Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Systeem met privégegevens alle Nederlanders bood opnieuw toegang aan derden

Het blijkt dat het systeem waarmee ambtenaren de persoonsgegevens van alle Nederlanders kunnen inzien, toegang heeft geboden aan instanties die daar geen recht toe hebben. Onder andere incassobureaus zouden hebben gespeurd naar persoonsgegevens.

Radioprogramma Argos ontdekte dat Suwinet, dat door ambtenaren wordt gebruikt om de persoonsgegevens van alle Nederlanders in te kunnen zien, lek is. Dat wil zeggen dat personen en instanties die eigenlijk geen toegang zouden moeten hebben, toch de informatie in Suwinet hebben kunnen bekijken. Argos besteedt zaterdag aandacht aan het probleem, zo meldt RTL Nieuws.

Onder andere incassobureaus hebben Suwinet gebruikt om persoonsgegevens te achterhalen. Ook zijn er mensen geweest die naar verblijfsgegevens hebben gezocht van vrouwen die in een blijf-van-mijn-lijfhuis wonen. Staatssecretaris Klijnsma wil dat het lek wordt gedicht, zodat alleen ambtenaren nog toegang hebben. Eerder ontdekte het CBP dat een Iers ministerie alle gegevens in het systeem kon inzien.

Suwinet wordt onder andere gebruikt om vast te stellen of iemand recht heeft op een uitkering. Overheidsinstanties zoals gemeentes en het UWV verzamelen informatie en slaan die op in Suwinet. Burgers kunnen zelf via www.werk.nl inzien welke gegevens van hen zijn opgeslagen.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

20-06-2015 • 12:20

261 Linkedin Google+

Submitter: ongekend41

Reacties (261)

Wijzig sortering
Als oud medewerker van het BKWI (welke Suwinet ontwikkeld en bijhoudt) toch enige nuancering:

- Suwinet is zowel een applicatie als een netwerk. Derden kunnen dus nooit 'even' toegang tot Suwinet krijgen vanuit hun eigen huis/kantoor.
- Suwinet (en de gegevens erin) zijn absoluut noodzakelijk bij de uitvoering van een aantal taken door meerdere (overheids)instanties, zoals vastgelegd in de Wet SUWI.
- De applicatie kent meerdere autorisatielevels. Niet iedereen kan ALLES inzien.
- Bij misbruik door een gebruiker (zoals ongeoorloofd gegevens van iemand opzoeken) volgt ontslag op staande voet (!)
- Iedere organisatie die gebruik maakt van Suwinet kent een security officer die structureel en/of steekproefsgewijs het gebruik controleerd.
- Zoals met de meeste privacy/IT-issues betreft het hier hoogst waarschijnlijk en "simpelweg" misbruik op persoonlijk/individueel gebruik en gaat het wat ver om weer met de wolven mee te huilen dat 'de overheid' een slecht IT-landschap heeft en/of onvoldoende bezorgd is om privacy.
Immers, een callcenter medewerker van een bank kan ook gegevens doorsluizen.

