieder bekend met het algemen sentiment jegens de overheid. Van luie ondeskundige ambtenaren tot een organisatorisch ingebakken desinteresse in privacy en wetgeving. Dit zal ontegenzegelijk voor sommige individuen gelden en de omvang van de diverse overheidsorganisaties brengt zeker een bepaalde logheid met zich mee (zeker als je dit afsteekt tegen een continue op de markt reagerende commerciële partij) maar in mijn optiek komt het veelal neer op individuen en individuen werken zowel in de publieke als private sector.

Controle op overheden moet er zeker zijn en in sommige landen zou ik nooit willen wonen maar ik heb persoonlijk geen zin om met de wolven mee te huilen en een sentiment te voeden wat eerder een houding dan een bevinding lijkt.

Ik begrijp dat u als radiomaker te maken heeft met luistercijfers, creative impulsen en in vele gevallen een gepassioneerd verlangen van medewerkers naar het bevinden van onrecht en misbruik om aan de kaak te stellen. Daar ben ik als burger blij om. Toch kan ik mij niet helemaal vinden in uw mening dat u de vorm van berichtgeving niet in de hand heeft en (in relatie tot luistercijfers) soms de noodzaak voelt om nieuws "kleur" mee te geven. Ik begrijp dat dit soms de realiteit is in medialand of dat uw beroepsgroep dit wellicht soms ervaart als een rechtvaardiging in relatie tot het onderwerp en het niet als primaire taak ziet om "neutraal" nieuws te brengen maar naar mijn bescheiden mening zie ik het echter wél als een morele verantwoordelijkheid.

Zo.. Nu ben ik echt klaar met deze discussie. Eerstvolgende keer dat ik mij hier meng in een discussie zal dat met de nieuwe release van "Grand Theft Auto VI" zijn. Een stuk eenvoudiger en scheelt me een hoop tijd...

Edit:Typo

[Reactie gewijzigd door Spiritos op 22 juli 2024 18:42]

simbyon @Spiritos • 25 juni 2015 05:50

Hmmm.....
Als simpele ziel zijnde moet je mij hier niet op afrekenen als U mij niet begrijpt maar volgens mij stelt U hier voor om deze informatie eerst aan de misbruiker te laten inzien welke het dan natuurlijk gaat ontkennen, nuanceren of simpelweg negeeren alvorens het probleem openlijk bekent te maken aan de gedupeerden.
Dit lijkt me totale nonsens en geeft geen meerwaarde aan de beweringen.
In Uw reactie bespeur ik enige ergernis naar het feit dat dit op deze wijze word besproken in dit forum.
Het is dankzij fora als deze dat wij zulke zaken te weten komen en zeker niet op de wijze welke U voorstelt.
Verder kan ik enkel nog toevoegen dat het centraliseren van data welke beheerd word door overheden steeds een reel risico inhoud voor de burgers, gegevens welke onder het huidige bewind onschuldig zijn blijken dat helemaal niet te zijn indien de politieke geaardheid van dit bewind wijzigt.

Spiritos @simbyon • 25 juni 2015 15:30

Ik reken je nergens op af. Dit is een platfrom voor het uitwisselen van meningen en beschouwingen en zolang dit met argumenten gebeurd juich ik dat alleen maar toe.

Als ik jouw redenering verder doortrek volgt dan ook de conslusie dat jij tegen ''ethical hacking' bent? Immers, je bezwaren gelden ook binnen die context.

Daarbij stel ik het voor als extra instrument/overweging en zelfs als jouw scenario's manifest worden kan een partij als Argos (net als een white hacker) alsnog besluiten dit wereldkundig te maken. Persoonlijk ben ik er voor mijzelf nog niet uit wat betreft de 'condition humain' maar geef ik individuen en organisaties graag het voordeel van de twijfel en redeneer dus liever vanuit welwillendheid dan vanuit fundamenele achterdocht. Ook dit is overigens slechts mijn mening.

Zoals eerder aangegeven denk ik dat ik bovengemiddeld kritisch ben in het hele privacy-debat en ben ik een verklaard voorstander van een doorzichtige democratie en de morele plicht om misstanden bij zowel publieke- als private partijen aan te pakken (en hard!) Ik deel dus je mening dat er kritische journalistiek moet worden bedreven,

Echter, zoals ik nu begrijp (dankzij nieuwe posts met informatie van Argos -waarvoor dank) hebben zij wel degelijk gedurende de onderzoeksfase enkele instanties benadert. Mijn ergernis was ten tijde van mijn uitspraak aldus gebaseerd op de tot dat moment beschikbaar gestelde informatie

Ook ben ik het met je eens dat het verzamelen van data -of accurater uitgedrukt- beschikbaar stellen van data middels een gecentraliseerde omgeving inherent risico's met zich meebrengt. Denk hierbij ook eens aan de bewaarplicht voor Providers. Duitsland stelt zich hier bijv. al een stuk kritischer in op -aangezien zij met hun Stasi-verleden een iets minder prettige kant van deze discussie hebben ondervonden.

Andermaal. ook ik kijk zeer kritisch naar instanties (publiekelijk en private) maar tevens kijk ik kritisch naar de manier waarop informatie wordt gedeeld. Zo ben ik dan weer geen fan van Wikileaks omdat ik echt niet hoef te weten dat Pietje in zijn mail naar Jantje zijn baas Henk een 'oetlul' noemde. Ik zie daar geen maatschappelijke meerwaarde in.

Edit: typo

[Reactie gewijzigd door Spiritos op 22 juli 2024 18:42]

Me_Giant

@Spiritos • 24 juni 2015 13:41

Omdat ik het idee heb dat je dit niet hebt gezien wil ik slechts even laten weten dat deze Argos-medewerker ook enkele andere posts heeft geplaatst verder naar onderen en daarbij de docu heeft gelilnkt bij wijze van bronvermelding: http://argos.vpro.nl/seizoenen/2015/afleveringen/20-06-2015

Ik denk dus niet dat het deze medewerker erom gaat om jou als ex-medewerker aan te vallen. Of je de bronvermelding afdoende vindt is natuurlijk wel de vraag.

[Reactie gewijzigd door Me_Giant op 22 juli 2024 18:42]

Spiritos @Me_Giant • 24 juni 2015 18:43

Dank je. Mijn reactie heeft echter met de tijdslijn te maken.

De eerste reactie van deze persoon was algemeen (16:55 uur) maar de tweede en derde reactie waren aan mij gericht (17:15 uur en 17:32 uur) en omdat ik toen op Internet zat las ik deze meteen. Er waren toen nog geen reacties aan anderen.Overigens heb ik geenszins het idee dat deze persoon mij persoonlijk aanvalt.

Mijn ergernis bestaat enerzijds uit het feit dat deze persoon zich uitsluitend registreert bij Tweakers om (zo lijkt het in eerste instantie) op mij te reageren en überhaupt hier de discussie aan te gaan met leken. Tenzij er nog andere Tweakers hier goed bekend zijn met Suwinet is het dan een oneigenlijke discussie en in mijn ogen alleen maar stemmingmakerij. Dit toon ik volgens mij ook helder aan in mijn tweede reactie.

Anderzijds betreft mijn ergernis de "docu". Ik heb hem inderdaad beluisterd en met kromme tenen. Er zitten werkelijk tal van feitelijke en contextuele onjuistheden in waar andere relevante informatie weer ontbreekt (denk aan de diverse autorisatielagen die nergens worden genoemd).

Daarnaast zijn sommige fragmenten (met name de "vraaggesprekken") ook buitengewoon slechte journalistiek: Gesloten c.q. leidende vragen, uitspraken in de mond leggen, medewerkers van gemeenten en e.o.a. dame van de cliëntenraad (die zéker geen toegang heeft tot Suwinet-Inkijk) die vooral ge-edit zijn op lekker pakkende quotes, voortvloeiend uit (een overigens begrijpelijke maar desalniettemin op een enkel incident gebaseerde maar -o zo makkelijk scorende- verontwaardiging over) de kwestie m.b.t. de "Blijf van mijn lijf huizen" waar vooral het gebrek aan kennis en nuancering in het oor springt en zelfs "experts" die voornamelijk reageren op "wat als" stellingen.

De kern van het verhaal blijkt vooral "Er bestaat met het bestaan van een dergelijke applicatie een risico op misbruik. Tja, dat is in mijn ogen de dualiteit van het leven zelf. Een pistool is niet goed of slecht, enkel de persoon die het hanteert en het enige wat je kunt doen is het gebruik zo goed mogelijk reguleren maar ik betwijfel -in algemene zin- of je iedere vorm van misbruik kunt inregelen. In die zin is mijn wellicht dubieuze vergelijking met wapens zo vreemd nog niet als je naar dat misbruik kijkt (ondanks zeer strenge wetgeving).

Mijn verontwaardiging betreft overigens niet eens zozeer het feit dat Suwinet wordt gehekeld alswel het niveau van de journalistiek. Inderdaad vind ik de bronvermelding en onderbouwing ook hier onvoldoende uitgewerkt. Liever een ellenlang en gortdroog maar wel volledig en genuanceerd verhaal dan een slordige schets, opgeschmuckt met een paar catchy quotes en een dreigend achtergrondmuziekje.

Ik acht het dan ook niet eens geheel ondenkbaar dat de nieuwsmakers in beginsel een paar aanknopingspunten hadden voor een kritisch en beschouwend verhaal maar de uitwerking ervan in deze schiet naar mijn normen tekort waardoor ik er zeer weinig mee kan.

teacup @Spiritos • 21 juni 2015 13:40

Misschien kan jij mijn twijfels wegnemen. Enkele van je opmerkingen zijn op meer manieren uit te leggen, kan je daarom nog wat extra toelichten?

Je stelt dat niet iedereen alles kan inzien.
Moet ik hieruit interpreteren dat niet iedereen alle cliënten kan inzien, dat niet iedereen alle cliëntinformatie van een cliënt kan inzien, of een combinatie van beiden?

Je stelt dat Suwinet meerdere autorisatielevels kent.
In een reactie hieronder (teacup in 'nieuws: Systeem met privégegevens alle Nederlanders bood opnieuw toegang aan derden') kijk ik naar hoe (vermoedelijk) het EPD functioneert, waarbij behandelaars alleen toegang krijgen tot hun patiënten, en geen andere mensen. Deze toegang raakt na de behandeling ingetrokken. Ook bij dit systeem kan het aantal behandelaars in de tijd nog behoorlijk toenemen, maar de toewijzing van patiëntengegevens aan behandelaars lijkt me hierbij wel meer expliciet. Waar ik in genoemde reactie zelf niet helemaal uitkwam was hoe ik de autorisatie van Suwinet nu moet interpreteren.

In genoemde reactie neig ik zelf naar de conclusie dat de autorisatie vooral applicatie georiënteerd is, en niet content georiënteerd. Afhankelijk van de rol, functie en positie in de organisatie krijgt een medewerker toegang tot een of meer Suwinet deelapplicaties zodat de medewerker alle handelingen in Suwinet kan doen die bij de rol van de medewerker horen. Dit leid ik af uit de factsheet suwinet authorisatie, een duidelijker bron dan de bronnen genoemd in eerdere reactie. De bijbehorende handleiding gebruikers administratie vult dit nog wat verder in. De toegang van Suwinet gebruikers tot hun cliënten blijft me alleen wat onduidelijk. Regelt Suwinet de toegang tot cliënteninformatie (content) met een expliciete toekenning van een behandelaar aan een cliënt, of verloopt deze toegang via de rol van de medewerker en de organisatie waar de medewerker toe behoort? Zou de toegang impliciet via de rol/organisatie plaatsvinden dan moet met 45000 gebruikers deze rol/organisatie matrix fijnmazig zijn om te voorkomen dat gebruikers toegang hebben tot gegevens van teveel cliënten. Dit laatste is mijn zorg hierbij. Of kent de software toch een workflow waarbij een cliënt expliciet aan een behandelaar wordt toegewezen?

edit: typo's, taal

[Reactie gewijzigd door teacup op 22 juli 2024 18:42]

Spiritos @teacup • 22 juni 2015 11:21

@Teacup
Je stelt dat niet iedereen alles kan inzien.

Niet alle cliëntinformatie. Slechts het strikt noodzakelijke voor de uitvoering van de taak (conform de Wet Bescherming Persoonsgegevens (WBP))

Je stelt dat Suwinet meerdere autorisatielevels kent.

De toegang verloopt inderdaad via de rol en wettelijke taak van de medewerker van de betreffende organisatie.

Voorbeeld: Een bijstandsuitkering kent een inkomens en een vermogensdrempel. Een WW-uitkering alleen een inkomensdrempel. Een medewerker van een Sociale Dienst die moet bepalen of iemand recht heeft op een bijstandsuitkering heeft aldus bijvoorbeeld inzicht in het voertuigbezit (RDW) van een persoon omdat een auto die een waarde boven en X-bedrag vertegenwoordigd als vermogen wordt aangemerkt.
Een medewerker van het UWV die het recht op WW moet bepalen heeft deze gegevens niet nodig dus heeft ook geen toegang hiertoe.

Zou de toegang impliciet via de rol/organisatie plaatsvinden dan moet met 45000 gebruikers deze rol/organisatie matrix fijnmazig zijn om te voorkomen dat gebruikers toegang hebben tot gegevens vanteveel cliëntenn.

Dit is niet praktisch en gaat voorbij aan de doelstelling. Voorbeeld: Een burger komt bij het gemeentelijk loket een uitkering aanvragen en de gemeentelijk medewerker moet het recht hiertoe bepalen. Suwinet is niets anders dan een portaal tot basisregistraties en geen AI

. De medewerker moet in beginsel dus iedere burger met deze hulpvraag meteen kunnen helpen. Op basis van het BSN wordt vervolgens in Suwinet gekeken of deze persoon inderdaad recht heeft op een uitkering. Als het recht hierop al van tevoren bekend zou zijn (AI) zou Suwinet aldus overbodig zijn.

UIteindelijk krijgt in het werkproces (backoffice) een medeweker natuurlijk wel een specifiek aantal cliënten toegewezen. Deze mag dus niet zomaar willekeurige BSN's gaan bevragen en ja, dit wordt uiteraard gelogd en er zijn meerdere controlemomenten/ personen die de rechtmatigheid van bevraging controleren, zowel binnen de betreffende organisatie als bij het BKWI.

Andermaal, het toezicht is buitengewoon streng. "One strike you're out!"
Als een medewerker onrechtmatig (bijvoorbeeld zijn buurman) opzoekt in Suwinet volgt ontslag op staande voet.

teacup @Spiritos • 22 juni 2015 18:24

Dank je voor je uitgebreide antwoord. hiernaast heb ik ook naar de discussie verder in de draad gekeken. De valkuil die wij hier allen hebben is dat we een complex probleem systematisch trachten af te vangen. Technici en automatiseerders hebben nu eenmaal een sterke technocratische geaardheid

, daar is niets verkeerd aan, godzijdank lopen er nog wat mensen rond in dit land die in systemen trachten te denken, zolang ze zich van die technocratische valkuil bewust blijven.

Zoals je stelt is Suwinet een portaal dat toegang geeft tot meerdere basisregistraties. Het systeem moet dus een Zwitsers zakmes zijn om gebruikers te koppelen aan de informatie opgesloten in de meerdere basisregistraties. Als ik het goed begrijp neemt het de autorisatierol van deze ze basisregistraties over. Authorisatie vindt plaats via een niet te fijnmazige organisatie/rol matrix of boomstructuur.

Het is heel gemakkelijk Suwinet in deze fase te veroordelen als kwetsbaar. Suwinet representeert in mijn beeldvorming een overgangsfase naar een volgende fase van verdergaande integratie. Die volgende fase in mijns inziens onvermijdelijk door de noodzakelijke verbetering van de beheersbaarheid. Suwinet was een laagdrempelige slag om veel informatie centraal toegankelijk te maken.

Het huidige systeem heeft kwetsbaarheid door de gelaagdheid (gebruiker > Suwinet > basisadministratie x n) maar ook door het grote aantal gebruikers (45000 heb ik zien noemen).

De gelaagdheid is met de verdergaande integratie af te vangen. De hele grote groep gebruikers is van een andere orde. Bijzonder is dat we het niet hebben over een gesloten hiërarchische organisatie als een internationale bank, maar over een aantal organisaties die met ieder een eigen (deel)invalshoek en werkwijze.gebruik maken van een of meer gegevensbronnen.

Wil een verdere integratie succesvol worden stel ik mij, in alle bescheidenheid hoor, voor dat het volgende zou moeten gebeuren (mijn referentiekader is hierbij mijn achtergrond in gebruik en specificatie van Product Datamanagement systemen):

in kaart brengen van werkwijzes van de verschillende betrokken organisaties en het harmoniseren van deze werkwijzes in een beperkt aantal generieke workflows die in de database omgeving ingebed moeten worden. Authorisatie middels probleem/client/case eigendom moet hier deel van uitmaken. Dit komt dan dus bovenop de authorisatie voor de toegang tot de database interface. Essentieel (randvoorwaarde) hierbij is dat de betrokken organisaties in beweging moeten komen om een gemeenschappelijke manier van werken te adopteren.
verminder het aantal gebruikers tot een beperkter aantal informatie specialisten die andere medewerkers met informatie voeden. Deze specialisten staan dichter bij het systeem en nemen deze rol en haar consequenties meer serieus. Deze groep vormt een veiligheidsklep ten opzichte van alle informatie vragende medewerkers die om wat voor reden dan ook informatie willen hebben. Met workflows kan het beschikbaar stellen van informatie door informatiespecialisten aan de informatievragers worden gestructureerd. Resultaat is een scheiding van machten. Verantwoordelijkheid voor de inhoudelijke werkzaamheden wordt gescheiden van verantwoordelijkheid voor proces en informatiekwaliteit. Deze twee verantwoordelijkheden beconcurreren elkaar voortdurend en dienen uit elkaar getrokken te worden.
een laatste ding, en misschien wel het belangrijkste: geef alle medewerkers een goede opleiding, de aard van die opleiding is natuurlijk verschillend voor de informatiespecialisten en de inhoudelijke gebruikers van de informatie. Maar privacy en integriteit van informatie moet een richtinggevend credo zijn van deze gebruikers, en niet alleen de lokale beslommeringen van de directe werkgever. Resultaat hiervan zou een soort houding verandering moeten zijn. In hun beleving zouden ze zich in plaats van medewerker van organisatie x meer als representant van het landelijk informatiesysteem bij organisatie x moeten gaan voelen. Een soort verandering van mindset, met solidariteit naar de taak van de organisatie waarbij je werkt, maar ook naar de integriteit van de informatie waarmee wordt gewerkt.

Dit zijn alleen maar wat gedachtes die ik kreeg bij het lezen van de reacties. Soms wat technocratisch, maar misschien is de scheiding van verantwoordelijkheden voor systeem en inhoud het meest relevant. Maar ik kijk er ook maar tegenaan. Ik wilde je tenslotte nog even een compliment geven voor de wijze waarop je jezelf in deze topic als tijdelijk ambassadeur voor Sawinet hebt opgeworpen. Dit betekende soms behoorlijk tegen de stroom inzwemmen voor je, denk ik, en dat deed je goed wat mij betreft

. Credits!

edit: taal

[Reactie gewijzigd door teacup op 22 juli 2024 18:42]

Spiritos @teacup • 22 juni 2015 20:02

Dank voor je compliment en je genuanceerde reactie!
Overigens heeft mijn "ambassadeurschap" zijn natuurlijke levensduur wat mij betreft nu wel gehad

Toch nog uit respect voor jouw duidelijke verhaal een laatste reactie:

In eerste instantie is het goed om te onderstrepen dat Suwinet-Inkijk bedoeld is voor de Keten van Werk en Inkomen, zoals vastgelegd in de Wet SUWI. Het is niet de enige verwijsindex in Nederland en misschien ook wel niet de meest complete.

De doelstelling van de overheid is dat er uiteindelijk (nu zijn het er nog 12) ik meen 8 basisregistraties komen van waaruit verschillende overheden en burgers (via DigiD) gegevens kunnen putten ter uitvoering van hun wettelijke taken. Doel is helder: efficiëntie, kostenbesparing, administratieve lastenverlichten, rechtmatigheidscontrole en het tegengaan van fraude (door en voor de burger -ironisch genoeg binnen de context van dit topic).

Ik weet niet wat het actuele aantal gebruikers nu is maar stel 45.000 (lijkt mij veel maar desalniettemin..) Realiseer hierbij dat sommige gebruikers slechts geautoriseerd zijn om 5% van de totale gegevens te bevragen. Vanuit hun eigen wettelijke taken zoals je zelf helder aangeeft. Sommige autorisatierollen zien bijv. alleen NAW gegevens.

Ook al begrijp en waardeer ik je randvoorwaarden zie ik het persoonlijk toch wat anders: Uiteindelijk bestaat de applicatie om medewerkers van overheden te ondersteunen bij het uitvoeren van taken (hulp) aan burgers (ons). Dit scheelt tijd/geld etc. (zie riedel in bovenstaande paragraaf) en daar zijn beide partijen bij gebaat. De doorlooptijd van het aanvragen van een uitkering is nu bijv. stukken korter dan voorheen en als jij als burger werkloos wordt, ben je daar bijzonder blij mee (in tegenstelling tot vroeger -waar ironisch genoeg weer veel kritiek op de overheid was dat e.e.a. niet sneller kon wegens een gebrek aan automatisering).

Mijns inziens zijn de rollen/taken/authorisaties per organisatie/medewerker nu al goed in beeld gebracht. Immers, daarom is er een boomstructuur c.q verschillende levels in accounts.

Authorisatie middels probleem/client/case is een begrijpelijke gedachte maar geredeneerd vanuit fraudegevoeligheid van de applicatie. Echter, de werkprocessen zijn en moeten (ook in mijn ogen) leidend zijn bij de functionaliteit van een applicatie. Wederom het voorbeeld van een medewerker Sociale Dienst die een aanvraag van een burger behandeld aan het gemeentelijk loket. Er is dan nog geen 'case' alleen 1 burger van de 17 miljoen mogelijke burgers die aan het loket komen.

Ook je tweede punt is mijns inziens bezijden de praktijk. Het gebruik is immers geen rocket-science en zoals eerder vermeld zijn er eigenlijk geen partijen die ALLE informatie van een burger in kunnen zien. Immers, dat is niet nodig voor de specifieke taak van een GSD/UWV/SVB etc. Daarbij treedt er wederom weer vertraging op en onstaat er een barrière tussen de gebruiker en het doel van de applicatie om over foutmarges bij overdracht nog maar te zwijgen. Om de gegevens goed te kunnen gebruiken dien je immers kennis te hebben over je wettelijke taak. Een 'applicatie specialist' heeft een andere rol en andere kennis nodig.

Feitelijk valt de oplossing van jouw tweede punt aan je derde aanbeveling.
Jij zegt in eerste instantie 'opleiding' (ik kort het even in) maar dan ook 'integriteit'.

Dat is het toverwoord voor mij. Ook een specialist kan frauderen. Statistisch gezien heb je uiteraard gelijk met 'hoe minder gebruikers, hoe minder kans op misbruik' maar dat is risico-beperking daar waar we toe willen naar een fundamentele oplossing betreffende integer besef en gebruik van gevoelige informatie.

Misschien heb ik niet even helder of uitgebreid genoeg gereageerd op je steekhoudende argumenten maar daar waar ik deze reactie mee begon, moet ik hem nu ook mee eindigen: Ik vind het wel mooi geweest voor vandaag

Ik wilde slechts wat extra informatie en nuance delen en dankzij jouw inhoudelijk reactie weet ik dat dit laatste in ieder geval is gelukt. Dank je!

arthur-m @teacup • 21 juni 2015 18:39

Als buitenstaander van de discussie snap ik je vragen.
Maar als buitenstaander snap ik ook dat je geen antwoord op deze vragen krijgt. Niet zonder dat er belangrijke veiligheidsinformatie wordt prijsgegeven.

Ik denk dat je het moet doen met de algemene uitleg die spiritos je geeft...

[Reactie gewijzigd door arthur-m op 22 juli 2024 18:42]

svenslootweg @arthur-m • 22 juni 2015 04:59

Maar als buitenstaander snap ik ook dat je geen antwoord op deze vragen krijgt. Niet zonder dat er belangrijke veiligheidsinformatie wordt prijsgegeven.

Hoezo? Als het beantwoorden van dergelijke vragen een beveiligingsrisico oplevert, is het systeem per definitie lek.

arthur-m @svenslootweg • 22 juni 2015 10:01

Trek even de analogie met, laten we zeggen, een banksysteem.

Wat jij vraagt is: wie kan er allemaal betalingsverkeer bekijken. Ah ok, je moet dus minimaal 'adviseur' zij oid.
Vervolgens target je/men met deze info, adviseurs of 'hoger' van een bank met een malafide mail.

Ik bedoel te zeggen: ik zou er als organisatie niet erg blij van worden als insiders uit de doeken doen welke lagen van beveiliging en autorisaties en zijn. Zeg maar: als je weet hoe het werkt, kan de beveiliging er minder goed door worden. Als aanvaller/malafide gebruiker weet je daardoor precies wat mogelijk is en wat niet

William_H @arthur-m • 22 juni 2015 18:23

En dat is precies waarom @svenslootweg zijn link toevoegt, het https://nl.wikipedia.org/wiki/Principe_van_Kerckhoffs. Simpelweg gezegd, je kunt het slot uit elkaar halen, bestuderen, maar dan weet je nog niet de sleutel. Die blijft prive.
Waar jij voor pleit is security through obscurity. Zoals zoveel overheidsambtenaren reageren als er weer ergens een lek is en men bang is dat de hele mikmak op straat ligt en er massaal "National security" bij wordt gehaald.
Hoe kan het dan dat hele beveiligingsprotocollen op het internet Open Source zijn en toch kunnen functioneren? In jouw denkwijze zouden die protocollen niet kunnen functioneren want iedereen kan zien hoe het werkt.
Om nog even een tegen voorbeeld te geven, tegen security through obscurity, Kaspersky antivirus is uiteindelijk gereverse engineerd door de Britse veiligheidsdiensten. Gesloten zaken zijn niet per definitie veiliger dan beveiliging waarvan de werking bekend is

[Reactie gewijzigd door William_H op 22 juli 2024 18:42]

arthur-m @William_H • 22 juni 2015 19:49

Ik vermoedde al dat iemand zou komen met security by obscurity n.a.v. mijn uitleg.

Ik zal het voorbeeld vertalen naar een ander voorbeeld: als je weet waar een beveiligingscamera op staat, weet je ook waar je NIET moet lopen. Dat soort info kun je dus prima gebruiken in een aanval.

Enne: er zijn zat voorbeelden bekend dat als je het slot uit elkaar haalt, je de sleutel af kunt leiden.

Om weer even it-gerelateerd te worden: stel je bent malafide en je weet dat toegang tot een systeem middels een token wordt geautoriseerd. Je zou dan kunnen proberen de token te kraken. Gaat je niet lukken. Maar als je weet WIE de tokens heeft/krijgt, kun je ze wel jatten...

Dit is wat ik bedoelde

William_H @arthur-m • 23 juni 2015 15:05

Fijn dan dat ik hem even inkopte voor je

En bedankt voor je uitleg. Uiteraard bedacht ik mij inderdaad ook het feit dat je door een slot op te halen (lees cilinder) een sleutel kan afleiden. Maar dat kost in verhouding weer teveel tijd en er zijn makkelijkere manieren om binnen te dringen in een huis als het echt moet. In die functie beschermd een slot dus voldoende, lees als beveiligingsgraad. Mijn voorbeeld van Kaspersky komt een beetje overeen met het kraken van een token of wie hem heeft/krijgt. Uiteindelijk valt heel veel af te leiden uit reverse engineering en er zijn altijd zwakke plekken, vaak menselijk handelen, die er voor kunnen zorgen dat een beveiliging gekraakt / omzeilt kan worden. Dat menselijk handelen kan ook wel eens het gat zijn beschreven in dit artikel.
Waar ik wel bij blijf is dat het misschien voor de low level crimineel niet te doen is om iets te kraken als er geen documentatie over te vinden is. Maar verstoppen van informatie zal de echte boeven / inlichtingenfiguren niet tegenhouden. En daarom blijf ik bij mijn punt dat security through obscurity alleen werkt tegen low level inbraken, maar tegen betere criminelen / inlichtingenfiguren helpt het niet. Daarvoor kun je beter voor een beter gebouwde beveiliging gaan die door iedereen getest kan worden, lees open source.

Me_Giant

@Spiritos • 21 juni 2015 22:14

Niet gezegd hebbende dat dit alles een goede zaak is maar het betreft hier eerder een mentaliteits/integriteitskwestie op individueel niveau dan een fundamentele fout in het systeem.

Het gaat heel vaak om integriteit van de gebruikers. Ik vind het te gemakkelijk om dan te stellen dat dat geen fout is in het systeem. De mensen die toegang hebben tot het programma/netwerk zijn op zich onderdeel van het systeem en blijkbaar is misbruik dus mogelijk.

Je kunt dan proberen te zorgen dat mensen integer zijn, en/of proberen een systeem te ontwerpen dat mensen niet kunnen misbruiken. Dan lijkt de tweede optie me misschien nog wel eenvoudiger. Het is toch wel te tracken wat gebruikers van dat systeem inzien en dat te monitoren?

[Reactie gewijzigd door Me_Giant op 22 juli 2024 18:42]

Spiritos @Me_Giant • 22 juni 2015 12:28

Inderdaad is social engineering nog steeds de meest beproefde methode om toegang te krijgen tot informaite (waar dan ook) maar mijn definitie van "het systeem" in de context van mijn uitspraak betreft de applicatie. Misschien had ik dit helderder moeten verwoorden. Bij deze.

De discussie of je gebruikers tot "het systeem" in een andere context/definitie kunt rekenen vind ik filosofisch van aard (maar daardoor niet minder terecht).

Echter, dan moeten we het hebben over de "condition humaine" of Hegel erbij halen.

Een systeem wat niet te misbruiken valt door mensen komt mij paradoxaal voor. Noem mij er één en ja, alles wordt gelogged maar niet iedere bevraging kan om praktische redenen (middelen) worden gecontroleerd net zomin als dat je iedereen die te hard op de snelweg rijdt kunt beboeten zonder om de 100 meter een flitspaal te zetten. Dan heb je het over een politiestaat.

Me_Giant

@Spiritos • 22 juni 2015 13:32

Dat je met het systeem de applicatie bedoelde had ik uiteraard al door, maar inderdaad had ik het idee dat je daarmee de menselijke factor afdeed als één die daar niets mee te maken heeft. Daar ben ik het niet mee eens. De filosofische achtergrond ken ik helaas niet.

Een systeem wat niet te misbruiken valt door mensen komt mij paradoxaal voor. Noem mij er één en ja, alles wordt gelogged maar niet iedere bevraging kan om praktische redenen (middelen) worden gecontroleerd net zomin als dat je iedereen die te hard op de snelweg rijdt kunt beboeten zonder om de 100 meter een flitspaal te zetten. Dan heb je het over een politiestaat.

Ik begrijp dat het waarschijnlijk niet 100% waterdicht te maken valt. Het beveiligen van dit systeem is wel iets heel anders dan de snelheidscontrole uit je voorbeeld. Het gaat hier om een systeem met basale privégegevens van íedereen. Iedere 100 meter een flitspaal kun je een politiestaat noemen, maar vergelijkbare controle op gebruikers van dit systeem heeft eerder het tegengestelde effect: het waarborgt juist de persoonlijke levenssfeer van mensen.

Om terug te komen op die menselijke factor als onderdeel van de beveiliging van het systeem: in andere posts stel je ook dat de beveiliging al streng is en dat er een autorisatiesysteem is.

De toegang verloopt inderdaad via de rol en wettelijke taak van de medewerker van de betreffende organisatie.

Toch krijgen blijkbaar de verkeerde mensen toegang tot het systeem en kunnen daar dan ook daadwerkelijk mee aan de slag. Als alleen de juiste ambtenaren de juiste informatie kunnen benaderen, hoe komen die andere instanties dan aan toegang? Ik denk dan aan de volgende mogelijkheden.

Iemand geeft ze toegang met een account met een bepaald authorisatieniveau. Dat behelst het maken van een account voor deze instantie, die eigenlijk geen toegang hoort te krijgen. Als je accounts koppelt aan personen die in dienst zijn van de overheid zou dat niet mogelijk moeten zijn.
Een ambtenaar geeft zijn/haar inloggegevens weg. Volgens mij moet het haalbaar zijn om een account sterker aan een persoon te koppelen, bijvoorbeeld door middel van tweetrapsauthenticatie met bijvoorbeeld een token.

Misschien zit ik er hier helemaal naast, dan hoor ik het graag.

