Datalek bij gemeente treft minstens vijfduizend Utrechters - update - IT Pro - Nieuws

De gemeente Utrecht heeft in maart een datalek vastgesteld waarbij gegevens van 5000 tot 140.000 Utrechters op een intranet van de gemeente beschikbaar waren. Dat blijkt uit een Wob-verzoek dat is ingediend door de Telegraaf.

De krant schrijft dat het bij de gegevens gaat om 316 pagina's met namen en burgerservicenummers. Ook zouden de getroffen personen niet op de hoogte zijn gesteld van de ontdekking. De gemeente stelt dat het niet aannemelijk is dat de gegevens zijn misbruikt, omdat deze alleen toegankelijk waren via het intranet. Bij de gemeente werken ongeveer 4000 personen, zo meldt de Telegraaf verder. Het is onduidelijk om welke intranetsite het ging; deze informatie is verwijderd uit de stukken.

Het lek is gemeld aan de Autoriteit Persoonsgegevens. Dit is sinds begin dit jaar verplicht volgens de meldplicht datalekken. Dit gebeurde echter een dag later dan de termijn van 72 uur die voor een dergelijke melding staat. Uit de voorjaarsnota van de gemeente blijkt verder dat er tussen het begin van dit jaar en mei negen datalekken hebben plaatsgevonden bij de gemeente, waarvan er twee zijn gemeld bij de toezichthouder. Het tweede gemelde lek betrof een kopie van een bankpas en een paspoort, die via de mail was verstuurd.

De gemeente stelt in de nota verder dat het risico op een 'onvoorzien datalek' groot is. Daarom is er een bedrag van 800.000 euro gereserveerd. 800.000 euro is het maximale boetebedrag dat de Autoriteit Persoonsgegevens kan opleggen bij het niet melden van een datalek. Ook wil Utrecht vanaf 2017 jaarlijks 550.000 euro uittrekken voor het voldoen aan de wetgeving. Op dit moment zijn de systemen en processen van de gemeente 'nog onvoldoende onder controle om datalekken te voorkomen of minimaliseren'. Bovendien moeten er jaarlijkse audits plaatsvinden.

Een woordvoerder van de gemeente laat desgevraagd aan Tweakers weten dat datalek in het systeem 'Digiplaza' is ontstaan. Daarin kunnen bepaalde rechten worden toegekend voor toegang tot documenten. Bij het document in kwestie is dat niet gebeurd. De gemeente wil dan ook investeren in de software om mogelijkheden toe te voegen voor het inzien door wie en wanneer een bestand is geopend. Deze ontbreken nu, waardoor niet vastgesteld kan worden wie toegang tot de gegevens heeft gehad. Het is op dit moment ook nog niet duidelijk wie door het datalek is getroffen. De inschatting van het aantal personen ligt zo ver uit elkaar, omdat het aantal gegevens per pagina verschilt, legt de woordvoerder uit. Naast gegevens van burgers bevatte het bestand ook bedrijfsgegevens, zoals naam en kvk-nummer.

Update, 15.55: Reactie gemeente toegevoegd.

IT-banen

Reacties (67)

Anders 1 september 2016 14:58

Het gaat dus om namen en burgerservicenummers. De honderdduizenden ZZP'ers in Nederland zijn verplicht die gegevens open en bloot op hun website te vermelden (het BSN maakt onderdeel uit van het BTW-nummer). Wat zegt de minister dan als er wordt gewezen op de risico's?

Zoals in het antwoord op vraag 3 is aangegeven zijn bij de Belastingdienst geen gevallen
bekend van identiteitsfraude die direct gerelateerd zijn aan het feit dat het BTW-nummer
gebaseerd is op het BSN. Van een omvangrijk privacyprobleem lijkt dan ook geen sprake

Maar als het om niet-ZZP'ers gaat is het weer wél een omvangrijk privacyprobleem, voorpaginanieuws, journaalopener, een officieel datalek, wordt het hele intranet daar afgesloten en wordt er met enorme boetes gedreigd. Hoe er met twee maten wordt gemeten is stuitend. En ja, voor de duidelijkheid, ik deel alle privacyzorgen rond het BSN en vind dan ook het krankzinnig dat BSN-nummers verwerkt zijn in BTW-nummers.

Woy Moderator PRG/SEA @Anders • 1 september 2016 15:38

Dat is inderdaad niet te verkopen. De overheid spendeert aan de ene kant wel geld om te zorgen dat burgens hun BSN geheim houden ( nieuws: Rijksoverheid start campagne tegen identiteitsfraude ), maar aan de andere kant worden ze verplicht om die zelfde gegeven openbaar te maken aan de rest van de wereld.