Niet gezegd hebbende dat dit alles een goede zaak is maar het betreft hier eerder een mentaliteits/integriteitskwestie op individueel niveau dan een fundamentele fout in het systeem.
Ik weet niet tot wanneer u bij het BKWI heeft gewerkt, maar derden hebben wel degelijk toegang tot Suwinet en kunnen deze ook vanuit hun eigen werkplek/kantoor inzien.
- De derde partijen waar wij het, als Argos, in onze uitzending van 20 juni over hebben, zijn de Belastingdienst en commerciële incassobureaus. Een van die commerciële incassobureaus, Cannock Chase, heeft de inzage in Suwinet dusdanig ingericht dat medewerkers alleen vanuit het kantoor van Cannock Chase zelf in Suwinet kunnen. Deze medewerkers zitten dus per definitie niet op het gemeentehuis of op het kantoor van het UWV in Suwinet, maar op het kantoor van het incassobureau. Daarnaast hebben medewerkers van de Belastingdienst toegang tot Suwinet. Dit ook op het kantoor van de Belastingdienst, en niet bij de gemeente, de SVB of het UWV. Daarnaast is het voor steeds meer werknemers mogelijk om ook thuis te werken, en bestaat er dus ook de mogelijkheid om op de eigen smartphone of tablet in te loggen in Suwinet.
- Als u dat wilt, kunt u onze uitzending terugluisteren. Maar wij hebben in ieder geval nooit beweerd dat de gegevens in Suwinet niet nodig zijn om te bepalen of iemand recht heeft op een uitkering. Die gegevens zijn noodzakelijk, alleen het systeem zou niet misbruikt mogen worden.
- Suwinet kent inderdaad meerdere autorisatieniveaus en niet elke ambtenaar kan alles inzien. Ook heeft niet elke ambtenaar bij de gemeente of bij een andere uitkeringsinstantie toegang tot Suwinet. Maar de derde partijen die wij hebben behandeld in de uitzending hebben wel meer toegang dan waar een wettelijke grondslag voor bestaat. Ambtenaren of andere gebruikers van Suwinet die bovendien onrechtmatige raadplegingen doen, hebben per definitie geen wettelijke grondslag om die gegevens te raadplegen, omdat het niet voor de uitvoering van hun wettelijke taak is. Daar zetten wij vraagtekens bij. Wij hebben nooit beweerd dat iedere ambtenaar alles kan inzien.
- U schrijft dat bij misbruik door een gebruiker ontslag op staande voet volgt. Dit zou misschien wenselijk zijn, maar is zeker niet de realiteit. Niet iedere ambtenaar die onrechtmatige raadplegingen heeft uitgevoerd, is daarop betrapt, is daarop aangesproken, is daarvoor bestraft of is daarvoor ontslagen. Daarnaast is er het punt dat nog steeds 83 procent van de gemeenten niet voldoet aan alle zeven essentiële beveiligingsnormen, die wettelijk verplicht zijn. Deze 83 procent worden daar tot op de dag van vandaag niet voor bestraft. De staatssecretaris komt wederom met een waarschuwing, maar sluit geen gemeenten af van Suwinet, en het CBP heeft wederom een onderzoek ingesteld, maar heeft nog geen lasten onder dwangsom opgelegd.
- Iedere organisatie moet inderdaad een security officer hebben die het gebruik controleert. Er zijn echter gemeenten die nog steeds niet aan deze norm voldoen, dus niet alle gemeenten, die wel met Suwinet werken, hebben een security officer die het gebruik controleert. Daarbij is een controle die steekproefsgewijs wordt uitgevoerd verplicht, een structurele controle niet. Het is dus de vraag hoeveel gemeenten een structurele controle uitvoeren.
- Als 83 procent van de gemeenten niet aan alle zeven essentiële en wettelijk verplichte normen voldoet, lijkt het mij te simpel om te zeggen dat het om een kwestie van mentaliteit of integriteit op individueel niveau gaat. In sommige gevallen gaat het om individueel misbruik, maar er is breder toegang verleend aan derde partijen, zoals de Belastingdienst en commerciële incassobureaus. En als een systeem al dertien jaar bestaat, en al dertien jaar gemeenten en andere gebruikers niet aan de wettelijke eisen voldoen, dan komt dat toch meer in de richting van een fundamentele fout in de Suwi keten dan problemen met individueel gebruik.

U mag het uiteraard compleet met mij oneens zijn, maar dit is het verhaal zoals wij dat afgelopen zaterdag op de radio hebben geprobeerd te vertellen.
Beste medewerker van Argos,

Ik was bezig met een uitgebreide reactie aan u mede aan de hand van de door u verschafte documentatie die in verschillende tabs openstond maar door een stommiteit van mijn kant klikte ik het verkeerde tabblad weg en daarmee mijn reactie waar ik inmiddels uit respect voor uw inspanning en moeite al bijna 3 uur mee bezig was. Waar mensen werken worden fouten gemaakt...

Om uw reactie toch niet helemaal voor niets te laten zijn geweest hierbij een poging tot een beknopte reconstructie van hetgeen ik u wilde melden.

In de eerste plaats wil ik u verzekeren dat ook ik niet de intentie had om een inmiddels behoorlijk substantiële bijdrage te leveren aan deze discussie maar zoals u wellicht kunt begrijpen reageert er iemand, vraagt iemand wat of lees je onjuistheden waardoor je er vervolgens persoonlijk en emotioneel bij betrokken raakt.

Ten tweede vind ik het u sieren dat u op een dergelijke rustige toon reageert terwijk ik mij gedoseerd toch van een zekere "stemmingmakende" toon bediende. Wellicht is het een tactische beslissing uwerzijds terwijl u van binnen kookte maar toch: Professioneel en mijn waardering daarvoor.

Hopelijk begrijpt u wel wáárom ik bewust koos om op momenten een dergelijke "kleur" van taal te hanteren. Ik wilde laten zien dat je een inhoudelijk en onderbouwde reactie kunt geven die je toch een zekere richting of kleur meegeeft want dat was in de kern mijn verwijt aan u.

Uw terechte rectificatie betreffende de verbastering van RTL Nieuws begrijp en deel ik volkomen en wil ik meteen verbinden aan enkele reacties op dit forum aan de hand van uw uitspraak dat u niet kunt beïnvloeden hoe mensen uw reportage waarderen. Het raakt aan de deconstructie van Derrida. Het is aldus de context die van belang is. Hierdoor ben ik het met u eens, daar waar het vooroordelen en/of bestaande sentimenten betreft. Kijk hiervoor ook naar mijn eerste reactie die door 8 mensen als off-topic/irrelevant is gemod en door 73 mensen als spotlight. Dat is bijna 10% bestaand sentiment op basis van een eenvoudige weergave van enkele feitjes.

Niet eens met u ben ik het wat betreft de geboden vorm/context en de beïnvloeding die daaruit voortvloeit. Mijn kritiek hierop heb ik in mijn laatste reactie reeds gegeven, onderbouwd en als voorbeeld zelf gehanteerd en al waardeer ik het dat u nu (pas) een zeer uitgebreide onderbouwing en bronvermelding geeft (althans hier op dit forum) valt het mij wel op dat u niet reageert op die kritiek mijnerzijds die -andermaal- een wezenlijk deel vormde van mijn verontwaardiging.

U geeft gelijk daar waar u schrijft dat ik voor deze onderbouwing naar uw uitzending had kunnen luisteren. Echter, in uw eerste reactie aan mij stond geen explicite verwijzing naar deze link. Die volgde pas later. Het is dan ook pas nadat ik deze heb beluisterd dat ik kritiek uitte op de vorm. Zoals gezegd was het niet mijn intentie om zoveel tijd aan deze discussie te besteden en gegeven het feit dat u er zelf voor koos om in eerst geplaatste reacties na registratie op Tweakers zonder onderbouwing en bronvermelding te reageren rechtvaardigd en verklaard mijns inziens mijn eerdere response aan u. U ging zelf het debat aan op dit forum waar al een dag gediscusieërd werd op basis van de berichtgeving hier op Tweakers (en dus onvolledig) met misschien de onterechte verwachting dat een ieder die zijn mening ventileerde reeds de tijd en moeite had genomen om uw uitzending van een half uur op te zoeken en te beluisteren.

Ik vind het nog steeds niet mijn plaats om inhoudelijk een debat met u aan te gaan over uw bevindingen omdat ik reeds sinds 5 jaar niet meer voor het BKWI werk en derhalve niet alle kennis meer paraat heb maar ik wil als verdere onderbouwing qua kritiek op de vorm en een gedeeltelijke inhoud wel nog een aantal punten uitlichten:

1. In de uitzending meldt u dat er in 2002 5,8 miljoen bugers zijn bevraagd terwijl er maar 3,7 miljoen uitkeringen werden verstrekt. Door dit feit binnen een dergelijke context (geen) op die manier te presenteren impliceert dit dat er 1,8 miljoen mensen ten onrechte zijn bevraagd. Echter, één doel van bevraging is het bepalen van het recht op een uitkering. Dit betekent dus ook dat er aanvragen op basis van raadpleging worden afgewezen. Daarnaast heeft een medewerker die Suwinet gebruikt (in ieder geval tijdens mijn tijd bij het BKWI) het recht om zijn eigen BSN te bevragen. Tevens zijn er medewerkers schuldhulpverlening, sociale recherche, terugvordering en verhaal, inburgering , bronhouders en andere partijen die om andere wettelijke redenen gegevens van een burger mogen/moeten bevragen.

In mijn optiek is dit niet anders te duiden dan "kleur" geven aan een feit.

2. De privacy-deskundige Bart van der Sloot meldt dat er "ontzettend veel dossiers zijn opgeslagen". Andermaal, het gaat om een verwijsindex die bronnen bevraagd. Van opslaan is dus absoluut geen sprake. Dit is een feitelijke onjuistheid die tevens (ook in mijn ogen als het waar zou zijn) een negatief sentiment meegeeft aan de werking van de applicatie.

3. In het interview met het D66 kamerlid doet deze als goed politicus een lekker catchy statement, namelijk dat "de beveiliging van Suwinet een potje is". Nadat hij is uitgesproken is de volgende "vraag" van de interviewer "de overheid maakt er een potje van?" Kleur en tevens woorden in de mond leggen. Lekker scorende radio maar weinig constructief.

4. Het voorbeeld van de "Blijf van mijn lijf" huizen. Het gaat hier om een zeer kwetsbare groep uit de samenleving en spreekt daarmee tot ieders verbeelding en wordt derhalve dan ook een aantal keer aangehaald in de docu. U noemt een geval uit 2013 en twee zaken in Amsterdam en Venlo. Laat ik voorop stellen dat ook ik vind dat dit bestraft moet worden. Echter, de proportionaliteit qua frequentie wordt aardig opgeblazen en tevens wordt de indruk gewekt dat dit een structureel probleem zou zijn. Als ik het goed begrepen heb gaat het echter om een geval waarbij een medewerker van de gemeente zelf zijn vrouw opzocht of om een mogelijke situatie (zoals de dame van de cliëntenraad hypothetisch stelt) waarbij "iemand" zijn netwerk op orde heeft en een "vriendje" bij de gemeente kent die beiden "toevallig" een danig karakter hebben dat deze in "voorkomend geval" "eventueel" misbruik van Suwinet zouden kunnen maken.

Ik wil het niet bagataliseren maar zoals ook in een andere post van mij vermeld geldt dit mogelijke misbruik voor ALLE situaties betreffende zowel private als publieke partijen die informatie over een persoon zouden kunnen verschaffen. Om dit als een fundamentele fout aan te merken van de applicatie vind ik persoonlijk onzin. Zoals ik ook in de genoemde eerdere post vroeg: Noem mij één database van welke mondiale organisatie dan ook die niet misbruikt kan worden door een kwaadwillend indiviu.

5. Ik ben onbekend met de toegang van de Belastingdienst tot Suwinet maar ter overweging: De BD is samen met het UWV bronhouder van (de basisregistratie) Polisadministratie waar alle inkomens- en uitkeringsverhoudingen instaan en daarmee welllicht de partij die het grootste deel aan informatie levert via Suwinet. Als zij toegang hebben.. Tot welke informatie dan? Er wordt gesproken over heffingskortingen. Deze worden bepaald aan de hand van de gegevens die de BD en UWV zelf beheren. Uiteraard vind ik dat hier een wettelijk grondslag voor moet zijn maar praktisch gedacht kijken zij dus wellicht naar hun eigen gegevens middels een interface omdat deze dit overzichtelijker toont dan die van hunzelf.

6. In het verlengde van het vorige punt wordt in de hele docu nergens gesproken (correctie: een enkele keer) over de verschillende rollen en levels van autorisatie. Als ik als leek naar de docu luister dringt zich het beeld op dat toegang tot de applicatie per definitie betekent dat een gebruiker alles over iedereen kan zien. Dit is pertinent onjuist.

Het is niet mijn bedoeling om jullie volledig af te branden. Ik ben slechts een kritisch denkend en waarnemend mensen. Op basis van uw laatste reactie is mij helder dat jullie wel degelijk een gedegen journalistiek onderzoek hebben gedaan en de bronvermelding netjes op orde hebben (wellicht met uitzondering van de anonieme bronnen - maar als burger t.o.v. de journalistiek is daar om zeer begrijpelijke maar binnen de context van dit item tevens ironische redenen geen transparantie in).

Wellicht vloeit mijn ergernis voort uit het feit dat ik zelf voor de overheid heb gewerkt en heb gezien hoeveel betrokkenheid en deskundigheid er rondloopt en (in relatie tot Suwinet) hoeveel strenge regelgeving er bestaat die frappant genoeg vaak hele humane en logisch lijkende (ICT)oplossingen in de weg staan.

Tegelijkertijd is een ieder bekend met het algemen sentiment jegens de overheid. Van luie ondeskundige ambtenaren tot een organisatorisch ingebakken desinteresse in privacy en wetgeving. Dit zal ontegenzegelijk voor sommige individuen gelden en de omvang van de diverse overheidsorganisaties brengt zeker een bepaalde logheid met zich mee (zeker als je dit afsteekt tegen een continue op de markt reagerende commerciële partij) maar in mijn optiek komt het veelal neer op individuen en individuen werken zowel in de publieke als private sector.

Controle op overheden moet er zeker zijn en in sommige landen zou ik nooit willen wonen maar ik heb persoonlijk geen zin om met de wolven mee te huilen en een sentiment te voeden wat eerder een houding dan een bevinding lijkt.

Ik begrijp dat u als radiomaker te maken heeft met luistercijfers, creative impulsen en in vele gevallen een gepassioneerd verlangen van medewerkers naar het bevinden van onrecht en misbruik om aan de kaak te stellen. Daar ben ik als burger blij om. Toch kan ik mij niet helemaal vinden in uw mening dat u de vorm van berichtgeving niet in de hand heeft en (in relatie tot luistercijfers) soms de noodzaak voelt om nieuws "kleur" mee te geven. Ik begrijp dat dit soms de realiteit is in medialand of dat uw beroepsgroep dit wellicht soms ervaart als een rechtvaardiging in relatie tot het onderwerp en het niet als primaire taak ziet om "neutraal" nieuws te brengen maar naar mijn bescheiden mening zie ik het echter wél als een morele verantwoordelijkheid.

Zo.. Nu ben ik echt klaar met deze discussie. Eerstvolgende keer dat ik mij hier meng in een discussie zal dat met de nieuwe release van "Grand Theft Auto VI" zijn. Een stuk eenvoudiger en scheelt me een hoop tijd... ;)

Edit:Typo

[Reactie gewijzigd door Spiritos op 25 juni 2015 20:35]

@Teacup
Je stelt dat niet iedereen alles kan inzien.

Niet alle cliëntinformatie. Slechts het strikt noodzakelijke voor de uitvoering van de taak (conform de Wet Bescherming Persoonsgegevens (WBP))

Je stelt dat Suwinet meerdere autorisatielevels kent.

De toegang verloopt inderdaad via de rol en wettelijke taak van de medewerker van de betreffende organisatie.

Voorbeeld: Een bijstandsuitkering kent een inkomens en een vermogensdrempel. Een WW-uitkering alleen een inkomensdrempel. Een medewerker van een Sociale Dienst die moet bepalen of iemand recht heeft op een bijstandsuitkering heeft aldus bijvoorbeeld inzicht in het voertuigbezit (RDW) van een persoon omdat een auto die een waarde boven en X-bedrag vertegenwoordigd als vermogen wordt aangemerkt.
Een medewerker van het UWV die het recht op WW moet bepalen heeft deze gegevens niet nodig dus heeft ook geen toegang hiertoe.

Zou de toegang impliciet via de rol/organisatie plaatsvinden dan moet met 45000 gebruikers deze rol/organisatie matrix fijnmazig zijn om te voorkomen dat gebruikers toegang hebben tot gegevens vanteveel cliëntenn.

Dit is niet praktisch en gaat voorbij aan de doelstelling. Voorbeeld: Een burger komt bij het gemeentelijk loket een uitkering aanvragen en de gemeentelijk medewerker moet het recht hiertoe bepalen. Suwinet is niets anders dan een portaal tot basisregistraties en geen AI ;). De medewerker moet in beginsel dus iedere burger met deze hulpvraag meteen kunnen helpen. Op basis van het BSN wordt vervolgens in Suwinet gekeken of deze persoon inderdaad recht heeft op een uitkering. Als het recht hierop al van tevoren bekend zou zijn (AI) zou Suwinet aldus overbodig zijn.

UIteindelijk krijgt in het werkproces (backoffice) een medeweker natuurlijk wel een specifiek aantal cliënten toegewezen. Deze mag dus niet zomaar willekeurige BSN's gaan bevragen en ja, dit wordt uiteraard gelogd en er zijn meerdere controlemomenten/ personen die de rechtmatigheid van bevraging controleren, zowel binnen de betreffende organisatie als bij het BKWI.

Andermaal, het toezicht is buitengewoon streng. "One strike you're out!"
Als een medewerker onrechtmatig (bijvoorbeeld zijn buurman) opzoekt in Suwinet volgt ontslag op staande voet.
Als maker van de Argos uitzending waar het nieuwsbericht over gaat, wil ik graag gebruik maken van de mogelijkheid om te reageren op een aantal zaken die voorbij komen in deze discussie. Ten eerste, wij hebben nooit gezegd dat Suwinet lek is. Wij hebben aangetoond en aangekaart dat het systeem wordt misbruikt. Andere media, waaronder RTL Nieuws, heeft hiervan gemaakt dat het systeem lek is. Uit ons onderzoek blijkt dit niet, wij hebben daar in ieder geval tot nu toe geen aanwijzingen of bewijzen voor gevonden, en dus kunnen wij dit ook niet beweren of vaststellen. Wij kunnen wel aantonen dat Suwinet wordt misbruikt. Door (gemeente)ambtenaren die onrechtmatige raadplegingen doen, naar bewoners van blijf van mijn lijf huizen, naar de buurman, familie of kennissen, naar ex-partners om te kijken hoeveel alimentatie iemand kan betalen, naar BN'ers et cetera. Ook zijn er derden die toegang hebben tot het systeem, terwijl het zeer de vraag is of zij die toegang mogen hebben. Hierbij gaat het om commerciële incassobureaus, die toegang krijgen van gemeenten, en de Belastingdienst, die toegang heeft gekregen van het UWV/BKWI. In de Suwi wet staat niet dat dit mag, op basis van die wet is daar dus geen wettelijke grondslag voor. En deze methodiek van de Belastingdienst is ook niet wettelijk gelegitimeerd. Mocht iemand dit alles willen terugluisteren, dan kan dat via onze website: argos.vpro.nl (de directe link naar de uitzending van afgelopen zaterdag is: http://argos.vpro.nl/seizoenen/2015/afleveringen/20-06-2015). Daarnaast is het mogelijk om bij het BKWI, de beheerder van Suwinet, op te vragen welke overheidsinstantie jouw gegevens heeft opgevraagd en met welk doel. Hiervoor kan iedere burger een verzoek doen bij het BKWI door middel van een brief. Wij hebben voor het gemak een voorbeeldbrief op onze site gezet, ook te vinden via bovenstaande link, en op de homepage overigens. Ik zal verder reageren op een aantal aparte reacties, voor een nadere toelichting of nuance.
Dat tweakers.net het bericht van RTL Nieuws overneemt is jammer om te zien omdat RTL Nieuws het woord lek hier onjuist gebruikt. Het gaat namelijk helemaal niet om een lek maar om een oud probleem dat in 2013 boven water kwam en eind vorig jaar ook al de kop opstak. Het gaat hier namelijk om oneigenlijk gebruik van het systeem omdat gemeenten derden die geen toegang mogen hebben tot die gegevens wel toegang verlenen en procedures niet hebben en/of niet nakomen. Het "lek" zit hier in de procedures en de gebruikers, niet in het IT-systeem. Een mooi kijkje achter de schermen van die procedures is het volgende document van de VNG: Informatie over het gebruik van Suwinet-Inkijk door gemeentelijke belastingdeurwaarders.

De VNG heeft destijds (2013) gereageerd op het onderzoek wat is ingesteld nadat men achter dat oneigenlijke gebruik kwam. Hun reactie staat in de volgende pdf: Naar veiliger gebruik van suwinet. Let hierbij vooral op de ondertitel!

Het probleem is dus nog steeds niet opgelost. Gemeenten zijn nog steeds laks in hun procedures en juist daarom heeft de staatssecretaris er nu dus schoon genoeg van. Wat dit laat zien is dat men uiterst naïef is geweest bij het bedenken van het systeem daar het gehele systeem sterk afhangt van procedures die door mensen moeten worden opgevolgd en waar men er vanuit gaat dat zij correct zullen handelen. Het doet me denken aan het DNS protocol en aan het EPD wat door de Eerste Kamer juist is afgeschoten omdat de beveiliging onvoldoende is (je kon teveel in het systeem en veel werd via procedures geborgd).
Dit is dus geen lek in een IT-systeem maar een verkeerd ontworpen IT-systeem (beveiliging heeft amper een rol gespeeld terwijl dat bij dit soort systemen wel van zeer groot belang is). Iets wat vele malen erger is. Een lek kun je dichten, slecht design betekent herontwerp en dus vele jaren door blijven modderen met het huidige systeem en al haar problemen. Dat de staatsecretaris er genoeg van heeft zullen we de komende jaren nog wel vaker gaan horen...

[Reactie gewijzigd door ppl op 20 juni 2015 16:37]

Ik snap het wel... ik zie het regelmatig fout gaan bij systemen waarbij de verantwoordelijkheid onduidelijk en diffuus is. Een voorbeeld: een systeem wordt beheerd door 2 (of 20, voor het voorbeeld irrelevant) groepen mensen. Beide groepen rapporteren ben andere afdeling, misschien zelfs een andere organisatie. Zelfs bij 2 teams waarbij er heel duidelijk is dat team A verantwoordelijk is voor het bewaken van de architectuur en de naleving van de authorisatie-structuur blijkt het onmogelijk om controle te houden over de acties van team B. De individuele belangen van het middle-management binnen de organisatie van team B en/of onbegrip van- en/of desinteresse in het systeem en zijn/haar gebruikers/klanten zijn al voldoende om de controle te verliezen.

Extrapoleer dit probleem nu naar +300 organisaties (gemeenten) en tientallen organisaties die elk van deze +300 organisaties dagelijks bevragen met toegangsverzoeken.

Dan begrijp je dat dit nooit gaat werken. Systeem-integratie is een van de grootste risico's voor individuele privacy, vrijheid en veiligheid. En de mensen zijn (zoals altijd) niet zonder fouten. De fouten blijven bestaan, maar de gevolgen worden dankzij dit soort systemen steeds groter.

De enige manier om dit probleem een halt toe te roepen is door de verregaande integratie te stoppen.

Mensen kunnen er niet mee omgaan, onbegrip, desinteresse en corruptie zullen er altijd voor zorgen dat er misbruik gemaakt wordt. Je kunt geld uitgeven aan partijen die je voorliegen en zeggen dat je dit met scholing en goede safeguards kunt voorkomen. Of je kunt accepteren dat je aan een dood paard aan het trekken bent en je energie aan iets anders besteden.

Onze overheid laat zich voor veel geld graag voorliegen. Als je veel geld hebt uitgegeven aan een advies die zegt: 'meer integratie/automatisering is DE oplossing', dan ben je gek als je zegt: 'laten we dat niet doen'.

[Reactie gewijzigd door psyBSD op 20 juni 2015 22:29]

Er worden zo te zien wel logs bijgehouden van:
  • het tijdstip van iedere log-in en log-out en andere actie;
  • de gebruikersnaam van degene die inlogt/uitlogt;
  • elk sofi-nummer (of andere zoeksleutel) waarvan gegevens worden opgevraagd;
  • elke actie, zoals de bekeken kolom- of overzichtspagina’s
(Bron)

[Reactie gewijzigd door Fixer op 20 juni 2015 13:02]

Van die logs worden ook periodieke rapportages gemaakt die verplicht gecontroleerd moet worden:

Iedere ketenpartner (lees: de security officer) heeft de verplichting om regelmatig aan de hand van de periodieke rapportage met logginggegevens te controleren of het gebruik van de gegevens binnen Suwinet-Inkijk plaatsvindt binnen de wettelijke kaders en overeenkomstig de doelen die zijn organisatie hiertoe heeft geformuleerd. Indien het vermoeden bestaat dat gegevens worden misbruikt, kan een security officer van een ketenpartner aanvullende informatie opvragen volgens de afgesproken procedure.

Die verplichting is kennelijk een manier om de verantwoordelijkheid door te schuiven naar anderen. Als daar nooit naar gekeken wordt en er geen misbruik wordt gemeld vindt men de beveiliging nog goed. In de praktijk worden die logs zelden nagekeken. Men is niet eens verplicht om vermoedens van misbruik te melden.

Ik vindt dat de overheid nog steeds veel te laks omspringt met de gegevens van de burgers. Alle privacy wetten ten spijt, blijken overheden nog steeds hun zaakjes niet op orde te hebben.
Ja, hier. Je moet eerst ingelogd zijn met DigiD op werk.nl, anders krijg je de melding dat je sessie is verlopen.

Het kostte inderdaad moeite om te vinden. Het is me als volgt gelukt (nadat ik ook niks kon vinden op werk.nl):
  • Googlen naar "werk.nl suwinet"
  • Een van de hits (deze) was van bkwi.nl, waar de volgende info stond: "Suwinet-Mijn gegevens is een elektronische dienst die burgers de mogelijkheid geeft om de eigen persoonsgegevens uit de Suwiketen in te zien via www.werk.nl, 'gegevens inzien'."
  • Zoeken naar "gegevens inzien" op werk.nl geeft de juiste hit

[Reactie gewijzigd door ChillinR op 20 juni 2015 14:09]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True