[Reactie gewijzigd door Me_Giant op 22 juli 2024 18:42]

Spiritos @Me_Giant • 22 juni 2015 15:09

Ik begrijp je reactie maar de kern van mijn vergelijking met flitspalen was de beperktheid aan middelen (geld/tijd/mensen) om alle gelogde bevragingen te controleren op rechtmatigheid.

Je vraag over hoe en waarom is echter volkomen terecht. Aangezien dit soort nieuwsflitsen zoals wel vaker zonder feitelijke achtergrondinformatie wordt geleverd moet ik -net als jou- ook gissen. Op zich is de 2e optie die je noemt een theoretische mogelijkheid. Echter blijf ik van mening dat zolang mensen handelingen verrichten er altijd een mogelijkheid tot misbruik blijft bestaan -op welk gebied dan ook. Toch is het belangrijk om wat extra informatie te geven:

Suwinet bestaat uit enerzijds een applicatie (Suwinet-Inkijk) en anderzijds een netwerk (het Suwinet). Dit betekent dat alleen organisaties die fysiek zijn aangesloten op het netwerk van Suwinet de applicatie in kunnen kijken.

Ook is het van belang (en dat staat niet in het artikel) om onderscheid te maken tussen toegang tot de applicatie of het verkrijgen van informatie uit de applicatie. Oftwel een incassobureau of andere derde partij heeft een geautoriseerde medewerker gevraagd om informatie te leveren (en dat kan per telefoon of mail) oftewel een geautoriseerde medewerker heeft iemand fysiek toegang gegeven tot de applicatie.

Het laatste geval kan weer opzettelijk of niet opzettelijk zijn. Als iemand bijvoorbeeld vergeet uit te loggen en iemand anders verschaft zich toegang tot diens werkplek is dat (grove) nalatigheid. Wanneer iemand zegt "Ga maar lekker zitten" is dat strafbaar.

Waarschijnlijk gaat het hier echter om structureel misbruik dus dan denk ik persoonlijk aan optie 1: Een vriendje of betalende partij neemt contact op met iemand bij de gemeente en verzoekt om informatie. In dat geval helpt een tweetrapsauthenticatie dus ook niet.

Misschien wat flauw maar kijk naar een willekeurige politie- of advocatenserie en er is altijd wel een agent/detective/onderzoeker die iemand kent die informatie kan leveren voor een tegenprestatie en we weten dat de realiteit veelal bizarder is dan fictie.

Persoonlijk denk ik dus dat het hier om dit soort misbruik gaat en dat er totaal geen sprake is geweest van ongeoorloofde fysieke toegang tot de applicatie. Daarvoor is de opzet qua infrastructuur en autorisaties te streng ingeregeld. Maar andermaal "My guess is (almost) as good as yours.."

Verwijderd @Me_Giant • 23 juni 2015 17:20

De derde partijen die toegang hebben tot Suwinet krijgen toegang tot het systeem doordat een aangesloten overheidsinstantie hen deze toegang verleend. In het geval van de Belastingdienst is dat het BKWI geweest op verzoek van het UWV. In het geval van commerciële incassobureaus is deze toegang verleend door de gemeente, die het incassobureau inhuurt om teveel uitgekeerde bijstand terug te vorderen. Van de autorisatie van de Belastingdienst is het BKWI, de beheerder, dus op de hoogte, en van de commerciële incassobureaus zijn gemeenten, en de VNG (hoewel zij geen exacte cijfers hebben) op de hoogte.

TomONeill @Spiritos • 21 juni 2015 11:32

Maar dan klopt het nieuwsartikel wel (al gaat het niet om een "lek"):

Dat wil zeggen dat personen en instanties die eigenlijk geen toegang zouden moeten hebben, toch de informatie in Suwinet hebben kunnen bekijken.

Je zegt dat er meerdere autorisatielevels zijn. In het artikel staat dat er personen en instanties autorisatielevels hebben die ze niet horen te hebben en dat is dan weer een zorgzame zaak.

[Reactie gewijzigd door TomONeill op 22 juli 2024 18:42]

Spiritos @TomONeill • 22 juni 2015 11:26

Zonder meer achtergrondinformatie kan ik hier niet inhoudelijk weinig over zeggen.

Echter, in principe is het zo ingeregeld dat er een beperkt aantal personen bij een organisatie toegang hebben tot Suwinet. Als er sprake is van onterechte of foute toekenning van levels van autorisatie is dit een fout op menselijk niveau en niet van de applicatie zelf.

Hank66 @Spiritos • 22 juni 2015 17:28

Duidelijk verhaal maar dan snap ik het volgende niet.

Het lijkt er op dat organisaties langdurig toegang hebben tot gegevens in SUWI net waartoe zij geen toegang zouden mogen hebben.
Wordt daar dan niet op gemonitored? Zoiets moet toch opvallen?
Waarom zijn die accounts dan niet geblokkeerd?

Hoe komen die organisaties aan deze accounts en hoe zit dat met het one strike you're out principe. Iemand die derden toegang ten onrechte toegang verleend is toch net zo erg als zelf misbruik maken van?

Of het een mentaliteits/integriteitskwestie of lokaal politieke kwestie is kan ik niet beoordelen maar ik verwacht iets meer zorgvuldigheid van de overheden in kwestie.

Spiritos @Hank66 • 22 juni 2015 19:15

Deze aanname klopt niet. Zoals in een andere post vermeld hebben alleen partijen die onder de Wet SUWI vallen toegang tot de infrastructuur (netwerk) en de applicatie. Langdurig toegang klopt in die zin niet omdat een organisatie wél of niet onder de wetgeving valt.

Wat jij denk ik bedoeld/denkt is dat als een persoon eenmaal is bevraagd hij uit het systeem wordt gehaald. Dit werk zo niet. Suwinet-Inkijk is een verwijsindex naar basisregistraties (met name de Polisadministratie die van het UWV en de Belastindienst is).

Ik vermoed dat het feitelijk gaat om situaties waarbij een of meerdere individuen een ander (geautoriseerd) persoon bevragen. Per mail of telefoon. Voor geld of een vriendendienst. Op individueel niveau dus en ja, ik denk een mentaliteits/integriteitskwestie.

obimk1 @Spiritos • 21 juni 2015 11:42

En toch, ondanks deze voorzieningen, beveiliging en voorwaarden hebben niet- geautoriseerde personen en instellingen toegang gekregen tot prive gegevens van veel Nederlanders waar ze eigenlijk geen toegang tot mochten hebben. Uiteindelijk zal het terug te voeren zijn op een fout van een individu. Maar je zou het ook foolproof kunnen maken zodat 'gedragsfouten' niet kunnen leiden tot dit soort 'inbreuken'.

kimborntobewild @Spiritos • 21 juni 2015 16:05

- Bij misbruik door een gebruiker (zoals ongeoorloofd gegevens van iemand opzoeken) volgt ontslag op staande voet (!)

Uitroepteken is niet nodig; dat je dan ontslag krijgt lijkt me alleen maar logisch.
Sterker nog, het is de vraag of dat straf genoeg is.

Spiritos @kimborntobewild • 22 juni 2015 11:49

Voorbeeld: In de praktijk gebeurde het wel eens als er een hot nieuwsitem was (zoals bijvoorbeeld over een Volkert van de G) dat gebruikers deze persoon 'even opzochten', vaak aangemoedigd door joviale collega's ("lachuh man/meid...") . Een timide alleenstaande moeder die al 30 jaar uitstekend en integer haar werk doet bezwijkt onder deze collegiale druk in een moment van zwakte en staat de volgende dag op straat zonder recht op WW (want verwijtbaar werkloos).

Eén misstap is dus voldoende voor ontslag op staande voet (geen discussie mogelijk). Vind ik vrij heftig ja in dit specifieke voorbeeld. Of zou jij daar levenslang of TBS aan toe willen voegen...?

kimborntobewild @Spiritos • 24 juni 2015 21:23

Nee, dat is een ander uiterste; maar alleen ontslag is m.i. per definitie onvoldoende. Veel mensen vinden zo weer elders een baan. Een dikke boete ofzo lijkt me toch ook zeker wel op zijn plaats, en een weekje cel ofzo.

DigitalExorcist @Spiritos • 21 juni 2015 13:38

- Duidelijk.
- Het nut is er wel, maar de methode niet. Dat kan ook gewoon via papieren opgave, niet-digitaal dus. Je kunt alles wel nuttig vinden..
- Die niveaus deugen dus blijkbaar niet.
- Lastig als het een derde partij betreft.
- "Wij van WC-Eend...."
- Dat de overheid niks van IT snapt is geen geheim hoor....

Spiritos @DigitalExorcist • 22 juni 2015 11:41

Ja, laten we hier op Tweakers bij uitstek een petitie starten voor de herinvoering van postduiven bij de overheid... of eenden

Rare conclusie: de niveau's deugen dus niet. Onderbouw dat nu eens met informatie uit het artikel en de factsheet en gebruikershandleiding zoals gelinked door @Teacup.

DigitalExorcist @Spiritos • 22 juni 2015 14:20

Het artikel:

"(...) Dat wil zeggen dat personen en instanties die eigenlijk geen toegang zouden moeten hebben, toch de informatie in Suwinet hebben kunnen bekijken (...)".

Conclusies: die autorisatieniveaus deug(d)en dus niet.

Spiritos @DigitalExorcist • 22 juni 2015 14:39

Eigenlijk moet ik niet meer reageren omdat het blijkbaar als irrelevant wordt gemod wanneer ik vraagtekens stel bij een geboden alternatief om persoonsgegevens van 17 miljoen Nederlanders in papieren archieven te stoppen maar goed..

Mijn vraag aan jou ging over 'niveau's', oftewel autorisatielagen binnen de applicatie en of je kon onderbouwen wat hier mis mee zou zijn. Jouw reactie betreft de toegang tot de applicatie als geheel en is slechts een niet onderbouwd citaat uit het artikel.

Conclusie: Mjn stelling en ergernis over een veelal ongenuanceerd debat betreffende de overheid en ICT wordt andermaal bevestigd.

DigitalExorcist @Spiritos • 23 juni 2015 10:22

Als jouw stelling en ergernis op basis van een simpel feitje al bevestigd wordt, kun je nagaan hoe de Nederlandse bevolking zich moet voelen met dat totále wanbeleid van alles waar een stekker aan of batterij in zit en onder de overheid valt!

Kom op. Het is nou niet bepaald alsof de overheid een glorieus trackrecord heeft op ICT gebied. Het éérste succesvolle ICT-project van ze moet nog beschreven worden vrees ik.

evilution @Spiritos • 21 juni 2015 10:32

Da's een hele geruststelling. Het systeem is wel goed maar diegenen die ermee moeten werken hebben mentaliteits- en integriteitsissues. Helder.

kimborntobewild @evilution • 21 juni 2015 16:04

Da's een hele geruststelling. Het systeem is wel goed maar diegenen die ermee moeten werken hebben mentaliteits- en integriteitsissues. Helder.

Hoezo is dat een geruststelling? Het is fout gegaan. Hoe kan er dan sprake zijn van wat voor een geruststelling dan ook?

Brahiewahiewa @kimborntobewild • 21 juni 2015 22:00

wel eens van sarcasme gehoord?

Spiritos @evilution • 22 juni 2015 11:37

Inderdaad. Ik vertrouw het systeem van mijn bank wat mij met mijn combinatie van e-dentifier/bankpas/pincode toegang geeft tot mijn gegevens.

Indien ik deze drie zaken echter op mijn bureau laat liggen of 'in goed vertrouwen' aan een collega vraag om even een overboeking voor mij te regelen en vervolgens ben ik ineens mijn spaargeld kwijt moet ik niet gaan klagen bij mijn bank.

En ja, overheidsmedewerkers zijn net gewone mensen, net zoals bankmedewerkers, politieambtenaren, systeembeheerders, of kassamedewerkers bij de Albert Heijn en gelukkig maken deze mensen ook nooit misbruik van hun positie ^^

Gelukkig ben je wel genuanceerd: Waar ik schrijf "mentaliteits- en integriteitsissues op individueel niveau" verkondig jij "degenen (iedereen) die ermee moeten werken hebben mentaliteits- en integriteitsissues". Zeker helder.....

Verwijderd 23 juni 2015 16:55

Als maker van de Argos uitzending waar het nieuwsbericht over gaat, wil ik graag gebruik maken van de mogelijkheid om te reageren op een aantal zaken die voorbij komen in deze discussie. Ten eerste, wij hebben nooit gezegd dat Suwinet lek is. Wij hebben aangetoond en aangekaart dat het systeem wordt misbruikt. Andere media, waaronder RTL Nieuws, heeft hiervan gemaakt dat het systeem lek is. Uit ons onderzoek blijkt dit niet, wij hebben daar in ieder geval tot nu toe geen aanwijzingen of bewijzen voor gevonden, en dus kunnen wij dit ook niet beweren of vaststellen. Wij kunnen wel aantonen dat Suwinet wordt misbruikt. Door (gemeente)ambtenaren die onrechtmatige raadplegingen doen, naar bewoners van blijf van mijn lijf huizen, naar de buurman, familie of kennissen, naar ex-partners om te kijken hoeveel alimentatie iemand kan betalen, naar BN'ers et cetera. Ook zijn er derden die toegang hebben tot het systeem, terwijl het zeer de vraag is of zij die toegang mogen hebben. Hierbij gaat het om commerciële incassobureaus, die toegang krijgen van gemeenten, en de Belastingdienst, die toegang heeft gekregen van het UWV/BKWI. In de Suwi wet staat niet dat dit mag, op basis van die wet is daar dus geen wettelijke grondslag voor. En deze methodiek van de Belastingdienst is ook niet wettelijk gelegitimeerd. Mocht iemand dit alles willen terugluisteren, dan kan dat via onze website: argos.vpro.nl (de directe link naar de uitzending van afgelopen zaterdag is: http://argos.vpro.nl/seizoenen/2015/afleveringen/20-06-2015). Daarnaast is het mogelijk om bij het BKWI, de beheerder van Suwinet, op te vragen welke overheidsinstantie jouw gegevens heeft opgevraagd en met welk doel. Hiervoor kan iedere burger een verzoek doen bij het BKWI door middel van een brief. Wij hebben voor het gemak een voorbeeldbrief op onze site gezet, ook te vinden via bovenstaande link, en op de homepage overigens. Ik zal verder reageren op een aantal aparte reacties, voor een nadere toelichting of nuance.

Me_Giant

@Verwijderd • 23 juni 2015 17:54

Daarnaast is het mogelijk om bij het BKWI, de beheerder van Suwinet, op te vragen welke overheidsinstantie jouw gegevens heeft opgevraagd en met welk doel. Hiervoor kan iedere burger een verzoek doen bij het BKWI door middel van een brief. Wij hebben voor het gemak een voorbeeldbrief op onze site gezet, ook te vinden via bovenstaande link, en op de homepage overigens.

Bij dezen zou ik iedereen willen aansporen om dit vooral te doen. Liefst zou ik een stap verder gaan en met een grote groep aangifte doen. Precies tegen wie en waarvan deze aangifte moet zijn (inbreuk op privacy?) zou ik echter eerst moeten uitzoeken, misschien hebben anderen een idee?

Spiritos @Me_Giant • 25 juni 2015 03:52

Op zich vond ik je bijdrage aan deze discussie heel zinnig: Open vragen, informatief, niet meteen oordelend, bedachtzaam, behulpzaam en goed luisterend. De nuance die ik zo waardeer.

Deze laatste post vind ik dan jammer genoeg weer merkwaardig. Je wilt mensen mobilseren om gezamenlijk aangifte te doen maar je weet niet waarvan en tegen wie? Klinkt niet echt doordacht...

Of zit ik inmiddels in een te negatieve mindstate en was dit als grap bedoeld?

Voor het geval je echter wel serieus was zal ik als een wat positiever slotakkoord van dit topic beknopt nog een aantal dingen op een rijtje zetten:

- Op grond van de Wet SUWI mogen SUWI-partijen persoonsgegevens uitwisselen binnen de kaders van de uitvoering van hun wettelijk taken.
- Op grond van de Wet bescherming persoonsgegevens heeft iedere burger recht op inzage van gegevens die de overheid over hem heeft vastgelegd.
- Aanvullend mag je als burger dus inderdaad als service het BKWI vragen welke instanties met welk doel welke gegevens hebben bevraagd.

Uitwisseling vindt plaats op basis van bovengenoemde wettelijke grondslag en aldus kan er geen sprake zijn van inbreuk op jouw privacy.

Wat verwacht je te zien? Via het Digitaal Klant Dossier worden ook gegevens uitgewisseld en die kun je nu meteen al inzien via werk.nl of mijnoverheid.nl met je DigiD.

Daarnaast is in de wet SUWI opgenomen dat instanties die Suwinet gebruiken zélf verantwoordeljk zijn voor de rechtmatigheid van die bevraging. Je zult dus eerst een onrechtmatige bevraging van jouw gegevens moeten vinden alvorens je überhaupt kunt gaan nadenken tegen welke partij je aangifte wil doen en de kans dat jij met jouw aanvraag bij het BKWI een 'oneigenlijke' bevraging van jouw persoon boven tafel krijgt is echter zo goed als uitgesloten. Of ben jij een bekende Nederlander in incognito?

Dit is nou exact wat ik bedoel met stemmingmakerij door Argos door hier te gaan posten. Welk maatschappelijk belang is ermee gediend om een organisatie lastig te gaan vallen met onzinnige verzoeken? Uiteindelijk ben je jouw en mijn belastinggeld aan het verspillen door een medewerker werk te laten doen wat vooralsnog geen enkel doel dient. Je weet immers nog niet eens wat, wie, waarvan en vooral... Waarom?

Laat de staatssecretaris, het College Bescherming Persoonsgegevens, de VNG, het BKWI of een andere partij die wél de klepel weet te hangen hun werk gewoon doen. Als er sprake is van oneigenlijk gebruik hebben zij de meest reeële kans om bevindingen te doen en in dit geval vooral met een vooraf duidelijk gedefinieërd doel.

Hè...!! Dan maar zo een positief slotakkoord:
https://www.youtube.com/watch?v=gZTWCegHnaI

Edit: Typo

[Reactie gewijzigd door Spiritos op 22 juli 2024 18:42]

Me_Giant

@Spiritos • 25 juni 2015 13:37

Deze laatste post vind ik dan jammer genoeg weer merkwaardig. Je wilt mensen mobilseren om gezamenlijk aangifte te doen maar je weet niet waarvan en tegen wie? Klinkt niet echt doordacht...

Mijn reactie was wat impulsief geplaatst. Na het lezen van het betoogje van Argos erboven, misschien een beetje beïnvloed doordat ze hier als ogenschijnlijke autoriteit op het gebied van deze zaak de discussie in stappen, kwam er wat boosheid naar boven. Mijn reactie was inderdaad ondoordacht.

- Op grond van de Wet SUWI mogen SUWI-partijen persoonsgegevens uitwisselen binnen de kaders van de uitvoering van hun wettelijk taken.
(...)
Uitwisseling vindt plaats op basis van bovengenoemde wettelijke grondslag en aldus kan er geen sprake zijn van inbreuk op jouw privacy.

Dat blijft het volgens mij nog wel steeds de vraag wie deze SUWI-partijen zijn, volgens mij worden in de wet maar enkele instanties genoemd. Volgens Argos zijn er dus enkele instellingen die gegevens krijgen zonder wettelijke grondslag. In de brief wordt ook met betrekking tot deze instellingen de informatie opgevraagd.

Verder ben ik het er mee eens dat je echte misstanden niet met zo'n brief boven water kan krijgen. Gebruikers die om privé-redenen rond gaan struinen vind ik eigenlijk het kwalijkst, maar dat los je zo niet op. Ook zou ik het niet wereldschokkend vinden als de belastingdienst en incassobureaus bepaalde gegevens kunnen inzien. Wel zou ik het goed vinden als er dan wettelijke grondslag wordt gecreëerd.

Spiritos @Me_Giant • 25 juni 2015 14:58

Dank voor je eerlijke antwoord. Top van je!

Helaas onderstreept het mijn punt m.b.t. het voeden van een zeker sentiment -zoals je zelf keurig aangeeft- en dat is mijn algemene zorg over sommige berichtgeving die qua kleur (in mijn ogen) (kan) leid(en) tot stemmingmakerij. Zeker op een forum als deze waar ik het niveau over het algemeen behoorlijk hoog acht en waar op basis van de doelgroep (ICT-ers) veel terechte verontwaardiging ontstaat over privacy-issues aangezien de meeste Tweakers zijdelings betrokken zijn c.q. kennis hebben van ICT-infrastructuren.

Dat maakt dat ik vind dat de discussie genuanceerd dient plaats te vinden en er volledige informatie moet wordt verschaft. Je ziet aan meerdere reacties dat onderbuikgevoelens worden aangesproken op basis van beperkte kennis van zaken en sommigen zelfs simpelweg de ogen sluiten (zie bijv. mijn allereerste post waar 8 personen deze als Off-topic / Irrelevant modden terwijl 73 personen dit als Spotlight aanmerken(?!?) Dat is bijna 10% sentiment!

Je vraag in het verlengde van Argos' bevindingen over toegang van niet-SUWI partijen blijft overeind. Echter, Een SUWI-partij is een SUWI-partij of niet (semantiek maar tevens genuanceerdheid). Het gros van de andere partijen hebben in het kader van DKD toegang tot gegevens welke uit Suwinet-bevragingen komen en hebben hun wettelijke grondslag in de Wet Eenmalige Uitvraag (WEU) die partijen binnen de Keten van Werk en Inkomen verplicht tot hergebruik van gegevens. Ik ben geen jurist dus hoe deze 2 wetten zich tot elkaar verhouden weer ik niet.

Een kritische vraag zou dan zijn: De wet SUWI stelt dat alleen SUWI-partijen gegevens onderling mogen uitwisselen maar de WEU stelt die andere overheden verplicht om gegevens her te gebruiken. Ooit wist ik trouwens het antwoord hierop maar daarvoor ben ik inmiddels al te lang weg bij het BKWI.
Wél kun je via deze link zien welke niet-SUWI partijen afnemen (overigens gewoon te vinden op de site van het BKWI): http://www.bkwi.nl/filead...et_in_vogelvlucht_pdf.pdf

Overigens zie je in het diagram dat deze partijen uitsluitend informatie krijgen van SUWI-partijen dus niet van alle andere bronnen. Tevens zie je dat er 25.000 actieve gebruikers zijn en dat is wel wat anders dan de hier vaak genoemde 45.000 (al weet ik natuurlijk niet hoe actueel deze cijfers zijn).

Wellicht een geruststellende gedachte (bij mijn tekorttschieting om dit verder te duiden) is het feit dat het progamma DKD tot tweemaal toe het 'Good Practice Label' heeft gewonnen bij de European eGovernment Awards:
https://joinup.ec.europa....ce&utm_campaign=epractice

M.a.w. onafhankelijke partijen binnen Europa hebben het protocol en uitwisseling getoetst en gehuldigd.

Je laaste aline is tevens iets wat ik hartgrondig met je eens bent. Het blijft mensenwerk en in mijn optiek valt dergelijk misbruik in welke branche dan ook nooit helemaal uit te sluiten op applicatie-niveau en de discussie hier leek zich even hier op toe te spitsen, overigens zonder dat ik een werkend alternatief of ander voorbeeld voorbij heb zien komen.

Maar we vinden elkaar zeker in het feit dat er wettelijke grondslagen moeten zijn. Zoals eerder gezegd kijk ook ik met gezonde Argusogen naar instanties die persoonsgegevens uitwisselen of verzamelen. Echter, mijn persoonlijke focus lig meer op commeriële partijen als bijv. Google en Facebook. Als je kijkt wat die allemaal kunnen destilleren op basis van je zoekgedrag en voorkeuren loop je morgn met een tinnen petje op straat

Sorcerer8472 20 juni 2015 12:25

Ook zijn er mensen geweest die naar verblijfsgegevens hebben gezocht van vrouwen die in een blijf-van-mijn-lijfhuis wonen.

En dan heeft men het alleen over lek dichten? Niet eventuele vervolging van mensen die onrechtmatig toegang hebben gekregen / zich verschaft tot het systeem?

ppl @Sorcerer8472 • 20 juni 2015 16:36

Dat tweakers.net het bericht van RTL Nieuws overneemt is jammer om te zien omdat RTL Nieuws het woord lek hier onjuist gebruikt. Het gaat namelijk helemaal niet om een lek maar om een oud probleem dat in 2013 boven water kwam en eind vorig jaar ook al de kop opstak. Het gaat hier namelijk om oneigenlijk gebruik van het systeem omdat gemeenten derden die geen toegang mogen hebben tot die gegevens wel toegang verlenen en procedures niet hebben en/of niet nakomen. Het "lek" zit hier in de procedures en de gebruikers, niet in het IT-systeem. Een mooi kijkje achter de schermen van die procedures is het volgende document van de VNG: Informatie over het gebruik van Suwinet-Inkijk door gemeentelijke belastingdeurwaarders.

De VNG heeft destijds (2013) gereageerd op het onderzoek wat is ingesteld nadat men achter dat oneigenlijke gebruik kwam. Hun reactie staat in de volgende pdf: Naar veiliger gebruik van suwinet. Let hierbij vooral op de ondertitel!

Het probleem is dus nog steeds niet opgelost. Gemeenten zijn nog steeds laks in hun procedures en juist daarom heeft de staatssecretaris er nu dus schoon genoeg van. Wat dit laat zien is dat men uiterst naïef is geweest bij het bedenken van het systeem daar het gehele systeem sterk afhangt van procedures die door mensen moeten worden opgevolgd en waar men er vanuit gaat dat zij correct zullen handelen. Het doet me denken aan het DNS protocol en aan het EPD wat door de Eerste Kamer juist is afgeschoten omdat de beveiliging onvoldoende is (je kon teveel in het systeem en veel werd via procedures geborgd).
Dit is dus geen lek in een IT-systeem maar een verkeerd ontworpen IT-systeem (beveiliging heeft amper een rol gespeeld terwijl dat bij dit soort systemen wel van zeer groot belang is). Iets wat vele malen erger is. Een lek kun je dichten, slecht design betekent herontwerp en dus vele jaren door blijven modderen met het huidige systeem en al haar problemen. Dat de staatsecretaris er genoeg van heeft zullen we de komende jaren nog wel vaker gaan horen...

[Reactie gewijzigd door ppl op 22 juli 2024 18:42]

psyBSD @ppl • 20 juni 2015 22:26

Ik snap het wel... ik zie het regelmatig fout gaan bij systemen waarbij de verantwoordelijkheid onduidelijk en diffuus is. Een voorbeeld: een systeem wordt beheerd door 2 (of 20, voor het voorbeeld irrelevant) groepen mensen. Beide groepen rapporteren ben andere afdeling, misschien zelfs een andere organisatie. Zelfs bij 2 teams waarbij er heel duidelijk is dat team A verantwoordelijk is voor het bewaken van de architectuur en de naleving van de authorisatie-structuur blijkt het onmogelijk om controle te houden over de acties van team B. De individuele belangen van het middle-management binnen de organisatie van team B en/of onbegrip van- en/of desinteresse in het systeem en zijn/haar gebruikers/klanten zijn al voldoende om de controle te verliezen.

Extrapoleer dit probleem nu naar +300 organisaties (gemeenten) en tientallen organisaties die elk van deze +300 organisaties dagelijks bevragen met toegangsverzoeken.

Dan begrijp je dat dit nooit gaat werken. Systeem-integratie is een van de grootste risico's voor individuele privacy, vrijheid en veiligheid. En de mensen zijn (zoals altijd) niet zonder fouten. De fouten blijven bestaan, maar de gevolgen worden dankzij dit soort systemen steeds groter.

De enige manier om dit probleem een halt toe te roepen is door de verregaande integratie te stoppen.

Mensen kunnen er niet mee omgaan, onbegrip, desinteresse en corruptie zullen er altijd voor zorgen dat er misbruik gemaakt wordt. Je kunt geld uitgeven aan partijen die je voorliegen en zeggen dat je dit met scholing en goede safeguards kunt voorkomen. Of je kunt accepteren dat je aan een dood paard aan het trekken bent en je energie aan iets anders besteden.

Onze overheid laat zich voor veel geld graag voorliegen. Als je veel geld hebt uitgegeven aan een advies die zegt: 'meer integratie/automatisering is DE oplossing', dan ben je gek als je zegt: 'laten we dat niet doen'.

[Reactie gewijzigd door psyBSD op 22 juli 2024 18:42]

Verwijderd @psyBSD • 21 juni 2015 12:07

Die integratie scheelt honderden miljoenen in kosten voor uitvraging van gegevens en het scheelt ook tienallen miljoenen in fraude.

psyBSD @Verwijderd • 21 juni 2015 20:41

Ik denk dat de 'noodzaak' voor een groot deel van deze uitvragingen is gegroeid omdat de mogelijkheid er is. En niet andersom. (Zoals met zoveel systemen).

Aan dit nieuwsbericht kunnen we afleiden dat we de ene fraudeur hebben ingeruild door de andere. Het verschil zit hem erin wie eraan verdient.

Verwijderd @psyBSD • 22 juni 2015 11:11

Nee, dat is niet zo.
Voorheen moesten deze gegevens opgehoest worden door ofwel uitkerings/subsidie aanvragers en hun werkgevers.
Dat betekende enorm veel administratieve rompsplomp en vooral ook veel fouten en fraude.
Organisaties als de gemeentes en het UWV hebben duizenden mensen minder in dienst dan vroeger terwijl er evenveel uitkeringen worden verstrekt en tegelijkertijd toch de betrouwbaarheid van die uitkeringen is toegenomen. Dat vereist dat er minder gegevens door de klant worden aangeleverd en meer gegevens worden uitgewisseld.
recent in het nieuws was dat het UWV voortaan de WW niet meer gaan controleren
http://www.nu.nl/geldzake...ude-in-nieuwe-ww-wet.html
Dat komt omdat de nieuwe WW vanuit de wetgeving voortaan wordt gebaseerd op de maandelijke inkomengegevens uit de polisadministratie van de belastingdiensten en het UWV en niet meer op basis van wekelijkse werkbriefjes met gemaakte werkuren die de mensen (inmiddels al digitaal) hoefden in te vullen.
Het UWV gaat dus grotendeel stoppen met controleren van die gegevens omdat het inkomensgegevens afkomstig van de belastingdienst zijn en die eigen mensen hebben voor de controle van inkomsten.
Daarmee verliezen honderden mensen bij het UWV hun baan maar toch is de kans groot dat de gegevens en dus ook de WW uitkeringen betrouwbaarder worden dan de door de clienten opgegeven inkomsten gegevens.
http://www.ad.nl/ad/nl/55...eringsinstantie-UWV.dhtml
De integratie van de gegevens leidt dan dus dus minder kosten in de uitvoering, minder fouten/fraude met handmatig ingevulde gegevens en minder administratieve lasten voor uikeringsgerechtigden en vooral werkgevers.
Werknemers zullen overigens nog steeds wel maandelijk gevraagd worden om op te geven of ze inkomen hebben met name ook omdat niet alle inkomen in de polisadministatie zit. Inkomen uit werk via werkgevers of via andere uitkeringsinstanties zit er echter wel in en dat betreft natuurlijk de bulk van de op te geven inkomsten.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:42]

psyBSD @Verwijderd • 22 juni 2015 23:49

Bedankt voor de nuancering hAl, ik was even de voordelen van de automatisering uit het oog verloren.

Ik denk dat ik te vaak heb gezien dat er niet netjes met vertrouwelijke gegevens wordt omgesprongen en daarom wat fel van leer trok.

kimborntobewild @Verwijderd • 21 juni 2015 16:09

Maar geld mag nooit voorop staan bij de prioriteiten. Veiligheid en privacy wel.

Verwijderd @kimborntobewild • 21 juni 2015 17:04

Het gaat niet om voorop staan maar geld speelt altijd een rol.

BoringDay @ppl • 20 juni 2015 18:22

Dan is het nog erger dan een lek, dat zou betekenen dat ambtenaren zomaar toegang geven tot het systeem aan deurwaarders en weet ik wat.

Dat lijkt me niet zozeer een procedure probleem maar gedragsprobleem van de desbetreffende persoon. Kortom dan dienen degenen die dit hebben gedaan uit hun ambt gezet te worden.

lezzmeister @BoringDay • 20 juni 2015 21:00

Weet niet of het standaard praktijk is of wat maar de gemeente Hilversum geeft tandartsen en doktoren gewoon toegang.

Adreswijziging bij mijn tandarts doorgeven, aan de telefoon: nergens voor nodig hoor, ik kan gewoon overal bij. Ik: hoe dat zo? Zij: Ja dat is een systeem waar artsen in kunnen.
Dat bleek dus suwinet, terwijl het bij mijn weten alleen de basisadministratie moet zijn.

[Reactie gewijzigd door lezzmeister op 22 juli 2024 18:42]

BoringDay @lezzmeister • 20 juni 2015 22:42

Dat is normaal voor GBA. Maar dat is maar een klein deel van het gehele systeem en zijn ook afspraken voor. Maar dat is geheel iets anders dan een account aan onbevoegde te geven, dan heb je een serieus probleem en dat is namelijk onbetrouwbare personeel.

[Reactie gewijzigd door BoringDay op 22 juli 2024 18:42]

arthur-m @BoringDay • 21 juni 2015 18:44

Kun je uitleggen waarom dat normaal is? Ik vind dat niet normaal. Je hebt er toch geen toestemming voor gegeven?

BoringDay @arthur-m • 21 juni 2015 19:37

GBA is o.a. bedoeld voor:
_{Gebruikers van de gegevens zijn de desbetreffende burgers zelf en de gemeente. Daarnaast worden de gegevens in de GBA ook gebruikt door (semi)-overheidsorganisaties die voor de uitoefening van hun publiekrechtelijke taken persoonsgegevens nodig hebben. Hieronder vallen onder meer de politie, belastingdienst, notarissen, het waterschap en de pensioenfondsen.}

SBTweaker @BoringDay • 21 juni 2015 21:27

Waarom is het dan voor gemeentes verboden om adressen van mensen te verstrekken ? Een tandards heeft wat mij betreft geen enkel recht om bij deze gegevens te komen, die geef ik liever zelf door. Waar trek je dan de grens? Waarom een tandarts wel en de lokale loodgieter niet?

[Reactie gewijzigd door SBTweaker op 22 juli 2024 18:42]

Verwijderd @BoringDay • 21 juni 2015 14:12

Ja onbetrouwbaar personeel is er altijd. Dus moet je je software daarop aanpassen of the methodieken.
Dus een fout.

Uiteindelijk moeten we naar een betrouwbare AI toe welke betrouwbaar is want mensen zijn niet betrouwbaar.

Verwijderd @ppl • 20 juni 2015 17:28

een verkeerd ontworpen IT-systeem.
------------------------------------------------------------------
Of juist wel goed ontworpen ???

sypie @Verwijderd • 20 juni 2015 18:16

Verkeerd ontworpen.

Welk incapabel persoon haalt het in z'n hoofd om gebruikers (gemeenten) rechten te geven over wie er nog meer in het systeem kan kijken?

Het geven van rechten in het systeem moet centraal aangevraagd en geregeld worden. Hierdoor is de kans op dit soort onzin stukken kleiner. Maar ja, dit zal ik wel weer te makkelijk bedacht hebben.

Verwijderd @sypie • 21 juni 2015 15:36

Dat is zinloos omdat het BKWI helemaal niet kan weten wie er bij een gemeente welke rechten moet hebben.
Dat is ter beoordeling van de gemeentes zelf.
Het probleem is natuurlijk dat er 400 gemeentes zijn en een paar duizend gemeenteambtenaren zijn met toegang. Beheer moet je dus strak inregelen en daar gaat het toch niet goed.

2Dutch @Sorcerer8472 • 20 juni 2015 12:32

Idd, je mag toch verwachten dat er een log is van wie er allemaal met hun pootjes aan gezeten heeft, en die uitgenodigd worden voor een pittig gesprek en eventuele andere gevolgen? Ik vind het voorbeeld van de vrouw in een blijf van m'n lijf huis enorm schrijnend, de enige die die gegevens zou willen hebben is diegene die de reden is dat ze daar zit lijkt me? Of er is iemand gevraagd dit via via te achterhalen. Erg betreurenswaardig

Incassobureau's hebben daar helemaal niks te zoeken. "Fijn" dat je je geld wilt verhalen, maar dat hoor je via de normale wegen te doen, niet via zo'n gevoelig systeem.

Niet dat je ook zomaar alle ambtenaren kunt vertrouwen natuurlijk: elke persoon die toegang heeft kan door derden gevraagd worden om "even iets op te zoeken". Ga er vanuit dat je bij het inloggen een reden voor toegang moet opgeven? Of kan elke ambtenaar er gewoon zonder morren in? Dat zou namelijk ook niet goed zijn.

Fixer @2Dutch • 20 juni 2015 12:58

Er worden zo te zien wel logs bijgehouden van:

het tijdstip van iedere log-in en log-out en andere actie;
de gebruikersnaam van degene die inlogt/uitlogt;
elk sofi-nummer (of andere zoeksleutel) waarvan gegevens worden opgevraagd;
elke actie, zoals de bekeken kolom- of overzichtspagina’s

(Bron)

[Reactie gewijzigd door Fixer op 22 juli 2024 18:42]

WillySis

Privacy

@Fixer • 20 juni 2015 16:44

Van die logs worden ook periodieke rapportages gemaakt die verplicht gecontroleerd moet worden:

Iedere ketenpartner (lees: de security officer) heeft de verplichting om regelmatig aan de hand van de periodieke rapportage met logginggegevens te controleren of het gebruik van de gegevens binnen Suwinet-Inkijk plaatsvindt binnen de wettelijke kaders en overeenkomstig de doelen die zijn organisatie hiertoe heeft geformuleerd. Indien het vermoeden bestaat dat gegevens worden misbruikt, kan een security officer van een ketenpartner aanvullende informatie opvragen volgens de afgesproken procedure.

Die verplichting is kennelijk een manier om de verantwoordelijkheid door te schuiven naar anderen. Als daar nooit naar gekeken wordt en er geen misbruik wordt gemeld vindt men de beveiliging nog goed. In de praktijk worden die logs zelden nagekeken. Men is niet eens verplicht om vermoedens van misbruik te melden.

Ik vindt dat de overheid nog steeds veel te laks omspringt met de gegevens van de burgers. Alle privacy wetten ten spijt, blijken overheden nog steeds hun zaakjes niet op orde te hebben.

Verwijderd @WillySis • 21 juni 2015 14:13

En waarom werkt het alsnog niet? Corruptie?

Ik denk dat er een auto-ban algoritme moet komen. Zonder mensen er tussen. Die oordelen op gevoel en geld en wat dan allemaal niet. Gewoon een soort SUWI bot welke alles goed checkt en je der gewoon uit gooit als je de boel misbruikt.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:42]

Me_Giant

@Verwijderd • 21 juni 2015 22:24

En wie schrijft dat algoritme? Een mens. Je gaat niet zomaar de menselijke factor geheel uitschakelen.

brick5492 @Verwijderd • 20 juni 2015 13:34

Niet iedere ambtenaar heeft toegang tot dit systeem. Moet je je eens inbeelden wat voor gevolgen het zou hebben als elke leraar/vuilnisman/vvv medewerker etc. toegang had tot dit systeem.

kimborntobewild @brick5492 • 21 juni 2015 16:12

leraar/vuilnisman

Naar mijn weten zijn vuilnismannen geen ambtenaren.
Naar mijn weten zijn leraren hooguit semi-ambtenaren; tegenwoordig zijn veel scholen een stichting, waardoor de werknemers geen ambtenaren (meer) zijn.

Verwijderd @brick5492 • 20 juni 2015 14:08

Inderdaad elke ambtenaar heeft toegang tot het systeem. Soms moet het door zijn manager (ook ambtenaar) gekeurd worden en soms niet ! Elke ambtenaar kan wel elke gegevens in het systeem bekijken dus niet alleen maar naar vreemden zoeken maar ook de gegevens van zijn buren en gehele familie diep bestuderen. Dat is Nederlandse democratie!

tERRiON @Verwijderd • 20 juni 2015 14:54

Dit is natuurlijk aperte onzin.

Als ambtenaar (overigens zonder toegang) weet ik toevallig hoe de autorisatie verstrekt wordt. En het is dus zeker niet zo dat elke ambtenaar zomaar klakkeloos toegang krijgt.

Verwijderd @Verwijderd • 20 juni 2015 14:54

Ik ben ambtenaar maar heb absoluut geen toegang en mijn collega's ook niet. Tenminste, als het goed is niet, maar kennelijk wel.
Zou ook gek zijn als ik er bij kan zonder ook maar iets met personeel te doen hebbend.
Gemeentes en dergelijk hebben wel toegang:

UWV, SVB en gemeenten wisselen onderling gegevens uit op basis van de wet SUWI. Als een niet-Suwipartij dit ook wil doen moet er voldaan worden aan het aansluitprotocol GeVS. In het document Gegevens raadplegen van de keten van W&I via GeVS staat meer informatie over dit protocol.

Bron en links: http://www.bkwi.nl/produc...-services/suwinet-inkijk/

Verwijderd @Verwijderd • 20 juni 2015 23:21

tot ADQ
Niet elke gemeente-medewerker is een ambtenaar en b.v. een receptioniste bij de gemeente-ingang welke controleer je afspraak, is geen ambtenaar maar er zijn nog meer uitzonderingen. Met ambtenaar bedoel ik mensen welke onder "ambtenaren wet" vallen dus niet elke persoon welke voor de gemeente werkt !.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:42]

Verwijderd @Verwijderd • 21 juni 2015 08:55

Met ambtenaar bedoel ik mensen welke onder "ambtenaren wet" vallen dus niet elke persoon welke voor de gemeente werkt !.

Ik val onder die wet als defensie ambtenaar... Maar hoor geen toegang te krijgen, net als alle militairen.

Verwijderd @Verwijderd • 21 juni 2015 09:38

Waarom krijgt martin.M -1? Ik vind zijn opmerking relevant. Want zo gaat dat vaak wel in de werksfeer.

Ik heb zelf gewerkt op een afdeling die autorisaties verstrekte aan medewerkers. Bij die organisatie heb ik ook op andere afdelingen gewerkt. Ik kan het verhaal van beide kanten.

Chefs die je van hun inlog gebruik laten maken als jij een probleem hebt met de pc. Gebruikers die onderling paswoorden uitruilen omdat ze dan even toegang hebben tot dat handige programmaatje.

Chefs die autorisatie aanvragen voor een medewerker die eigenlijk die app niet nodig moet hebben volgens zijn functieomschrijving. Chefs die een specifieke taak delegeren vanwege afwezigheid of werkdruk en die autorisatie aanvragen voor een andere medewerker.

Als je het vertrouwen hebt van de chef dan kreeg ik als autorisatie beheerder gewoon het verzoek. Wat daar achter zat ging me niet aan. Ik deed mijn ding en belde de betreffende persoon met 'je kunt er in hoor!'

Als autorisatie had ik geen overzicht van alle functieomschrijvingen en wie in feite in welk systeem mocht neuzen. Dat was er later wel maar dat werd niet nageleefd in de zin van, 'als jij een chef aan de lijn krijgt mag jij hem niet weigeren als de taakomschrijving een programma uitsluit...'

Als op een gegeven moment er een migratieproject was en iedereen over ging naar Windows NT4, dan was niet eens altijd helemaal duidelijk welke afdeling nu wel of niet welke software mocht gebruiken. En dan is het al gauw zo, 'wij hebben dat nodig anders kan de hele afdeling niets doen...' En dus autoriseer je anders zitten 50 stuks personeel alleen nog koffie te drinken. En dat is dan niet mijn beslissing mkaar die van mijn manager, paniek! Die wil niet verantwoordelijk zijn voor een niet-werkende afdeling.

En zo zie je, als je 'vrienden' hebt en wilt houden dan ben je in zekere zin corrumpeerbaar.

perry1 @Verwijderd • 20 juni 2015 16:37

wat de hele overheid bestaat alleen maar uit vriendejes van elkaar.
In welke illusie leef jij?

Als je geen verstand van zaken hebt, ga dan niet zomaar onzien roepen. daar schiet niemand iets mee op.

i-chat @perry1 • 20 juni 2015 22:12

wat de hele overheid bestaat alleen maar uit vriendejes van elkaar.
In welke illusie leef jij?

Als je geen verstand van zaken hebt, ga dan niet zomaar onzien roepen. daar schiet niemand iets mee op.

je kunt zijn reactie afdoen met een reactie als dit, maar FEIT is dat er al sinds 13 grootschalig misbruik wordt gemaakt van deze databank en dat er nu nog steeds niets aan is gedaan, zo erg zelfs dat 'zelfs de verantwoordelijke stasec 'het zat is'

dus of het nu op basis is van 'vriendjes' of op basis van iets anders doet niet ter zake, al hoop ik wel dat al deze medewerkers, straks netjes worden veroordeeld tot computer-criminaliteit (hacken), en fraude,

Verwijderd @i-chat • 21 juni 2015 14:16

Gewoon elkaar het hand boven het hoofd houden. Slechte publiciteit brengt schade aan het systeem.

Verwijderd @Verwijderd • 20 juni 2015 15:41

Een deurwaarder is een ambenaar.

Incasso-bureaus zijn geen deurwaarders.

CAPSLOCK2000

Privacy
Economie en maatschappij

@Verwijderd • 20 juni 2015 15:50

Een incassobureau kan een deurwaarder inschakelen maar een goede deurwaarder zal geen informatie aan het incassobureau geven.

Er zijn een hoop incassobureau's die zeggen dat ze deurwaarder zijn maar dat is niet zo. Iedereen mag zichzelf incassobureau noemen maar dan heb je niet mee rechten dan een willekeurige andere burger. Een deurwaarder heeft wel bijzondere rechten maar is dan ook aan strenge regels gebonden. Een deurwaarder komt meestal pas in actie na een uitspraak van een rechter.

Als jij een boze brief krijgt omdat je een rekening niet hebt betaald is dat eigenlijk altijd van een incassobureau en niet van een echte deurwaarder ook al impliceren ze dat wel.

kroepmoesje @Verwijderd • 21 juni 2015 11:55

Deurwaarders kunnen in het GBA, RDW-register, UWV, etc. Dit gaat niet via Suwi maar via SNG.

Incassobureau''s hebben geen toegang tot SNG, maar halen hun informatie op hun beurt via kredietinformatiebureaus als focum en edr. En ja, hierin staat ook vaak een nieuw adres als personen zijn verhuist oid. Die informatie word ingekocht via energiemaatschappijen, telefoniemaatschapijen etc.

CAPSLOCK2000

Privacy
Economie en maatschappij

@Verwijderd • 20 juni 2015 16:04

Ik hoop dat een deurwaarder zo slim is om hier niet aan mee te werken. Het is een directe bedreiging voor z'n eigen werk.Ik denk dat incassobureau's andere ambtenaren omkopen om hun toegang te geven. Misschien is dat inderdaad wat naief van mij.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 18:42]

Verwijderd @Verwijderd • 20 juni 2015 16:59

Dan heb je het over een GERECHTSdeurwaarder, dat is andere "koek".
Een normale incasso-bureau en deurwaarder heeft precies diezelfde rechten als jij en ik.

Verwijderd @Verwijderd • 20 juni 2015 17:05

Ik mag zo een incasso-bureau starten en mijzelf of een vriend(in) benoemen tot deurwaarder.
Zo zie je maar welke status die krengen hebben... geen enkele status dus.
Bedrijven schakelen deze krengen in om het goedkoper te maken, zo hoeft bedrijf x niet naar de rechter te gaan om persoon x te someren te betalen bijvoorbeeld.
Er is wel een beschermde deurwaarders titel en dat is een gerechtsdeurwaarder.

thegve @Verwijderd • 20 juni 2015 19:36

Een incasso bureau krijgt alleen maar mee dat ze bedrag X moeten gaan verhalen bij meer Y. Dat is de 'info' die ze hebben.
Voornaamste nut/doel daarvan is dat een administratie-afdeling van een bedrijf geen zin, tijd en kennis heeft om achter wanbetalers aan te gaan.
Ondanks de hufterigheid van sommige incassobedrijven hoef je je weinig van hun aan te trekken bij een onterechte vordering, als je dit maar tijdig en duidelijk communiceert, en dit uiteraard kan aantonen (aangetekend).

lezzmeister @thegve • 20 juni 2015 21:05

Ik kan je vertellen dat dat niet werkt. Als ze moeten halen, komen ze halen, ongeacht wat dan ook. Je word na lang zeuren en zaniken en post over en weer wel terugbetaald, althans ik dan, maar daar gaat 6 maanden overheen, en dat is met rechtsbijstandverzekering.

Je kan tegenstribbelen tot je een ons weegt, maar als ze met oom agent komen, heb je niks te willen, al is de vordering nog zo verkeerd.

[Reactie gewijzigd door lezzmeister op 22 juli 2024 18:42]

thegve @lezzmeister • 21 juni 2015 00:19

Dat is een gerechtsdeurwaarder, geen incasso. Een incasso is gewoon een veredelde administrateur.

lezzmeister @thegve • 22 juni 2015 01:54

Neemt niet weg dat ze gewoon geld halen bij de verkeerde. En als ik geen bijstand had gehad had ik voor anderen betaald en niet teruggekregen.

kobus71 @Verwijderd • 21 juni 2015 19:13

Klopt helemaal.
In onze gemeente zie je voordat de vakantiegelden uitgekeerd worden, die deurwaardes en dat soort aankomen bij het gemeentehuis.
Ze krijgen dan alle ruimte achter de computers en leggen dan doodleuk beslag.

Ik heb dat altijd zo vreemd gevonden, maar dit stukje verheldert heel wat.

thegve @kobus71 • 22 juni 2015 16:51

Snap je dan ook niks van. Ik vind het soms bij onze klanten al raar dat ze accountgegevens delen om wordbestandjes te kunnen openen, en dat is een bepaald niet gevoelige sector.
Maar als je login gegevens hebt, op naam, voor dit soort gevoelige info, dan wil je er toch niet op kunnen worden aangekeken dat dit misbruikt word.

Verwijderd @Verwijderd • 20 juni 2015 15:49

Niet met deurwaarders.

Een bedrijf heeft een rekening die ze niet kunnen innen. Dan nemen ze een incasso-bureau in de hand. Die gaat bij de klant langs (als het goed is), of stuurt een stapel dreig-brieven. Maar ze kunnen eigenlijk niet veel.

Als dat niet helpt, kan het bedrijf naar de rechter. Die doet een uitspraak ("betalen!"). Het bedrijf neemt dan een deurwaarder in de hand voor de uitvoering van die rechterlijke uitspraak. Als het zo ver gekomen is, dan heeft het incasso-bedrijf er al helemaal niks meer mee te maken. Behalve dat je als klant misschien ook nog aan de deurwaarder een extra bedragje mag betalen waarmee het incasso-bedrijf wordt beloont voor je aansporingen.

Btw, deurwaarders en incasso-bedrijven zijn de grootste oplichters en afzetters in heel Nederland. De tarieven die zij rekenen zijn hoger dan dat de maffia doet. 11% Rente berekenen, 100 euro voor een geprinte brief uit een computer, 150 euro voor een bezoekje. En nu dus illegale bronnen gebruiken. Geen wonder dat die smeerlappen allemaal in grote 4-wheeldrive SUVs rijden. Het is tijd dat de politiek eens de bezem door deze zwijnenstal haalt.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:42]

Verwijderd @Verwijderd • 20 juni 2015 16:26

Als iedereen z'n rekeningen op tijd betaald pak je ze meteen keihard aan. Dan staan ze allemaal op straat....

Verwijderd @Verwijderd • 20 juni 2015 17:00

Alsof iedereen er altijd wat aan kan doen toch?
Alsof er geen valse facturen worden verzonden toch?

larscw @Verwijderd • 20 juni 2015 17:34

Een goede rechtsbijstand verzekering doet wonderen als het gaan om incassoburo's.

Je stuurt al hun brieven direct door aan de rechtsbijstand en die weten wel met hun om te gaan.

De Nederlandse overheid heeft een geschiedenis van zwakke IT projecten die milljoenen hebben gekost en het is altijd de burger die meer moet gaan betalen.

Die staatsecretaris of minister die op een bepaald moment de laan wordt uitgestuurd heeft over het algemeen dit project op hun bord gekregen. Projecten waar een te jonge manager 6 maanden op werkt en dan weer naar een ander project gaan en alleen maar op een project zit om punten te scoren.

Er is zoveel knowhow in Nederland maar jammer genoeg is onze overheid nog steeds niet in staat om een juiste partij te kiezen om zo'n project uit te voeren.

thegve @larscw • 22 juni 2015 16:58

Een incassobureau kan alleen iets met terechte incasso's. Als je een valide of invalide reden opgeeft of verzint richting een incassobureau waarom een incasso onterecht is, dan is het een betwiste betaling, en dan heeft een incasso-bureau weinig meerwaarde meer voor de opdrachtgever.
Deze kan het dan ofwel naar de rechter brengen, of neem het verlies. Of vertelt tegen het incassobureau dat het wel een terechte incasso is natuurlijk, en die kan nog wel irritante brieven sturen.

kobus71 @Verwijderd • 21 juni 2015 19:15

Zijn VVders, die leggen mekaar geen haar in de weg.
Die laten de boel graag zoals die is.

Verwijderd @Verwijderd • 20 juni 2015 15:56

Leg mij dan maar eens uit wat het verschil is tussen een deurwaarder en een (medewerker van een) incasso-bureau.

Peoplen @Verwijderd • 20 juni 2015 18:18

Volgens mij is martin.M gewoon aan het Trollen, maar ik zal hem toch nog even een duidelijk voorbeeld geven:

Als jij je telefoon of internetrekening niet betaald, zal je een incasso van het incassobureau aan je broek krijgen. Incassobureaus werken niet alleen samen met overheidsinstanties maar dus ook met commerciële bedrijven. Ook al werkt een commercieel bedrijf voornamelijk samen met de overheid (bedrijf die opdrachten aanneemt van de overheid), dan maakt dat het nog niet een overheidsinstantie met ambtenaren.

Als je een paar stappen verder bent en de rechter spreekt een vonnis uit dat er beslag wordt genomen op jouw bezittingen, dan komt een gerechtsdeurwaarder langs om jouw bezittingen op te eisen. Deze persoon werkt wel in opdracht van de overheid en moet ook meer wettelijke privileges hebben (je mag niet zomaar iemand zijn spullen innemen).

Een beveiliger is ook geen politieagent (dus ambtenaar), maar als er stront aan de knikker is, zal de politie de beveiliger wel ondersteuning bieden.

Croga

@Verwijderd • 20 juni 2015 13:24

We hebben het hier echter niet over gerechtsdeurwaarders maar over incassobureaus. En dat zijn geen ambtenaren, zels niet als ze zichzelf "deurwaarder" (een term die niet beschermd is) noemen.

Somoghi @Verwijderd • 20 juni 2015 13:38

Blijkbaar is het verschil tussen een deurwaarder en een incasso bureau je niet duidelijk.
https://nl.m.wikipedia.org/wiki/Incassobureau

Kortom een incassobureau moet bij achterblijven van betaling een deurwaarder inschakelen, deze kan verdere stappen nemen.

In het artikel gaat het om incassobureaus niet om deurwaarders

teacup @Somoghi • 20 juni 2015 14:41

En laten nu juist deze incassobureaus (volgens je wiki) niet aan richtlijnen gebonden zijn. Iedereen kan een incassobureau beginnen. En sinds gemeenten zelf incassobureaus inschakelen om hun financiële conflicten met hun inwoners op te lossen ontstaat er een verstrengeling van belangen. De opdrachtgever van een incassobureau heeft toegang tot informatie waar datzelfde incassobureau goed gebruik van kan maken, en niet alleen voor het belang van de opdrachtgever (gemeente).

fevenhuis @teacup • 20 juni 2015 15:28

Incassobureaus staan niet boven de wet, het clandestien inzien van gegevens in een computer netwerk waarvoor je niet geauthoriseerd bent, in dit geval van de overheid, is wel degelijk strafbaar want dat noemen wij hacken.

Het valt te hopen dat de overheid dit oppakt, omdat het anders zo lijkt dat bedrijven willekeurig alle gegevens mogen plunderen.

En zeker incassobureaus zijn niet echt het summum van betrouwbare bedrijven, die moeten zeker in de teugels gehouden worden.

Het klinkt een beetje of dat er van binnenuit wat deurtjes worden opengezet.

teacup @fevenhuis • 20 juni 2015 16:25

Het klinkt een beetje of dat er van binnenuit wat deurtjes worden opengezet.

dit is ook mijn indruk. Zelf verwacht ik ook niet dat de incassobureaus zelf fysiek in de database toegang hebben gehad. Er zijn alleen te veel mogelijkheden (lees: mensen met toegang) om achter informatie in deze database te komen. Dit is ook waarschijnlijk omdat gemeentes ook zelf opdrachtgever zijn. Bestaat er een goede relatie tussen gemeente en Incassobureau, dan wordt de drempel laag om het incassobureau ook informatie toe te schuiven die buiten het kader van de opdracht valt.

Fixer hierboven kan ons melden dat zoekgedrag gelogd wordt. Deze informatie monitoren is een methode om dergelijk misbruik deels te ondervangen of te ontmoedigen.

Het Elektronisch Patiënten Dossier heeft een vergelijkbare problematiek. In potentie heel veel mensen kunnen patiënteninformatie zien. Een snelle sleutel die tegenwoordig wordt gebruikt is dat allen betrokken bij een behandeling van een patiënt gedurende de behandeling toegang krijgen tot de patiëntengegevens. Na het afsluiten van de behandeling eindigt ook de toegang. Bij chronische patiënten wordt dit verhaal natuurlijk al minder duidelijk. Misbruik van het EPD wordt streng gestraft (nursing.nl), al zegt dit weinig over de pakkans. Uit de hoogte van de straf ka je constateren dat de pakkans niet hoog is, en een afschrikeffect nodig is.

De situatie bij Suwinet lijkt anders. De gewenste situatie lijkt een autorisatiestructuur. Deze autorisatie lijkt te worden gebaseerd op functie of rol van de medewerker. Ik zie niet terug of een medewerker tijdelijk toegang tot cliëntengegevens krijgt zolang de zaak van de cliënt door de medewerker wordt behandeld, zoals dat bij het EPD werkt. Bovendien is deze autorisatiestructuur in veel gemeentes nog niet eens goed opgetuigd. Er is wel een controle van het gebruik, en 33% van de gemeentes zouden aan de normen hiervoor voldoen. Mij lijkt alleen dat deze controle alleen de toegang tot de Suwinet applicaties inhoudt. Of de controle ook inhoudelijk op de zoekresultaten inzoomed betwijfel ik, ik vindt er niets over terug op de site.

Edits: typo's en taal.

[Reactie gewijzigd door teacup op 22 juli 2024 18:42]

Croga

@Verwijderd • 20 juni 2015 13:31

Nonsense.

Een gerechtsdeurwaarder is ambtenaar. Die is dus per definitie in dienst van de overheid (tenslotte is dat de definitie van ambtenaar).
Deze persoon kan toegang hebben tot het genoemde systeem omdat hij pas in actie komt nadat een rechter uitspraak heeft gedaan. Die toegang mag dan ook niet voor incasso werk gebruikt worden maar alleen voor het betekenen en uitvoeren van een vonnis.

Een deurwaarder is iedereen die zichzelf die titel aanmeet. De term is namelijk niet beschermd; iedereen mag zichzelf zo noemen en het heeft geen enkele status.

Verwijderd @Croga • 20 juni 2015 13:35

Een gerechtsdeurwaarder is niet in dienst van de overheid maar is benoemd door de Kroon. De gerechtsdeurwaarder is ambtenaar en ondernemer, zie Gerechtsdeurwaarderswet.

Stoney3K @Croga • 20 juni 2015 13:36

Nonsense.

Een gerechtsdeurwaarder is ambtenaar. Die is dus per definitie in dienst van de overheid (tenslotte is dat de definitie van ambtenaar).
Deze persoon kan toegang hebben tot het genoemde systeem omdat hij pas in actie komt nadat een rechter uitspraak heeft gedaan. Die toegang mag dan ook niet voor incasso werk gebruikt worden maar alleen voor het betekenen en uitvoeren van een vonnis.

Ik verwacht ook dat de meeste onterechte toegangspogingen dan ook gedaan zijn door incassobureau's die ook gerechtsdeurwaarders in dienst hebben, en daardoor de bevoegdheid van hun ambt kunnen misbruiken om de persoonsgegevens van debiteuren te achterhalen.

Verwijderd @Verwijderd • 20 juni 2015 15:58

Nou jij nog. Wat Sotney3k verkondigt is namelijk ook onzin.

Dark @Sorcerer8472 • 20 juni 2015 12:33

het zou me niet verbazen als ze niet eens (meer) weten of kunnen achterhalen wie erin geweest zijn.

Saint2Saint @Dark • 20 juni 2015 13:12

Als de gegevens opgevraagd zijn via de BRP (basisregistratie personen, bestaande uit de GBA en de RNI) dan ben je als afnemende partij (de gemeente die Suwinet gebruikt) verplicht om een vorm van een audit trail bij te houden. Waar je dus in kan nagaan wie welke informatie in welk systeem heeft opgevraagd. De beheerpartij van de registratie, in deze Binnenlandse Zaken, kan die audits opvragen en vragen stellen over het waarom. Oneigenlijk gebruik kunnen boetes en of afsluiting betekenen. Ik weet echter niet of dat ook geldt voor andere basisregistraties met persoonsgegevens.

niki_lauda @Saint2Saint • 20 juni 2015 17:26

Als de gegevens opgevraagd zijn via de BRP (basisregistratie personen, bestaande uit de GBA en de RNI) dan ben je als afnemende partij (de gemeente die Suwinet gebruikt) verplicht om een vorm van een audit trail bij te houden. Waar je dus in kan nagaan wie welke informatie in welk systeem heeft opgevraagd. De beheerpartij van de registratie, in deze Binnenlandse Zaken, kan die audits opvragen en vragen stellen over het waarom. Oneigenlijk gebruik kunnen boetes en of afsluiting betekenen. Ik weet echter niet of dat ook geldt voor andere basisregistraties met persoonsgegevens.

Binnenlandse Zaken houdt alleen de landelijke verstrekkingen bij. De gemeente moet ook de verstrekkingen binnen je gemeente vastleggen.
De termijn van het vasthouden van de verstrekkingen is sinds enkele jaren 20 jaar.

Sorcerer8472 @niki_lauda • 21 juni 2015 11:43

Dus als de gemeente dit niet goed op orde heeft dan is er geen trail? Klinkt niet heel waterdicht allemaal. Liefst zou je zien dat ambtenaren persoonlijk moeten inloggen en al hun handelingen in zulke systemen nauwkeurig worden gelogd.

Sorcerer8472 @Dark • 20 juni 2015 12:37

Als dat systeem niet bijhoudt wie exact wat bekijkt dan zou ik dat heel erg slecht vinden. Ik heb eerder een keer op tv een verhaal gezien over iemand die een domme inhaalactie had uitgevoerd op de snelweg en onbedoeld iemand had gesneden.

De persoon die gesneden is had het adres van de ander opgezocht en de auto terwijl hij naast z'n woning stond flink beschadigd.

Als je in zo'n geval kunt nazoeken wie de kentekengegevens van die auto heeft opgevraagd (en dan met name de gekoppelde NAW-gegevens), dan zou je iets kunnen doen met zo'n zaak. Als dat nu niet bij al dit soort systemen wordt opgeslagen dan zou dat toch ook wel heel schrijnend zijn...

CAPSLOCK2000

Privacy
Economie en maatschappij

@Sorcerer8472 • 20 juni 2015 13:28

De persoon die gesneden is had het adres van de ander opgezocht en de auto terwijl hij naast z'n woning stond flink beschadigd.

Die persoon die gesneden is hoort zijn toegang tot die database daar niet voor te gebruiken. Wanneer mijn huis afbrandt mag ik als ambtenaar ook niet even wat geld uit de kas pakken om een nieuw huis voor mezelf te bouwen, hoe zielig ik ook ben.
Als er een legitieme reden is om in de database te zoeken dan hoort hij of zij de juiste procedure te volgen en dan gaat iemand anders in die database zoeken.

kritischelezer @Sorcerer8472 • 20 juni 2015 14:11

Het vervelende is dat dit zo makkelijk gaat, ook via een ¨bevriende¨ ambtenaar.

Ik heb jaren gewerkt in huizen voor bescherming van mensen, en zowel bij politie als gemeente is het niet al te moeilijk om iemand te laten kijken.

Toff @kritischelezer • 20 juni 2015 18:21

Het vervelende is dat dit zo makkelijk gaat, ook via een ¨bevriende¨ ambtenaar.

Er vliegen regelmatig "bevriende" ambtenaren de laan uit met oneervol ontslag, omdat ze tegen de lamp gelopen zijn met hun "vriendendiensten". Je hoeft maar één keer een verkeerd persoon te bevragen en alle alarmbellen gaan af. Geen vriendschap in de wereld is dit risico waard.

kritischelezer @Toff • 20 juni 2015 21:11

Maar regelmatig wordt er gesnuffeld. Alleen een mutatie wordt vastgelegd in een log (wie de mutatie heeft uitgevoerd), het raadplegen (snuffelen) niet...

Toff @kritischelezer • 20 juni 2015 21:36

Je bent abuis, alle handelingen worden gelogd en gemonitord. Helaas mag ik er verder niet op ingaan, dus je zult me op mijn woord moeten geloven.

kritischelezer @Toff • 20 juni 2015 21:48

Is dit gewijzigd? Toen ik nog werkte was dat niet zo in Genesis.

Maar ik ben blij dit te horen. Mijn ervaring speelde toch zo´n 5 jaar geleden af.

[Reactie gewijzigd door kritischelezer op 22 juli 2024 18:42]

ANW @Toff • 21 juni 2015 13:43

Zoals altijd bij de overheid is er een irrationeel vertrouwen in de procedures.
Ten eerste in de correctheid van de procedures,
ten tweede in de naleving ervan.

En als de veiligheidsmaatregelen geheim zijn, dan vrees ik dat die ook zo lek als een mandje zijn: goede security werkt ook (of zelfs dankzij) bij openbaarheid van de mechanismes.

H!GHGuY @Sorcerer8472 • 20 juni 2015 12:39

Tegelijk vind ik dat de beheerders van de Suwinet moeten aangeklaagd worden wegens het slechts beveiligen van de toegang tot die databank.

ongewoongewoon @Sorcerer8472 • 20 juni 2015 12:28

En een dikke boete vanuit het CBP mag ik hopen. Dit is toch wel wat meer inbreuk op persoonsgegevens dan ....tracking cookies op je website zonder cookie wall.

WhatsappHack

Economie en maatschappij
Privacy

@ongewoongewoon • 20 juni 2015 12:36

Mja, die gaan een boete opleggen aan de overheid.

Dan veranderen ze de wet of zal de rechter aan de kant van de overheid staan.
Daarnaast is het useless, die boete vloeit van de kas terug de kas in. En op die manier kan de overheid steeds met falen wegkomen.

Silent7 @WhatsappHack • 20 juni 2015 12:56

Men zou de raadplegers die geen recht hadden om het in te zien kunnen beboeten.
Dan is het in ieder geval geen vestzak/broekzak verhaal want incassobureaus worden niet betaald van belasting.

niki_lauda @Silent7 • 20 juni 2015 14:05

Wat ik zou willen is dezelfde mogelijkheid als in België, Volgens mij kan iedereen in het rijksregister raadplegen door wie de laatste tijd zijn of haar gegevens zijn geraadpleegd. Dan heb je pas controle over je eigen gegevens.

Verder is ontslag de enig juiste maatregel.

Frankster @niki_lauda • 21 juni 2015 11:06

Volgens mij is de enige fatsoenlijke maatregel strafrechtelijke vervolging en schorsing hangende de uitspraak. Helaas is dit nog een redelijk onontgonnen terrein in Nederland, want je ziet vaak dat misstappen met de mantel der liefde worden afgedekt en dat het OM (ook ambtenaren) er vaak niets voor voelt.

niki_lauda @Frankster • 22 juni 2015 19:44

Dat klopt niet in de hoofdstad zijn al personen ontslagen voor misbruik van gegevens. Verder is er in een zaak rond de mogelijke verkrachting van een vrouw door een bekende Nederlander ook al te nieuwsgierige politieambtenaren zwaar aangepakt.

Frankster @niki_lauda • 23 juni 2015 06:36

Precies! Er vindt ontslag plaats, maar geen vervolging. En dat is juist precies wat er zo vreemd is. Wanneer ik inbreekt in dergelijke systemen, dan zal ik vervolgd worden. Maar als een ambtenaar dat doet dan vindt er hooguit ontslag plaats...

Dunky555 @niki_lauda • 20 juni 2015 20:37

Precies, wie is hier verantwoordelijk voor! Er uit met die lui.

i-chat @Dunky555 • 20 juni 2015 22:23

en een verbod ooit nog als ambetenaar te werken, of voor een bedrijf, dat biedt op openbare aanbestedingen

dyrc

@niki_lauda • 21 juni 2015 07:54

opvragen inzage gba is in nederland mogelijk voor burgers, en kan bij de gemeente waar je woont aangevraagd worden.
gemeenten zijn hier niet al te blij mee ivm het stukje handwerk wat hierbij komt kijken,en zal dus niet op de frontpage van de gemeente staan. mogelijk is het wel, altijd geweest.

CAPSLOCK2000

Privacy
Economie en maatschappij

@WhatsappHack • 20 juni 2015 13:26

Daarnaast is het useless, die boete vloeit van de kas terug de kas in.

Zo werkt het niet, de overheid werkt niet met een grote pot geld waar iedereen vrij uit mag scheppen. Ieder onderdeel heeft een budget waar ze het mee moeten doen. Als het op is dan hebben ze een probleem.

Je kan je wel afvragen of het productief is om de overheid een boete te geven. Ze hebben dat geld omdat we vinden dat ze dat nodig hebben. Als het wordt afgepakt kan bepaald werk niet meer gedaan worden waarvan we hebben besloten dat het de moeite waard is. Als dat werk niet meer gedaan wordt straffen we onszelf.

Bovenstaande is ook een beetje versimpeld maar daar komt het wel op neer. De overheid geeft ons geld uit omdat we democratisch hebben besloten dat we dat nuttig vinden.

In dit geval is het nog sterker want het gaat om boetes die aan een gemeente worden opgelegd. Zo'n gemeente kan niet bij de staat gaan vragen om meer geld. Ze zullen hun eigen burgers meer belasting moeten rekenen of het geld ergens anders weghalen. Burgers zullen dan gaan klagen en de verantwoordelijke bestuurders de laan uit sturen als er niet adequaat wordt opgetreden. (In theorie dan, de praktijk is altijd wat weerbarstiger.)

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 18:42]

ANW @CAPSLOCK2000 • 21 juni 2015 13:52

Dus zouden ook ambtenaren persoonlijk vervolgt moeten kunnen worden als ze illegaal bezig zijn, ook als ze daarvoor opdracht krijgen.
"Nee Chef, dat mag niet volgens die-en-die wet!"

En misschien wel bonussen voor klikspanen.

teacup @WhatsappHack • 20 juni 2015 13:43

CPB is wel degelijk in staat om sancties op te leggen aan overheidsinstanties, zoals ook uit de Staatscourant blijkt. Zo is het CPB in staat om een last onder dwangsom of een bestuurlijke boete op te leggen, ook aan overheidsinstanties.

Hierbij moeten we niet vergeten dat de boete het doel niet is maar meer als pressiemiddel moet worden gezien om een beleidsverandering bij de falende instantie te bewerkstellingen. De schuldvraag en wat voor gevolgen dit heeft voor de organisatie van de falende instantie is niet iets waar de CPB direct invloed op heeft. CPB beoordeelt de output van een instantie.

The Reeferman @WhatsappHack • 21 juni 2015 07:54

Een incassobureau of gevaarlijke werknemer van dat bureau, die wil weten in welk blijf van mijn lijf huis z'n mishandelde ex-vriendin zit zijn geen overheid.

mae-t.net @Verwijderd • 20 juni 2015 21:14

Even ervan uitgaande dat het zou kloppen dat alleen ambtenaren gegevens gekregen hebben (niet alles dat jij deurwaarder noemt is ambtenaar), kan dat alsnog onwettig gebeurd zijn; immers hebben niet alle ambtenaren recht op alle gegevens van iedereen. Ze mogen alleen voor hun taak relevante gegevens opvragen.

[Reactie gewijzigd door mae-t.net op 22 juli 2024 18:42]

Opperpanter2 20 juni 2015 13:08

"Burgers kunnen zelf via www.werk.nl inzien welke gegevens van hen zijn opgeslagen."

Iemand al ontdekt hoe/waar? De zoekfunctie van die prachtige website vindt nul hits op suwinet.

ChillinR

@Opperpanter2 • 20 juni 2015 14:09

Ja, hier. Je moet eerst ingelogd zijn met DigiD op werk.nl, anders krijg je de melding dat je sessie is verlopen.

Het kostte inderdaad moeite om te vinden. Het is me als volgt gelukt (nadat ik ook niks kon vinden op werk.nl):

Googlen naar "werk.nl suwinet"
Een van de hits (deze) was van bkwi.nl, waar de volgende info stond: "Suwinet-Mijn gegevens is een elektronische dienst die burgers de mogelijkheid geeft om de eigen persoonsgegevens uit de Suwiketen in te zien via www.werk.nl, 'gegevens inzien'."
Zoeken naar "gegevens inzien" op werk.nl geeft de juiste hit

[Reactie gewijzigd door ChillinR op 22 juli 2024 18:42]

B64

@ChillinR • 20 juni 2015 19:51

Als je bent ingelogd op werk.nl kun je links onderin een linkje vinden naar 'gegevens inzien'.

hotje @ChillinR • 21 juni 2015 05:40

Helaas kan je niet zien wie (welke instantie), wanneer om welke reden jouw gegevens heeft geraadpleegd. Wanneer je zelf als burger kan controleren welke instantie om welke reden jouw gegevens raadpleegt is levert dat zeer waarschijnlijk een enorme rem op misbruik op.

Laat onverlet dat ik dit soort ontwikkelingen en koppelingen van databestanden plus de enorme vergaardrift van triviale gegevens over de Nederlandse burgers door de Nederlandse overheid een zeer zorgelijke en gevaarlijke ontwikkeling vind.

B64

@Opperpanter2 • 20 juni 2015 20:43

"Burgers kunnen zelf via www.werk.nl inzien welke gegevens van hen zijn opgeslagen."

Iemand al ontdekt hoe/waar? De zoekfunctie van die prachtige website vindt nul hits op suwinet.

Via Mijnoverheid.nl heb je al jaren toegang tot de persoonlijke gegevens die de overheid van je heeft. Niet alleen de arbeidsverleden en uitkeringsinformatie, maar ook opleidingen, voertuigkentekens die op je naam staan, onroerend goed dat op je naam staat (inclusief WOZ-waarde), details over je familie (inclusief BSN-nummers van je kinderen, partner en ouders), details over je pensioenopbouw, en ga zo maar door.

Iedereen zou moeten weten dat die informatie daar staat, en eigenlijk is het best wel zorgelijk dat jij dit blijkbaar nog niet wist. Dat bedoel ik dan niet als kritiek naar jou toe, want dit is nauwelijks door de overheid naar z'n burgers toe gecommuniceerd.

In het kader van dit artikel vind ik het eigenlijk belangrijker of ik ergens kan terugvinden wie er allemaal informatie over mij heeft opgevraagd. Dat je dat niet online kunt vinden snap ik misschien nog wel, maar ik zou het toch op prijs stellen als er nu eens wordt onderzocht wie er allemaal onterecht toegang hebben of hadden, en burgers persoonlijk worden ingelicht als een instantie of bedrijf onterecht informatie over hun hebben opgevraagd. Want ik kan me voorstellen dat mensen daar persoonlijk schade door hebben ondervonden, en in dat geval zou de overheid die mensen dus schadeloos moeten stellen. Grote probleem wordt dan dat je als burger moet aantonen wie de onterechte toegang verschaft heeft, dat kon nog best wel 'ns lastig zijn...

Opperpanter2 @B64 • 20 juni 2015 22:05

mijnoverheid.nl kan zijn dat ik er wel eens iets over heb gehoord.

Als je daar inlogt de eerste keer, moet je akkoord gaan met de gebruikersvoorwaarden. Onderdeel daarvan is dat bepaalde instantie voortaan hun brieven (alleen nog) digitaal gaan sturen naar mijnoverheid.nl. Als je akkoord gaat, geef je aan dat die instanties ervanuit kunnen gaan dat je die "brieven" ook leest.

B64

@Opperpanter2 • 21 juni 2015 09:53

Je kunt per overheidsorganisatie aanvinken of die wel of niet berichten digitaal mag versturen. Als je dat niet wilt, dan haal je al die vinkjes dus gewoon weg.

Als er een bericht in je mijnoverheid.nl berichtenbox is binnengekomen, krijg je een mailtje in je normale mailbox, zodat je weet dat het bericht er is. Het is aan jou om het dan te lezen, of niet - maar dat is niet anders dan wanneer je een brief in een envelop binnenkrijgt.

Covi @B64 • 22 juni 2015 12:10

Dat is zeker zeer vreemd. In België kan je dit wel.
Wij kunnen zelf onze gegevens raadplegen en eventueel corrigeren, maar we kunnen ook effectief zien wie of welke dienst onze gegevens het laatst bekeken heeft.

Dus ze informeren misschien beter eens hoe wij dit in BE opgevangen hebben.

Verwijderd @B64 • 23 juni 2015 17:39

Bij het BKWI, de beheerder van Suwinet, kan je opvragen door wie jouw gegevens zijn geraadpleegd en met welk doel. Hiervoor dien je een brief te sturen naar het BKWI met dit inzageverzoek. Zij zeggen slechts de afgelopen achttien maanden te (mogen) bewaren, dus je zou dit verzoek elk anderhalf jaar moeten herhalen om een compleet plaatje te krijgen (behalve dat je de afgelopen elf jaar dus niet meer kan achterhalen). Een voorbeeldbrief hebben wij, voor het gemak, op onze website gezet (argos.vpro.nl).

Verwijderd @Opperpanter2 • 21 juni 2015 00:04

Niet elke burger kan zelf via www.werk.nl inzien welke gegevens van hen zijn opgeslagen want niet elke burger weet het dat zulke mogelijkheden bestaan ! Je kan absoluut het niet zien door wie je gegevens (of je laatste gegevens) zijn geraadpleegd dus je gegevens zijn bekeken maar nergens naar toe verzonden. Bekeken gegevens kunnen ook mondeling doorgespeeld worden zonder enige bewijs achter te laten.

atillav 20 juni 2015 16:33

Ik dacht dat we zo ongeveer 20 authentieke registers hadden. Die authentieke registers worden onderhouden door diverse instanties. Zo word de BasisAdministratie door alle gemeenten in Nederland onderhouden. De BAG door het Kadaster. Het inkomenregister door de belastingdienst.
Het idee van die authentieke registers is dat daar de "waarheid" in staat. Toegang, wijziging van deze registers is omgeven door vele protocollen en regels.
De vraag rijst wat deze Suwinet precies doet. Ik hoop geen informatie opslaan, maar alleen raadplegen via die authentieke registers. Een tweede wat ik mij afvraag is, wie in NL (behalve formele opsporingsambtenaren als de politie, rechercheurs van de afdeling Werk en Inkomen, etc...) in een dergelijk alomvattende applicatie mogen komen. En zelfs bij die opsporingsdiensten dient het nog een beperkte groep te zijn. Ik kan mij nog herinneren dat sommige mensen bij politie en de belastingdienst over bekende NL-ers zaken gingen bekijken. Dat blijkt nu "dichtgetimmerd te zijn", door bekende NL-ers op een andere manier te registeren. Daar zit volgens mij het probleem van beveiliging: iemand die zit te neuzen in database over zaken die ze geen zak aangaan is maar een maatregel de juiste: ontslag op staande voet en geen ww of andere regelingen.
Een tweede is de zaak zo regelen, dat die mensen er ook helemaal niet bij kunnen. Dat betekent ook dat wij mij betreft de gehele management laag van hoog tot laag eruit kan die dit heeft toegestaan. Of het is te regelen en te configureren (wat mij echt niet zo ingewikkeld lijkt) of niet. Beiden kan niet.

Spiritos @atillav • 22 juni 2015 12:14

Er zijn 12 basisregistraties in Nederland. Suwinet heeft geen toegang tot alle BRG's.
En wat je schrijft klopt, Suwinet "bevraagd" alleen registraties en slaat niets op, noch mag/kan het iets wijzigen hierin (dat mag alleen de beheerder van de betreffende BRG zelf).

Suwinet valt onder de Wet SUWI. De politie niet en heeft aldus GEEN toegang tot deze applicatie, alleen instanties die hier wél onder vallen en ja, de gebruikersgroep is beperkt en contractueel geregeld. Je 'herinnering' dat de politie BN-ers ging bevragen in Suwinet is dus (sorry) onzin.

En ja, ongeoorloofd rondneuzen wordt ALTIJD bestraft met ontslag op staande voet en conform de wetgeving WW vervalt bij verwijtbare werkloosheid ook het recht op WW.

Het management regelt helemaal geen autorisaties. Hoe kom je daarbij?
Als je je wil verdiepen in de rechten en rollen begin hier dan eens mee:
http://www.bkwi.nl/upload...accounts_voor_Suwinet.pdf

PS. Dit is niet zozeer een persoonlijke aanval op jou maar ik word (zoals in mijn eerste post al aangegeven) wel een beetje moe van alle ongenuanceerdheid richting overheden.
Zelf werk ik overigens niet voor de overheid en ik beschouw mezelf als een van de meest kritische denkers betreffende het mondiale privacydebat (ben dus o.a. ook tegen het inleveren van privacy omwille van het bestrijden van de grote "monsters" van onze tijd (Terrorisme en Kinderporno) maar ik hou wel van een inhoudelijk en vooral genuanceerd debat met stellingen en uitspraken die men kan onderbouwen.

MTVGN @Spiritos • 22 juni 2015 13:11

Ik denk dat attilav onder andere hieraan refereerde:
http://www.nu.nl/algemeen...an-persie-in-te-zien.html
Dat was althans wel waar ik in deze discussie meteen aan dacht.
200 is wel erg veel trouwens, alsof er op een bureau iemand was die het probeerde en toen dat niet lukte aan een collega vroeg 'ik kan het dossier van Van Persie niet inzien, jij wel?'

Spiritos @MTVGN • 22 juni 2015 13:49

Ik was niet bekend met dat voorval maar voor zover ik kan lezen staat er niets over Suwinet. Het BKWI bestaat volgens mij sinds 2003. Weet niet of Suwinet-Inkijk in 2005 al operationeel was.

Daarbij wil men nog we eens vergeten dat Suwinet-Inkijk niet de enige verwijsindex in Nederland is die persoonsgegevens toont. Zoals vermeld valt Suwinet onder de Wet SUWI en is alleen bedoeld voor organisaties binnen die Keten. De politie heeft een eigen systeem.

Verwijderd @Spiritos • 23 juni 2015 17:32

Suwinet en Suwinet-Inkijk bestaan sinds 2002. Het systeem is inderdaad alleen bedoeld voor organisaties binnen de Suwi keten, maar het wordt inmiddels dus ook gebruikt door instanties die daar niet onder vallen, zoals commerciële incassobureaus en de Belastingdienst. Op de site van het BKWI staan gegevens over bronnen en gebruikers van het systeem, maar dat overzicht is helaas niet compleet, omdat de Belastingdienst en commerciële incassobureaus niet als gebruikers worden genoemd. Het is dus als burger vrij lastig om een compleet beeld te krijgen van alle instanties die in het systeem kunnen. Wij hebben geprobeerd daar wat meer helderheid in te scheppen, maar het zou zomaar kunnen dat er nog meer instanties in Suwinet kunnen, waar wij ook geen weet van hebben.

Spiritos @Verwijderd • 23 juni 2015 18:39

In het verlengde van mijn eerdere reactie betreffende stemmingmakerij wil ik alleen uw laatste zin even uitlichten:

het zou zomaar kunnen dat er nog meer instanties in Suwinet kunnen, waar wij ook geen weet van hebben.

Knappe persoon die deze (nergens op gebaseerde) bewering als anders dan 'tendentieus' of 'stemmingmakerij' weet te definiëren of het moet 'smaad' zijn.

Als u zichzelf als journalist serieus wil (laten) nemen raad ik u aan om bij de feiten te blijven. Het is immers geen opiniestuk of heb ik dat verkeerd begrepen....?

Verwijderd @Spiritos • 25 juni 2015 13:03

Mijn laatste opmerking is gericht op het feit dat u schrijft dat alleen de instanties die in de Suwi wet worden genoemd als gebruikers toegang hebben tot Suwinet. Uit ons onderzoek blijkt dat dit niet zo is. Het zou kunnen zijn dat er nog meer instanties die toegang hebben, maar dat weten wij niet omdat het overzicht zoals het BKWI dat nu zelf heeft en gepubliceerd heeft op de eigen website niet compleet is. Dit omdat commerciele incassobureaus niet in dat overzicht staan en de Belastingdienst niet in het overzicht staat als gebruiker, slechts als bron. Deze bewering is dus gebaseerd op het feit dat het overzicht zoals het BKWI op dit moment heeft en geraadpleegd kan worden door burgers via hun site niet compleet is. Deze opmerking is niet als tendentieus of als stemmingmakerij bedoeld, maar komt klaarblijkelijk wel zo op uw over. Het is zeker geen smaad, omdat er geen daadwerkelijke instantie wordt genoemd en er dus geen 'slachtoffer' van 'smaad' zou kunnen worden geidentificeerd in deze opmerking. Ik blijf in al mijn posts bij de feiten, feiten die volgens u niet kloppen, dus daarmee sta ik al wat punten achter in uw optiek. Het is ook zeker geen opiniestuk. Maar ik denk dat u wel meer dingen die ik hier heb geschreven verkeerd hebt begrepen. Dat is vervelend. Het lijkt mij verstandig om hiermee deze discussie te beeindigen.

Spiritos @Verwijderd • 25 juni 2015 20:32

Ik vind dit een rare rechtvaardiging van deze uitspraak.

Iets wat iemand niet weet is per definitie niet aan te tonen en dan is het simpelweg amoreel om binnen de context van journalistiek een uitspraak te te doen welke niet eens is gebaseerd op een vermoeden maar slechts een loze gissing betreft.

Stel dat morgen de bevinding wordt gedaan dat de Paus een relatie heeft met Lady Gaga. Zou een journalist dan ook mogen beargumenteren dat 'omdat hier nergens melding van is gedaan het ook zomaar mogelijk kan zijn dat hij eerder andere relaties heeft gehad...?'

Overigens was mijn vraag betreffende een opniestuk toch vrij duidelijk retorisch van aard.

atillav @Spiritos • 22 juni 2015 17:53

Dan zijn het er 12. Doet er niet toe, Waar ik vooral op hamer is de manier waarop mensen er mee omgaan. Met een gerechtelijk bevel kunnen opsporingsdiensten in alle applicaties die het hun goeddunkt. Ook in dat SUWI gebeuren. Wie gaat de rechter dan tegenhouden? Dat zou pas raar zijn.
Ik zeg helemaal niet dat de politie in SUWI net bekende NL-ers natrokken, maar in hun eigen systemen dat deden. Dat is een vergelijkbaar geval waarbij ambtenaren ongeoorloofd informatie aan het bekijken waren.

Waar ik met name op doel is dat hoeveel wetten er ook zijn, hoeveel autorisaties er ook zijn, als jouw manager en zijn manager in je nek staan te hijgen, je wel eens een oogje dichtknijpt. Of als je zwakke knieën hebt, en van buiten wordt bedreigd, ook zaken door de ogen ziet.

Ik ben het wel met je eens, in deze casus, hoeveel ambtenaren hebben nu daadwerkelijk bewezen ongeoorloofd in SUWI zitten koekeloeren? Daar komen we nooit achter ben ik bang.

Spiritos @atillav • 22 juni 2015 19:04

Excuses. Je had het inderdaad niet expliciet over Suwinet. Dit leidde ik af uit de context van deze discussie.

Verder delen we volgens mij de mening dat mensen altijd de zwakke schakel zullen blijven. Rechters, beleidsmakers, managers, uitvoerend personeel... mensen.

De kern is volgens mij dat we allen (ik ook) een beetje bang zijn van persoonsgegevens die centraal beschikbaar zijn voor overheden.

Persoonlijk vind ik Facebook of Google eigenlijk enger dan Suwinet-Inkijk. Mijn persoonsgegevens zijn immers wat ze zijn (NAW/inkomen/autobezit) maar in tegenstelling tot laatste partijen valt hier geen psychologisch profiel of voorkeuren uit te destilleren en dat is toch ook iets wat zowel commerciële partijen en overheden tegenwoordig doen.

Uiteindelijk kan ik ook alleen maar hopen dat mensen er integer mee omgaan. Wat je zegt...

Maar goed..

WhatsappHack

Economie en maatschappij
Privacy

20 juni 2015 12:39

Ook zijn er mensen geweest die naar verblijfsgegevens hebben gezocht van vrouwen die in een blijf-van-mijn-lijfhuis wonen.

Handig... Ook fijn als je een prive adres hebt omdat je beschermd wordt door de politie, en men kan zo achterhalen wat dat adres dan is. Leuk, leuk...

Het is schandalig!
Dat ze al allerlei gegevens van je verzamelen en opslaan, ook als die gegevens totaal geen waarde hebben voor de overheid, is al een probleem.
Maar dat het dan ook nog zo lek als een mandje is... *zucht*
Enkel noodzakelijke info zou hier in moeten staan, niets meer; niets minder.

Zal er dan ooit iemand komen die orde op zaken gaat stellen binnen de IT van de overheid?
Ze houden maar vriendjes in dienst... Je moet die verhalen op GeenStijl eens lezen over dat PGB probleem, je lacht je rot hoe ziekelijk corrupt die bende is.
En als iemand voor een redelijke en eerlijke prijs diensten aanbiedt, al is 't enkel op overzicht niveau om toezicht te houden, dan wordt dat weggewuifd met dat het niet nodig is en dat ze wel degelijk competent zijn binnen de overheid.

Tja, zo los je het nooit op.
De mensen die het kunnen en willen, die worden geweigerd.
De menen die het niet kunnen en er puur zitten om via IT project na IT project de overheid, en dus de burgers, op te lichten: die mogen blijven. Triest, zeer triest.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 18:42]

Marcva @WhatsappHack • 21 juni 2015 00:12

[...]
Het is schandalig!
Dat ze al allerlei gegevens van je verzamelen en opslaan, ook als die gegevens totaal geen waarde hebben voor de overheid, is al een probleem.
Maar dat het dan ook nog zo lek als een mandje is... *zucht*
Enkel noodzakelijke info zou hier in moeten staan, niets meer; niets minder.

Het systeem is niet lek. Het wordt verkeerd gebruikt, of misbruikt zo je wil. Het systeem is er voor een efficiënte uitvoering van de sociale zekerheid in NL. Dus als gemeenten ook hun belastingdeurwaarders toegang geven ligt dat toch niet aan Suwinet?
Bekijk het vanuit het perspectief van fraudebestrijding. Ik kan me de tijd nog heugen dat de sociale dienst van de Belastingdienst bestanden kreeg met mensen die bijstand hadden gekregen én wit hadden gewerkt. Die werden geprint en handmatig met de eigen administratie gecontroleerd: zijn die inkomsten netjes opgegeven? Let wel zo'n anderhalf, twee jaar later. De lijst kwam namelijk na afloop van het belastingjaar.
Nu krijgen gemeenten een signaal als er iemand aan het werk gaat. Na anderhalf, twee maanden. Dat scheelt behalve veel werk, ook veel narigheid voor de potentiele fraudeur: de periode is vele male korter en de eventuele terugvordering dus vele malen lager.
Er wordt dus zeer relevante data vastgelegd, maar de data krijgt zijn relevantie natuurlijk wel in de context. Mijn gegevens zijn niet relevant zolang ik heen uitkering aanvraag. Maar ze liggen wel vast, voor het geval dat.

raro007 @WhatsappHack • 20 juni 2015 12:49

zolang de nederlands volk zijn zicht focust op andere landen zal het ook nooit veranderen.
want wij hebbent het zo veel beter dan hun mentaliteit, die wij aangeleerd hebben van de regering voorkomt dat.

polthemol Moderator General Chat @raro007 • 20 juni 2015 13:23

wat een bullshit ...

de budgetten die de overheid gebruikt voor hun IT zijn ruim voldoende om te zorgen dat je een goed systeem hebt staan. Echter is er weinig kennis aanwezig bij de overheid zelf, weten veel bedrijven goed hoe ze moeten declareren, zijn er bij veel projecten geen duidelijke grenzen aangeduid op voorhand (Scopecreep, de eindstreep blijft opschuiven en uiteindelijk heb je een monster gemaakt

) en last but not least: het beleid wisselt om de 4 jaar soms behoorlijk radicaal waardoor sommige projecten een totaal andere focus krijgen omdat er nieuwe partijen aan de macht zijn.

Het zou een goede oplossing zijn als ze echte it-managers vast in dienst nemen, projectmanagers met skills vast in dienst nemen en met fixed pricing werken en niet die rare meerwerk constructies.

noobz @WhatsappHack • 20 juni 2015 21:44

Het zijn de IT bedrijven die de juiste mannetjes op de juiste plaats weten te parkeren en op die manier vrij spel voor zichzelf creëren.

Bij de SVB werd bijvoorbeeld een consultant van Capgemini aangenomen om de selectie van een aanbieder voor één van de systemen uit te voeren in een aanbesteding. Capgemini was een van de aanbieders die schreef op de aanbesteding. Ra ra ra, wie won de aanbesteding? Precies, Capgemini!

Zolang de overheid dit soort dingen faciliteert blijven we tegen dezelfde problemen aanlopen.

Verwijderd 20 juni 2015 13:00

Dat een persoon toegang zou krijgen kan je afdoen als een ongelukje maar als hele groepen mensen in kunnen loggen dan is dat geen ongelukje meer maar beleid. Oftewel de privacy van de burgers wordt bewust achtergesteld aan bijv financiele motieven zonder dat hier een wetmatige grondslag aan ligt. Als hier niet tegen wordt opgetreden en de betrokken personen er zonder kleurscheuren eraf komen dan is het de zoveelste nagel in de doodskist van de democratie.

Verwijderd 20 juni 2015 13:57

Klijnsma loopt weer allerlei dingen te roepen dat ze het zat is maar doet feitelijk niets. Waarschijnlijk komt ze met een wet welke totaal genegeerd wordt in de praktijk. Er zijn nu ook wetten die misbruik van dit soort gegevens verbieden maar blijkbaar stoort niemand zich er aan.

Laat haar eens beginnen met een paar mensen op staande voet te ontslaan. Dat heeft veel meer impact dan weer een lijst met regeltjes opstellen.

En hieruit blijkt maar weer eens dat onze gegevens totaal niet veilig zijn bij de overheid. Niemand die er zich bekommert om de privacy van burgers.

stresstak @Verwijderd • 20 juni 2015 16:50

Laat haar eens beginnen met een paar mensen op staande voet te ontslaan. Dat heeft veel meer impact dan weer een lijst met regeltjes opstellen.

En dan wel verwijtbaar ontslaan zodat het meteen bijstand wordt.
Het is kennelijk allemaal veel te makkelijk voor de ambtenaren. Dat moet veranderen.

B64

@stresstak • 20 juni 2015 20:47

Wie moet ze ontslaan dan? Toegang tot het systeem wordt op gemeentelijk niveau geregeld, en de staatsecretaris heeft niet de bevoegdheid om gemeente-ambtenaren te ontslaan.

jip_86 20 juni 2015 14:43

http://www.svbkennisplatf...-gegevens-helpt-de-burger

Het is ook weer een systeem waar de SVB bij betrokken is. Degenen die de SVB leaks op GeenStijl een beetje volgen weten dat de IT daar niet bepaald om over naar huis te schrijven is.

Verwijderd 20 juni 2015 22:45

Hele probleem is en blijft dat het niet gaat om de privacy en bescherming van persoonsgegevens. Dat komt er elke keer achter aan hobbelen.

Alle voorbeelden, anekdotes, absurditeiten m.b.t. dit soort gegevens, in literatuur/lectuur en in de geschiedenis hebben al weer plaatsgevonden. Men weigert in te zien dat de systemen zelf vaak te ver gaan. Men blijft maar doorgaan.

Privacy en bescherming van persoonlijke gegevens zijn continu ondergeschikt aan andere doelen. Dat zie je aan de gretigheid, geilheid waarmee men nieuwe plannen ontwikkeld, je ziet het in de praktijk en we zijn echt nog maar aan het begin.

Zolang je privacy e.d. niet principieel wilt beschermen, blijf je glijden. Het is nu ja tegen elk systeem en ho wacht wat doen we met privacy, het moet zijn NEE tegen elk systeem, de privacy staat voorop. en laat ze maar komen hoe ze dat oplossen. Het moet echt omgedraaid worden.

Ook burgers moeten meer strijdvaardig worden en elke politicus die begint over "een balans tussen privacy en welk soort belang dan ook" en/of "hoeveel privacy opofferen voor welk soort belang dan ook" meteen afserveren. Privacy staat voorop en wil je iets, dan los je dat eerst op voordat je je natte droom publiekelijk gaat delen.

Anders blijven we glijden.

Op dit item kan niet meer gereageerd worden.

Systeem met privégegevens alle Nederlanders bood opnieuw toegang aan derden

Lees meer

IT-banen

Reacties (261)

Sorteer op:

Weergave: