Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Systeem met privégegevens alle Nederlanders bood opnieuw toegang aan derden

Het blijkt dat het systeem waarmee ambtenaren de persoonsgegevens van alle Nederlanders kunnen inzien, toegang heeft geboden aan instanties die daar geen recht toe hebben. Onder andere incassobureaus zouden hebben gespeurd naar persoonsgegevens.

Radioprogramma Argos ontdekte dat Suwinet, dat door ambtenaren wordt gebruikt om de persoonsgegevens van alle Nederlanders in te kunnen zien, lek is. Dat wil zeggen dat personen en instanties die eigenlijk geen toegang zouden moeten hebben, toch de informatie in Suwinet hebben kunnen bekijken. Argos besteedt zaterdag aandacht aan het probleem, zo meldt RTL Nieuws.

Onder andere incassobureaus hebben Suwinet gebruikt om persoonsgegevens te achterhalen. Ook zijn er mensen geweest die naar verblijfsgegevens hebben gezocht van vrouwen die in een blijf-van-mijn-lijfhuis wonen. Staatssecretaris Klijnsma wil dat het lek wordt gedicht, zodat alleen ambtenaren nog toegang hebben. Eerder ontdekte het CBP dat een Iers ministerie alle gegevens in het systeem kon inzien.

Suwinet wordt onder andere gebruikt om vast te stellen of iemand recht heeft op een uitkering. Overheidsinstanties zoals gemeentes en het UWV verzamelen informatie en slaan die op in Suwinet. Burgers kunnen zelf via www.werk.nl inzien welke gegevens van hen zijn opgeslagen.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

20-06-2015 • 12:20

261 Linkedin Google+

Submitter: ongekend41

Reacties (261)

Wijzig sortering
Als oud medewerker van het BKWI (welke Suwinet ontwikkeld en bijhoudt) toch enige nuancering:

- Suwinet is zowel een applicatie als een netwerk. Derden kunnen dus nooit 'even' toegang tot Suwinet krijgen vanuit hun eigen huis/kantoor.
- Suwinet (en de gegevens erin) zijn absoluut noodzakelijk bij de uitvoering van een aantal taken door meerdere (overheids)instanties, zoals vastgelegd in de Wet SUWI.
- De applicatie kent meerdere autorisatielevels. Niet iedereen kan ALLES inzien.
- Bij misbruik door een gebruiker (zoals ongeoorloofd gegevens van iemand opzoeken) volgt ontslag op staande voet (!)
- Iedere organisatie die gebruik maakt van Suwinet kent een security officer die structureel en/of steekproefsgewijs het gebruik controleerd.
- Zoals met de meeste privacy/IT-issues betreft het hier hoogst waarschijnlijk en "simpelweg" misbruik op persoonlijk/individueel gebruik en gaat het wat ver om weer met de wolven mee te huilen dat 'de overheid' een slecht IT-landschap heeft en/of onvoldoende bezorgd is om privacy.
Immers, een callcenter medewerker van een bank kan ook gegevens doorsluizen.

Niet gezegd hebbende dat dit alles een goede zaak is maar het betreft hier eerder een mentaliteits/integriteitskwestie op individueel niveau dan een fundamentele fout in het systeem.
Ik weet niet tot wanneer u bij het BKWI heeft gewerkt, maar derden hebben wel degelijk toegang tot Suwinet en kunnen deze ook vanuit hun eigen werkplek/kantoor inzien.
- De derde partijen waar wij het, als Argos, in onze uitzending van 20 juni over hebben, zijn de Belastingdienst en commerciële incassobureaus. Een van die commerciële incassobureaus, Cannock Chase, heeft de inzage in Suwinet dusdanig ingericht dat medewerkers alleen vanuit het kantoor van Cannock Chase zelf in Suwinet kunnen. Deze medewerkers zitten dus per definitie niet op het gemeentehuis of op het kantoor van het UWV in Suwinet, maar op het kantoor van het incassobureau. Daarnaast hebben medewerkers van de Belastingdienst toegang tot Suwinet. Dit ook op het kantoor van de Belastingdienst, en niet bij de gemeente, de SVB of het UWV. Daarnaast is het voor steeds meer werknemers mogelijk om ook thuis te werken, en bestaat er dus ook de mogelijkheid om op de eigen smartphone of tablet in te loggen in Suwinet.
- Als u dat wilt, kunt u onze uitzending terugluisteren. Maar wij hebben in ieder geval nooit beweerd dat de gegevens in Suwinet niet nodig zijn om te bepalen of iemand recht heeft op een uitkering. Die gegevens zijn noodzakelijk, alleen het systeem zou niet misbruikt mogen worden.
- Suwinet kent inderdaad meerdere autorisatieniveaus en niet elke ambtenaar kan alles inzien. Ook heeft niet elke ambtenaar bij de gemeente of bij een andere uitkeringsinstantie toegang tot Suwinet. Maar de derde partijen die wij hebben behandeld in de uitzending hebben wel meer toegang dan waar een wettelijke grondslag voor bestaat. Ambtenaren of andere gebruikers van Suwinet die bovendien onrechtmatige raadplegingen doen, hebben per definitie geen wettelijke grondslag om die gegevens te raadplegen, omdat het niet voor de uitvoering van hun wettelijke taak is. Daar zetten wij vraagtekens bij. Wij hebben nooit beweerd dat iedere ambtenaar alles kan inzien.
- U schrijft dat bij misbruik door een gebruiker ontslag op staande voet volgt. Dit zou misschien wenselijk zijn, maar is zeker niet de realiteit. Niet iedere ambtenaar die onrechtmatige raadplegingen heeft uitgevoerd, is daarop betrapt, is daarop aangesproken, is daarvoor bestraft of is daarvoor ontslagen. Daarnaast is er het punt dat nog steeds 83 procent van de gemeenten niet voldoet aan alle zeven essentiële beveiligingsnormen, die wettelijk verplicht zijn. Deze 83 procent worden daar tot op de dag van vandaag niet voor bestraft. De staatssecretaris komt wederom met een waarschuwing, maar sluit geen gemeenten af van Suwinet, en het CBP heeft wederom een onderzoek ingesteld, maar heeft nog geen lasten onder dwangsom opgelegd.
- Iedere organisatie moet inderdaad een security officer hebben die het gebruik controleert. Er zijn echter gemeenten die nog steeds niet aan deze norm voldoen, dus niet alle gemeenten, die wel met Suwinet werken, hebben een security officer die het gebruik controleert. Daarbij is een controle die steekproefsgewijs wordt uitgevoerd verplicht, een structurele controle niet. Het is dus de vraag hoeveel gemeenten een structurele controle uitvoeren.
- Als 83 procent van de gemeenten niet aan alle zeven essentiële en wettelijk verplichte normen voldoet, lijkt het mij te simpel om te zeggen dat het om een kwestie van mentaliteit of integriteit op individueel niveau gaat. In sommige gevallen gaat het om individueel misbruik, maar er is breder toegang verleend aan derde partijen, zoals de Belastingdienst en commerciële incassobureaus. En als een systeem al dertien jaar bestaat, en al dertien jaar gemeenten en andere gebruikers niet aan de wettelijke eisen voldoen, dan komt dat toch meer in de richting van een fundamentele fout in de Suwi keten dan problemen met individueel gebruik.

U mag het uiteraard compleet met mij oneens zijn, maar dit is het verhaal zoals wij dat afgelopen zaterdag op de radio hebben geprobeerd te vertellen.
@Teacup
Je stelt dat niet iedereen alles kan inzien.

Niet alle cliëntinformatie. Slechts het strikt noodzakelijke voor de uitvoering van de taak (conform de Wet Bescherming Persoonsgegevens (WBP))

Je stelt dat Suwinet meerdere autorisatielevels kent.

De toegang verloopt inderdaad via de rol en wettelijke taak van de medewerker van de betreffende organisatie.

Voorbeeld: Een bijstandsuitkering kent een inkomens en een vermogensdrempel. Een WW-uitkering alleen een inkomensdrempel. Een medewerker van een Sociale Dienst die moet bepalen of iemand recht heeft op een bijstandsuitkering heeft aldus bijvoorbeeld inzicht in het voertuigbezit (RDW) van een persoon omdat een auto die een waarde boven en X-bedrag vertegenwoordigd als vermogen wordt aangemerkt.
Een medewerker van het UWV die het recht op WW moet bepalen heeft deze gegevens niet nodig dus heeft ook geen toegang hiertoe.

Zou de toegang impliciet via de rol/organisatie plaatsvinden dan moet met 45000 gebruikers deze rol/organisatie matrix fijnmazig zijn om te voorkomen dat gebruikers toegang hebben tot gegevens vanteveel cliëntenn.

Dit is niet praktisch en gaat voorbij aan de doelstelling. Voorbeeld: Een burger komt bij het gemeentelijk loket een uitkering aanvragen en de gemeentelijk medewerker moet het recht hiertoe bepalen. Suwinet is niets anders dan een portaal tot basisregistraties en geen AI ;). De medewerker moet in beginsel dus iedere burger met deze hulpvraag meteen kunnen helpen. Op basis van het BSN wordt vervolgens in Suwinet gekeken of deze persoon inderdaad recht heeft op een uitkering. Als het recht hierop al van tevoren bekend zou zijn (AI) zou Suwinet aldus overbodig zijn.

UIteindelijk krijgt in het werkproces (backoffice) een medeweker natuurlijk wel een specifiek aantal cliënten toegewezen. Deze mag dus niet zomaar willekeurige BSN's gaan bevragen en ja, dit wordt uiteraard gelogd en er zijn meerdere controlemomenten/ personen die de rechtmatigheid van bevraging controleren, zowel binnen de betreffende organisatie als bij het BKWI.

Andermaal, het toezicht is buitengewoon streng. "One strike you're out!"
Als een medewerker onrechtmatig (bijvoorbeeld zijn buurman) opzoekt in Suwinet volgt ontslag op staande voet.
Als maker van de Argos uitzending waar het nieuwsbericht over gaat, wil ik graag gebruik maken van de mogelijkheid om te reageren op een aantal zaken die voorbij komen in deze discussie. Ten eerste, wij hebben nooit gezegd dat Suwinet lek is. Wij hebben aangetoond en aangekaart dat het systeem wordt misbruikt. Andere media, waaronder RTL Nieuws, heeft hiervan gemaakt dat het systeem lek is. Uit ons onderzoek blijkt dit niet, wij hebben daar in ieder geval tot nu toe geen aanwijzingen of bewijzen voor gevonden, en dus kunnen wij dit ook niet beweren of vaststellen. Wij kunnen wel aantonen dat Suwinet wordt misbruikt. Door (gemeente)ambtenaren die onrechtmatige raadplegingen doen, naar bewoners van blijf van mijn lijf huizen, naar de buurman, familie of kennissen, naar ex-partners om te kijken hoeveel alimentatie iemand kan betalen, naar BN'ers et cetera. Ook zijn er derden die toegang hebben tot het systeem, terwijl het zeer de vraag is of zij die toegang mogen hebben. Hierbij gaat het om commerciële incassobureaus, die toegang krijgen van gemeenten, en de Belastingdienst, die toegang heeft gekregen van het UWV/BKWI. In de Suwi wet staat niet dat dit mag, op basis van die wet is daar dus geen wettelijke grondslag voor. En deze methodiek van de Belastingdienst is ook niet wettelijk gelegitimeerd. Mocht iemand dit alles willen terugluisteren, dan kan dat via onze website: argos.vpro.nl (de directe link naar de uitzending van afgelopen zaterdag is: http://argos.vpro.nl/seizoenen/2015/afleveringen/20-06-2015). Daarnaast is het mogelijk om bij het BKWI, de beheerder van Suwinet, op te vragen welke overheidsinstantie jouw gegevens heeft opgevraagd en met welk doel. Hiervoor kan iedere burger een verzoek doen bij het BKWI door middel van een brief. Wij hebben voor het gemak een voorbeeldbrief op onze site gezet, ook te vinden via bovenstaande link, en op de homepage overigens. Ik zal verder reageren op een aantal aparte reacties, voor een nadere toelichting of nuance.
Dat tweakers.net het bericht van RTL Nieuws overneemt is jammer om te zien omdat RTL Nieuws het woord lek hier onjuist gebruikt. Het gaat namelijk helemaal niet om een lek maar om een oud probleem dat in 2013 boven water kwam en eind vorig jaar ook al de kop opstak. Het gaat hier namelijk om oneigenlijk gebruik van het systeem omdat gemeenten derden die geen toegang mogen hebben tot die gegevens wel toegang verlenen en procedures niet hebben en/of niet nakomen. Het "lek" zit hier in de procedures en de gebruikers, niet in het IT-systeem. Een mooi kijkje achter de schermen van die procedures is het volgende document van de VNG: Informatie over het gebruik van Suwinet-Inkijk door gemeentelijke belastingdeurwaarders.

De VNG heeft destijds (2013) gereageerd op het onderzoek wat is ingesteld nadat men achter dat oneigenlijke gebruik kwam. Hun reactie staat in de volgende pdf: Naar veiliger gebruik van suwinet. Let hierbij vooral op de ondertitel!

Het probleem is dus nog steeds niet opgelost. Gemeenten zijn nog steeds laks in hun procedures en juist daarom heeft de staatssecretaris er nu dus schoon genoeg van. Wat dit laat zien is dat men uiterst naïef is geweest bij het bedenken van het systeem daar het gehele systeem sterk afhangt van procedures die door mensen moeten worden opgevolgd en waar men er vanuit gaat dat zij correct zullen handelen. Het doet me denken aan het DNS protocol en aan het EPD wat door de Eerste Kamer juist is afgeschoten omdat de beveiliging onvoldoende is (je kon teveel in het systeem en veel werd via procedures geborgd).
Dit is dus geen lek in een IT-systeem maar een verkeerd ontworpen IT-systeem (beveiliging heeft amper een rol gespeeld terwijl dat bij dit soort systemen wel van zeer groot belang is). Iets wat vele malen erger is. Een lek kun je dichten, slecht design betekent herontwerp en dus vele jaren door blijven modderen met het huidige systeem en al haar problemen. Dat de staatsecretaris er genoeg van heeft zullen we de komende jaren nog wel vaker gaan horen...

[Reactie gewijzigd door ppl op 20 juni 2015 16:37]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True