Je bent immers ook verplicht om je te identificeren als je alcohol wil kopen, dus elke cassiere kan ook zo je BSN nummer zien.

Korvaag

@Woy • 1 september 2016 15:55

Hoezo ? BSN staat op de achterkant van je rijbewijs, dus je kan gewoon je rijbewijs laten zien zonder dat het BSN zichtbaar is.

Voor je paspoort zijn verder hoesjes te krijgen waardoor het BSN wordt afgeschermd voor bv kopieen en/of legitimatie.

Woy Moderator PRG/SEA @Korvaag • 1 september 2016 16:08

Op een ID kaart staat het BSN gewoon op de voorkant. En bij veel dingen zal je je legitimatiebewijs ook gewoon kort uit handen geven.

Natuurlijk is het met moeite wel mogelijk om te voorkomen dat mensen het zien, maar het geeft gewoon aan dat de praktijk niet overeenkomt met theorie.

De overheid geeft aan dat je je BSN niet uit handen moet geven, en dat je daarom zelf kopieën moet maken van paspoort. In de praktijk moet je je BTW nummer ( en dus BSN ) gewoon publiceren, kan iedereen waar je je moet legitimeren het zien, en accepteren de meeste autoverhuurbedrijven/hotels/telecombedrijven geen eigen kopie.

In plaats van dat de overheid het BSN nummer gewoon niet zichtbaar op het paspoort/ID-Kaart/Rijbewijs zet, en BTW nummers uitgeeft die daar niet op gebaseerd zijn, of de procedures zo maakt dat BSN niet misbruikt kan worden, wordt de burger met de problemen opgezadeld ( Want als er eenmaal misbruik is gemaakt van je BSN dan is er bijna niks wat je er nog aan kunt doen ).

Anoniem: 63975 @Woy • 1 september 2016 16:55

Dat is het geval bij de identiteitskaart model 2011, bij model 2014 is het burgerservicenummer naar de achterkant verplaatst.

Bron: https://www.rijksoverheid...-reikt-nieuw-paspoort-uit

Anoniem: 120539 @Anoniem: 63975 • 1 september 2016 21:18

Dit is ook zo bij het paspoort.

Alleen een beetje jammer dat het BSN vervolgens gewoon onderdeel is van de nummer reeks aan de voorkant die bedoeld is voor automatisch uitlezen...

Anoniem: 63975 @Anoniem: 120539 • 1 september 2016 21:48

oh ja, doh.

murtho @Korvaag • 1 september 2016 20:36

Het is volgens de wet zelfs strafbaar om je legitimatiebewijs te kopiëren

cobis taba @murtho • 1 september 2016 22:05

Dat is niet helemaal waar, je mag er zelf zoveel kopietjes van maken als je wilt. Mocht je die totaal vrijwillig aan mij, Tweakers, de Albert Heijn of je buurman verstrekken dan mogen we die nog bewaren ook. We mogen het alleen niet vragen of eisen van je

Boender @cobis taba • 2 september 2016 01:15

Wel raar bij abonnementen vragen ze er toch echt om, waarschijnlijk bij andere leningen ook (heb daar alleen geen ervaring mee).

cobis taba @Boender • 5 september 2016 12:44

Er zijn specifieke gevallen waar het van de wet verplicht is, die gevallen zijn (daarmee) ook toegestaan natuurlijk. In alle andere gevallen mag het niet.

nullbyte @Woy • 2 september 2016 07:16

Als ze zo goed was geweest in het onthouden van cijfertjes dan had ze vast niet achter de kassa gestaan.

secury @Anders • 1 september 2016 15:32

Compleet mee eens, het BTW nummer moet losgekoppeld kunnen worden van het BSN Nummer.
Maar dat is niet genoeg, het moet ook mogelijk worden om je BSN te laten wijzigen wanneer deze betrokken is geweest in een datalek.

NullCrayfish @Anders • 1 september 2016 15:36

Kijkende naar het gemak waarop je ID overal gekopieerd word en inderdaad hoe ik als ondernemer verplicht word om mijn BTW nummer publiek te maken ligt mijn BSN sowieso al op straat.
Het is mij echter niet duidelijk wat voor fraude hiermee gepleegd zou kunnen worden.
Iemand heeft mijn BSN en is kwaadwillend, wat zou hij/zij hiermee kunnen uithalen?

Elmo_nl @NullCrayfish • 1 september 2016 18:13

Iemand heeft mijn BSN en is kwaadwillend, wat zou hij/zij hiermee kunnen uithalen?

Dit onder andere:

https://www.youtube.com/watch?v=2vYiKiFzCTc

https://www.politie.nl/themas/identiteitsfraude.html

https://www.security.nl/p...-gebruik+bij+organisaties

http://plazilla.com/page/4294997409/fraude-met-bsn

Marcel-- @Anders • 2 september 2016 18:29

Je bent niet verplicht je BTW-nummer op je website (en andere uitingen) vrij te geven, het gaat hier om het KvK-nummer, dat niet gekoppeld is aan je BSN. Je hoeft je BTW-nummer alleen op facturen te vermelden, die je nog altijd in een papieren envelop naar de opdrachtgever mag versturen.

EDIT: Dit is kennelijk veranderd, tegenwoordig ben je dat wel verplicht.

[Reactie gewijzigd door Marcel-- op 23 juli 2024 09:24]

Batiatus 1 september 2016 15:02

Is het kader van een 'datalek' eigenlijk niet veel te breed omschreven door de betreffende autoriteit? Hoge boetes voor het lekken van data is vanzelfsprekend terecht, het liefst nog met een X percentage van de omzet van de organisatie. Echter, in dit geval is er toch nog niets gelekt? Ik ben al blij genoeg dat het geen openbare site / ftp was, maar dat het alleen intern inzichtelijk was. Vandaar vind ik, mochten ze de boete van 8 ton krijgen, wel wat groot.

In dat geval is het misschien zelfs veel realistischer om die boete maar te nemen als risicoacceptatie. Als je verschrikkelijk veel controls / FTE's moet investeren om dit alleen al te kunnen voorkomen waardoor je misschien zelfs boven die 8 ton komt, dan zou ik dat niet eens gek vinden vanuit managementperspectief.

CAPSLOCK2000

Privacy
Datalek

@Batiatus • 1 september 2016 15:38

Als ze de maximum boete krijgen dan is dat inderdaad nogal fors, maar er is geen reden om aan te nemen dat ze dat maximum krijgen.

Als zo'n boete niet werkt omdat er een goedkopere oplossing is, dan moet de boete omhoog.

AronB @Batiatus • 1 september 2016 15:53

De gemeente zal alleen een boete krijgen als sprake is van opzet of ernstige verwijtbare nalatigheid. Als dat niet het geval is krijgt de gemeente eerst een bindende aanwijzing. Als ze die aanwijzing vervolgens niet naleven krijgen ze wel een boete.

Het zal dus afhangen van waarom het datalek zo laat is gemeld. Als ze bijvoorbeeld nog bezig waren om uit te zoeken hoe groot het lek is en welke gegevens het omvat, dan zal het CBP daarvoor geen boete opleggen.

Als ze daarentegen hebben gewacht met het melden met het idee dat ze het lek wel onder de pet konden houden met de hoop dat niemand ooit erachter zou komen hebben ze een groter probleem.

cobis taba @Batiatus • 1 september 2016 22:12

Die 800k die wordt gereserveerd is in het algemeen, omdat de gemeente de kans (te) groot acht dat ze die een keer krijgen. Niet voor dit geval, dat is al veel eerder gemeld en daar is verder geen enkele straf op gekomen. je moet altijd melden, maar je krijgt lang niet altijd een boete. Laat staan de maximale boete.

Yarno 1 september 2016 14:44

Ongelofelijk, we kunnen de gaten niet dichten dus we houden 800.000 euro apart. Menig bedrijf kan daarmee zijn deuren sluiten, maar bij gemeenten wordt dit bedrag gewoon verhaald op de inwoners.

Batiatus @Yarno • 1 september 2016 15:04

Het is toch niet zo heel gek dat er een vermogen achtergehouden wordt voor onverziene omstandigheden? Ja, natuurlijk moet je proberen zoveel mogelijk preventieve maatregelen in te regelen. Dat wil echter nog niet zeggen dat je alles 100% afgedekt hebt, dat is in security land onmogelijk.
Wat hadden ze dan moeten doen? Die 8 ton investeren in bijvoorbeeld de zorg en wanneer er een breach is dit maar bezuinigen op een van de investeringen, zoals de zorg? Dat levert behoorlijk scheve gezichten op kan ik je vertellen.

Sjnieboon @Batiatus • 1 september 2016 15:15

Als ze gewoon open kaart spelen, en dus melden dat er een lek is, hoeven ze die 8 ton dus niet te betalen. Dat staat althans zo in bovenstaand artikel. Dan is het dus wel heel gek dat ze een vermogen achterhouden wat dus eigenlijk nergens voor nodig is.

Batiatus @Sjnieboon • 1 september 2016 15:29

De kosten voor het niet melden van het lek hoeven ze dan inderdaad niet te betalen als ze het binnen 72 uur doen. De kosten echter, mocht er werkelijk iets gelekt zijn, kunnen alsnog gegeven worden.

Als je het zo bekijkt is het eigenlijk heel raar dat ze het niet binnen 72 uur kunnen melden. Heel veel eisen aan de aanmelding zit er toch niet:

de aard van de inbreuk;
de instanties waar meer informatie over de inbreuk kan worden verkregen;
de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;
de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen.

http://www.justitia.nl/privacy/datalekken.html

CAPSLOCK2000

Privacy
Datalek

@Sjnieboon • 1 september 2016 15:29

Als ze gewoon open kaart spelen, en dus melden dat er een lek is, hoeven ze die 8 ton dus niet te betalen. Dat staat althans zo in bovenstaand artikel. Dan is het dus wel heel gek dat ze een vermogen achterhouden wat dus eigenlijk nergens voor nodig is.

Je moet het wel op tijd melden en Utrecht was de laat.
Melden is overigens nog geen garantie dat je vrij uit gaat. Als je (zeer) nalatig bent geweest bij het beveiligen van de gegevens kunnen ze je daar voor straffen, maar dan moet je het wel heel bont maken.

mth @Batiatus • 1 september 2016 15:21

Die 8 ton boete kan opgelegd worden voor het niet melden van een datalek, niet voor het hebben van een datalek. Dit is simpel te voorkomen door netjes lekken te melden.

Yarno @Batiatus • 1 september 2016 15:09

Nee, ze hadden de 800.000 euro beter nu kunnen investeren en voor volgend jaar 550.000 euro apart zetten voor een eventuele boete. Voordat een dergelijke boete wordt opgelegd zal er enige tijd overheen zijn gegaan en zitten we al in 2017. Tevens lijkt mij dat als je goede wil toont, dwz er nu gelijk geïnvesteerd wordt om de schade te beperken, dat de CPB welwillend is bij het opstellen van een betalingsregeling.

KoffieAnanas @Yarno • 1 september 2016 15:16

Er zit een boekhoudkundig verschil in 800.000 euro reserveren en in 800.000 euro investeren/uitgeven. Die reservering gaat vermoedelijk ten laste van de gemeentelijke reserves, zeg maar als onderpand. Anders had je daadwerkelijk 800.000 euro moeten uitgeven ten laste van reserves. En ja, het is gezond voor een gemeente/bedrijf om reserves aan te houden. En kunt pas het geld uitgeven, als je inzichtelijk hebt gemaakt waar de problemen exact zitten. Hier kan ook tijd overheen gaan. Je hebt het hier over een combinatie van wetgeving en complexe, en soms verouderde IT systemen. Niet het meest ideale uitgangspunt...

Batiatus @Yarno • 1 september 2016 15:21

Daar ben ik het niet helemaal mee eens. Ik kan me wel indenken dat je een deel van dat bedrag direct investeert in maatregelen, alleen al om goodwill te kweken bij de autoriteit. Echter, met enkel wat maatregelen schiet je niks op. In het informatiebeveiligingsvak is continue investering nodig. De kosten zitten daarbij ook in jaarlijkse licenties en niet te vergeten: skillfull personeel. Dat is er heel weinig, dus ook vrij duur. Ik kan je vertellen dat je dan al snel aan een half miljoen per jaar zit. Er moet permanent een hoger budget beschikbaar komen voor deze issues, anders los je er niets mee op. Een datalek kun je daarnaast nooit uitsluiten, dus om wat vermogen op de bank te hebben is nooit verkeerd.
Overigens is die 550k per jaar vanaf 2017 voor 'het voldoen aan de wetgeving'. Nou kan dat zijn dat Tweakers niet 100% duidelijk is of het om exact deze wet gaat, of om over allerlei andere soorten wetten, maar anders is 550k per jaar helemaal peanuts.

svennd @Yarno • 1 september 2016 14:50

Ze willen ook 550K euro investeren in beveiliging van deze systemen ... op zich geen slecht beleid toch ? Ook de schade budgettair voorzien lijkt me geen slecht idee ?

Yarno @svennd • 1 september 2016 14:56

Ze hebben al een bedrag van 800.000 euro opzij gezet. Volgend jaar gaan ze 550.000 euro investeren. Dit betekent dat het komende half jaar tot een jaar er niets tot weinig gebeurd aan de beveiliging en de verwachting aannemelijk is dat er in de tussentijd data gaat worden gelekt, anders wordt het niet gereserveerd. Naar mijn inziens is dit wanbeleid en een heel slecht idee.

KoffieAnanas @Yarno • 1 september 2016 15:11

In het bericht staat niet wat er dit jaar aan uitgegeven wordt. Alleen dat er 800.000 euro is gereserveerd en dat er vanaf 2017 structureel geld voor wordt gereserveerd. Ik acht het aannemlijk dat er dit jaar adhoc/onvoorzien ook al geld besteed wordt aan het voorkomen van datalekken.

Sjnieboon @svennd • 1 september 2016 15:11

Die 800.000 euro moeten ze alleen betalen als ze een datalek niet melden (zo haal ik uit bovenstaand artikel). Het is toch van de zotte dat je dat bedrag dus maar reserveert, omdat je niet goed beveiligd bent, én mocht het gebeuren, je dus niets meldt (want daar gaat het dus om).

Mijns inziens kunnen ze die 8 ton dus gewoon investeren in betere beveiliging, en mocht er alsnog een datalek zijn, dan maar gewoon melden. Wel zo eerlijk, en kun je in ieder geval aantonen dat je je best aan het doen bent om het te voorkomen.

Basszje @Sjnieboon • 2 september 2016 08:35

Ze hebben het gemeld waar ze moesten melden, dus niet onder het tapijt geveegd. Lijkt mij een correcte reactie op de situatie.

Een gemeente heeft vele miljoenen in allerhande potjes zitten om 'onvoorziene' uitgaves, tegenvallers en wat meer te kunnen dekken. Eens per jaar worden die bekeken door de gemeenteraad tijdens de begroting. Vaak worden potjes aangevuld, geleegd en nieuwe gemaakt.

Het is dus niet zo ( dat is een rammelende onderbuik ) dat ze liever 8 ton spenderen aan boetes dan iets te fixen. Ik vind de reactie van Gem. Utrecht eigenlijk verrassend fris voor een gemeente, vaak is het toch negeren, downplayen of geen echt verstand van dit soort zaken. Ze geven toe dat ze een probleem hebben en met de meldplicht als stok achter de deur gaan ze het oplossen. Eigenlijk zou er een jaarlijks rapport gemaakt moeten worden hoeveel gegevens er jaarlijks per gemeente gelekt worden.

BelJoost @Yarno • 1 september 2016 14:59

Gelukkig zijn er straks weer lokale verkiezingen. Dan kunnen de inwoners stemmen op de partij die het geld op de door hen gewenste wijze uitgeeft. Wat vind je als inwoner belangrijk en wat mag het kosten.

TWyk @Yarno • 1 september 2016 15:21

Ongelofelijk, we kunnen de gaten niet dichten dus we houden 800.000 euro apart

Dat is gewoon een boekhoudkundige kwestie. De gemeente heeft dan gewoon 800k minder algemene reserves maar wel 800k reserve met een bestemming.

CAPSLOCK2000

Privacy
Datalek

@Yarno • 1 september 2016 15:27

Ongelofelijk, we kunnen de gaten niet dichten dus we houden 800.000 euro apart. Menig bedrijf kan daarmee zijn deuren sluiten, maar bij gemeenten wordt dit bedrag gewoon verhaald op de inwoners.

Het is te laat, de data is al weg, afsluiten helpt niet meer.

Ik vind het geweldig nieuws. De gemeente heeft opeens een goede reden om een paar ton extra aan IT-beveiliging uit te geven. Dat is beter dan regelmatig zo'n boete betalen.
Ik vind het natuurlijk niet echt leuk, ik zou het geld liever aan ijsjes besteden, maar dit is nodig om IT-beveiliging serieus op de kaart te krijgen in plaats van als sluitpost te behandelen.

_Thanatos_ @Yarno • 1 september 2016 23:34

Volgens mij komt dat via de AP uiteindelijk wel weer bij de Nederlanders terecht. Het is tenslote omzet voor de overheid. Nou is de overheid heel goed in bullshit-investeringen, maar een schamele 800K is geen motivatie om nóg meer faalprojecten op te zetten. Dus eigenlijk maar beter dat de boete niet nog hoger is

etothej 1 september 2016 14:45

Ik heb verder de details niet gelezen, maar het is toch eigenlijk ongelooflijk dat de gemeente dan 800000 euro uittrekt om eventuele boetes te betalen. Dat is nou juist NIET waar deze wet voor bestemd was. Ik vind dat de gemeente dat geld beter kan gebruiken om de kans op onvoorziene datalekken te aanzienlijk verkleinen (i.e. beter in kaart brengen waar datalekken kunnen plaatsvinden) en eventuele lekken gewoon netjes melden (ook aan de inwoners van de stad).

edit: "De Gemeente Utrecht heeft haar processen en systemen nog onvoldoende onder controle om datalekken te voorkomen of minimaliseren." uit het gelinkte rapport.

[Reactie gewijzigd door etothej op 23 juli 2024 09:24]

KoffieAnanas @etothej • 1 september 2016 14:50

Een gemeente moet hier gewoon een voorziening voor treffen. Dit niet doen is je kop in het zand steken.

Datalekken zijn echt niet altijd even serieus als ze lijken, en het kan ook voor onnodig veel onrust zorgen.

Uiteraard goed dat systemen aan de moderne tijden worden aangepast, echter, dit zal tijd vergen, en kosten. Het zal voor een (grote) gemeente onmogelijk zijn om alle mogelijke sitaties te voorzien en alles tijdig op orde te hebben. Ik geloof ook niet dat de gemeente hier laks in zal zijn.

equit1986 @KoffieAnanas • 1 september 2016 15:00

probleem alleen is dat die 8 ton gewoon door de belastingbetaler wordt betaald. Zoals boven je door etothej wordt aangegeven, kunnen ze die 8 ton dan beter in betere voorzieningen stoppen ipv met het geld te schuiven van de ene naar de andere overheids pot, waar de belastingbetaler uiteindelijk niets aan heeft.
Want gemeente > boete > meer belasting

YoMarK @equit1986 • 1 september 2016 15:26

Dat die 8 ton door de belastingbetaler betaald moet gaan worden ALS er een onaangemeld(maar bekend) EN serieus datalek is, dat staat buiten kijf.

Maar je moet even begrijpen dat juist deze boeteclausule er voor zorgt dat onvoorziene beveiligingsissues openbaar worden gemaakt EN dat het werkt als een serieuze stok achter de deur wat betreft het goed regelen van beveiliging van systemen bij de overheid.
Hoe vaak komt het niet voor dat er bij organisaties bij nieuwe software in tesfase al bekende beveiligingsproblemen zijn, dat er intern mensen aan de bel trekken, en de verantwoordelijke zeggen "dat lossen we later wel eens op".
Ja, nu dus niet meer dus, want anders heb je een datalek aan je broek straks.

Het is dus alleen maar goed.

equit1986 @YoMarK • 1 september 2016 15:42

Zie ook mijn reactie op CAPSLOCK2000, het is niet de gemeente die pijn lijdt in de portomonnee, maar de burger, zoals altijd.
Dat is het punt dat ik duidelijk probeer te maken.
Ik bedoel, waarom 8 ton als boete betalen, wat ergens in een potje terecht komt waar niemand iets aan heeft, dan die 8 ton direct in security upgrades investeren.

Die boete clausule maakt het meer verplicht dan het is zonder boete clausule. Er komt alleen meer pijn in de portomonnee van de burger.

[Reactie gewijzigd door equit1986 op 23 juli 2024 09:24]

YoMarK @equit1986 • 1 september 2016 15:56

Wat je niet begrijpt is dat er helemaal geen 8 ton betaald hoeft te worden, maar dat het alleen maar een stok achter de deur is om dingen te regelen.
D'r is geen extra pijn in de portemonnee van de burger hierdoor. De pijn voor de burgers is er pas als hun privégegevens op straat komen te liggen.

En het andere wat je aangeeft is onzin. Je kan niet gewoon even 8 ton in security "investeren". Security is niet een kwestie van "we kopen even een berg ijzer in" . Je moet zorgen dat oplossingen(en werkwijzen) veilig zijn en volgens de regels, en dat je de zaken goed regelt.

Edit: Kleine aanpassing.

[Reactie gewijzigd door YoMarK op 23 juli 2024 09:24]

equit1986 @YoMarK • 1 september 2016 16:01

Het gaat mij er om dat die hele boete een wassen neus is, om wat voor reden dan ook.
Security op orde krijgen en houden kost een hoop geld. Dus 8 ton daar op inzetten is niet zo'n probleem ipv als "stok" te gebruiken.

YoMarK @equit1986 • 1 september 2016 16:19

Nee, dat is het dus echt niet. Ik zie het zelf uitermate goed werken.

Je nu dus b.v. echt aan de rem gaan hangen bij implementaties en testfasen als je vind dat zaken niet goed geregeld zijn.
B.v. een projectleider is iets meer onder de indruk als je de 8 ton mogelijke boete erbij haalt namelijk, ook al loopt z'n project dan nog verder uit..

En het werkt op legio andere manieren ook. Het komt uiteindelijk echt de veiligheid ten goede.

CAPSLOCK2000

Privacy
Datalek

@equit1986 • 1 september 2016 15:34

probleem alleen is dat die 8 ton gewoon door de belastingbetaler wordt betaald. Zoals boven je door etothej wordt aangegeven, kunnen ze die 8 ton dan beter in betere voorzieningen stoppen ipv met het geld te schuiven van de ene naar de andere overheids pot, waar de belastingbetaler uiteindelijk niets aan heeft.
Want gemeente > boete > meer belasting

Dat is deels waar maar niet helemaal. Die 8 ton verdwijnt niet van de wereld, die gaat gewoon terug naar de overheid. Een andere overheid weliswaar, maar het komt de burgers nog steeds ten goede.

Van de andere kant is de burger ook verantwoordelijk voor wat de gemeente doet. Uiteindelijk hebben we zelf gestemd voor deze politici. Als wij zo dom zijn om een slecht leider aan te stellen dan moeten we daar ook maar voor dokken. Dat is misschien een beetje makkelijk gesteld, maar uiteindelijk komt het daar wel op neer.

Ten slotte, je moet iets doen. We hebben de afgelopen jaren gezien dat vrijblijvendheid niet werkt, we moeten beveiliging wel via de wet afdwingen. Als de wet niet gevolgd wordt dan moet je kunnen straffen anders houdt niemand zich meer aan de wet.
Als ik een boete voor te hard rijden krijg dan kan ik dat geld niet meer aan ijsjes uitgeven. Op een bepaalde manier wordt de ijsboer dus ook gestraft (en z'n vrouw en kinderen) ook. Daar kun je geen rekening mee houden, alles hangt op een of andere manier aan elkaar.

Daarmee is nog niet gezegd dat Utrecht daadwerkelijk moet betalen, waarschijnlijk niet.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 09:24]

equit1986 @CAPSLOCK2000 • 1 september 2016 15:40

Die 8 ton slaat een gat in de gemeente kas, die 8 ton gaat naar een andere overheid, maar de gemeente heeft nog steeds een gat. Dit vult hij zelf op door meer belasting te heffen(gebeurd toch wel, hoe dan ook). Die 8 ton zijn de mensen die in de gemeente wonen kwijt. Letterlijk. De pijn is dus nog steeds voor de burgers in de gemeente en niet voor de gemeente zelf.

En wij kiezen dan wel de politici, maar niet de wethouders en burgemeesters. Dat gebeurd respectievelijk door de raad van bestuur en de Koning.

Dus zo democratisch is het allemaal niet.
Dat ze die boete krijgen of niet, maakt niet uit in deze discussie. Het om het gevolg van als er wel moet worden betaald. Dat de gemeente 5ton reserveerd voor verbeteringen is natuurlijk altijd goed.

Basszje @equit1986 • 2 september 2016 08:38

Als je invloed wilt moet je zelf actief worden. Zo ondemocratisch (afgezien v/d burgemeester ) is het allemaal niet.

En ja de belastingbetaler! . Als een bedrijf de wet overtreedt en boetes moet betalen ( of rechtszaken ) dan betaalt 'de belastingbetaler' ook, alleen heet het dan ineens consument. Zo veel verschil is er niet. Behalve dan dat de overheid nooit wat goed kan doen.

Ilikebananas @KoffieAnanas • 1 september 2016 15:27

Helemaal mee eens, met name dat laatste (dat gemeenten niet laks zijn).

Ik werk zelf voor de ict organisatie van een grote gemeente en zie wat er op dat vlak gebeurt. Er is ongelooflijk veel werk nog te doen, maar het bewustzijn is er grotendeels wel

Het is nu eenmaal zo dat het omzetten van beleid naar uitvoering bij grote (overheids)organisaties lang duurt.

[Reactie gewijzigd door Ilikebananas op 23 juli 2024 09:24]

CH4OS

Datalek

@etothej • 1 september 2016 16:38

Ik heb verder de details niet gelezen, maar het is toch eigenlijk ongelooflijk dat de gemeente dan 800000 euro uittrekt om eventuele boetes te betalen.

Het geld is dan ook niet uitgegeven, maar gereserveerd, zo staat ook in de tekst:

De gemeente stelt in de nota verder dat het risico op een 'onvoorzien datalek' groot is. Daarom is er een bedrag van 800.000 euro gereserveerd. 800.000 euro is het maximale boetebedrag dat de Autoriteit Persoonsgegevens kan opleggen bij het niet melden van een datalek.

Het blijft een hoop geld, dat zeker, maar dit zijn bedragen waar niemand onderuit komt, als de Autoriteit Persoonsgegevens een dergelijke boete uitschrijft.

Ik vind dat de gemeente dat geld beter kan gebruiken om de kans op onvoorziene datalekken te aanzienlijk verkleinen (i.e. beter in kaart brengen waar datalekken kunnen plaatsvinden) en eventuele lekken gewoon netjes melden (ook aan de inwoners van de stad).

Daarom ook het volgende:

Ook wil Utrecht vanaf 2017 jaarlijks 550.000 euro uittrekken voor het voldoen aan de wetgeving.

KoffieAnanas 1 september 2016 14:47

Het is tegenwoordig lastig om een inschatting te maken van de mate van ernst van een datalek. Ik vermoed dat er momenteel duizenden datalekken zijn bij gemeentes en overheidsinstanties, omdat er al snel sprake is van een datalek. En in het verleden werd niet als datalek aangemerkt, nu wel. Dus is er veel werk te verzetten om alles aan de nieuwe regels te laten voldoen. En dit gaat ongetwijfeld veel geld kosten. De vraag is alleen, levert dit nu echt een veiliger Nederland op...

AronB 1 september 2016 15:59

Heb even zitten lezen in die eerste bestuursrapportage van de gemeente Utrecht. Dit lek was er één van negen in drie maanden (!!), waarvan er twee ernstig genoeg waren om te moeten melden bij de Autoriteit Persoonsgegevens:

"Wet Meldplicht Datalekken
Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. De Gemeente Utrecht heeft haar processen en systemen nog onvoldoende onder controle om datalekken te voorkomen of minimaliseren. In het afgelopen kwartaal deden zich 9 datalekken voor, waarvan wij er 2 hebben moeten melden bij de Autoriteit Persoonsgegevens. Om dit in de toekomst te voorkomen richten wij nieuwe voorzieningen voor identity management en informatieuitwisseling in. Ook zullen wij jaarlijks (verplichte) audits uitvoeren."

Dat schept nou niet echt vertrouwen in de kunde van de gemeente...

https://www.utrecht.nl/fi...ste-bestuursraportage.pdf

[Reactie gewijzigd door AronB op 23 juli 2024 09:24]

KoffieAnanas @AronB • 1 september 2016 16:33

Of juist wel. Het weet hebben van de datalekken en het rapporteren van de datalekken kun je ook interpreteren als vertrouwen in kunde van de gemeente. Structureel geld uittrekken om dit in de toekomst te voorkomen, lijkt mij ook niet verkeerd.

Je kunt het wat mij betreft alleen goed beoordelen als je dit in perspectief kunt plaatsen. Ik denk dat je niet wil weten hoeveel datalekken er bij andere gemeenten zijn, zonder daar ooit iets van te horen. Ik zou niet verbaasd zijn dat kleinere gemeentes nog veel meer datalekken zijn, zonder dat de gemeentes hier weet van hebben, laat staan rapporteren.

AronB @KoffieAnanas • 1 september 2016 17:19

Dat perspectief baart me juist zorgen. Utrecht is de op 3 na grootste gemeente van Nederland. Als je ergens professionaliteit mag verwachten op het gebied van beheer van persoonsgegevens is het bij de 4 grote randstadsteden.

Maar ik ben het helemaal met je eens dat het goed is dat ze de lekken signaleren en naar oplossingen zoeken.

stefanass @KoffieAnanas • 1 september 2016 20:58

De kleinere gemeentes hebben dit vaak uitbesteed aan partijen die op dit gebied ervaring hebben. Natuurlijk kan er overal wat fout gaan, maar helaas gaat het juist vaak fout bij gemeentes die dit (al dan niet gedeeltelijk) in "eigen" beheer doen, maar geen specialisten in dienst willen of kunnen nemen.

Anoniem: 636203 1 september 2016 17:30

In elk geval positief dat de gemeente jaarlijks audits gaat uitvoeren en gaat investeren in veiliger software.

Electrifying 1 september 2016 19:52

Wat mij opvalt (en wat ik eigenlijk gewoon kwalijk vind), is dat de gemeente deze boete gewoon ingecalculeerd heeft in haar voorjaarsnota (maak ik op uit het artikel). Met andere woorden: we weten dat we niet conform regels en wetgeving werken, dus laten we maar gewoon 800k apart zetten voor als de APG bij ons komt aankloppen voor het innen van die boete.

Ik ben financieel gezien niet betrokken bij grote projecten, maar het lijkt mij dat je voor 800k toch redelijk wat kan doen om de beveiliging van je systemen aan te scherpen.

Het probleem met deze boete is uiteindelijk weer dat "wij" deze betalen en niet de gemeente. Dus wie schiet er eigenlijk wat mee op?

_Thanatos_ 1 september 2016 23:32

Misschien een rare vraag, maar waarom kost het ruim een HALF MILJOEN om je systemen fatsoenlijk up-to-date te houden?

ta_chi79 2 september 2016 00:29

De gemeente wil dan ook investeren in de software om mogelijkheden toe te voegen voor het inzien door wie en wanneer een bestand is geopend.

In elk zichzelf respecterend EDRMS systeem is auditing toch standaard.
Zo te zien is Digiplaza gebaseerd op Alfresco en is auditing via een simpele configuratiewijziging aan te zetten.
De betreffende consultants zullen er wel weer contracten ter waarde van tonnen uitslepen om dit te realiseren

Op dit item kan niet meer gereageerd worden.

Datalek bij gemeente treft minstens vijfduizend Utrechters - update

Lees meer

IT-banen

Reacties (67)

Sorteer op:

Weergave: