Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 114 reacties
Submitter: Raven

Er is 20GB aan data van de Nederlandse gemeente Almelo naar buiten gekomen. De gemeente vermoedt dat de data door middel van malware is buitgemaakt en is er vrijwel zeker van dat het om persoonsgegevens gaat. Het incident is gemeld bij de Autoriteit Persoonsgegevens.

De data is afkomstig uit de netwerkomgeving van Werkplein Twente, schrijft Tubantia. Zelf weet de gemeente nog niet om welke gegevens het precies gaat, maar vanwege de herkomst is het vrijwel zeker dat er persoonsgegevens mee gemoeid zijn.

Ook de gemeenten Tubbergen, Dinkelland en Wierden maken gebruik van het Werkplein, een samenwerkingsverband tussen UWV en gemeenten, dat mensen helpt bij het vinden van werk. Alle betrokken gemeenten zijn geïnformeerd.

Wethouder Javier Cornelissen zegt tegenover Tubantia dat beveiligingsbedrijf Securelabs vorige week onderzoek heeft gedaan, maar dat daar nog weinig is uitgekomen. Het vermoeden is dat er data door middel van malware naar 'een nog onbekende website' is gestuurd. Dat zou per toeval zijn ontdekt; de malware zelf is niet gevonden. In samenwerking met de Informatiebeveiligingsdienst voor Gemeenten probeert Almelo erachter te komen wat er precies is gebeurd.

Moderatie-faq Wijzig weergave

Reacties (114)

man man man... ik ben zelf inwoner van Almelo en ik vind het echt te triest dat dit gebeurd is. Nee voorkomen kun je niet. En ja; het is niet alleen een firewall of een AV client. Goede beveiliging bestaat uit een volledige architectuur.

Een van die onderdelen in die architectuur zorgt er in ieder geval voor dat we weten waar het heen is gegaan en vanwaar het verzonden is (nog los van het feit of het te voorkomen is).

Dat het geld kost, is in mijn optiek geen excuus. Ons nieuwe gemeentehuis van >60 miljoen euro kost ook geld en dat kon ook...
Een incident kan je nooit uitsluiten, maar in het geval van Nederlandse gemeenten vind ik het geen goed argument. Het is bij veel gemeenten een complete puinhoop qua ICT. Geen zicht op de systemen, dus ook geen zicht op de aanwezige informatie, geen eigenaar per systeem die zorg draagt voor de informatie, informatiemanagement staat vaak in de kinderschoenen en kennis van (privacy)wetgeving is bij veel ambtenaren ver te zoeken.

Informatiebeveiliging heeft goed informatiemanagement nodig om het goed te kunnen inrichten. Omdat informatiemanagement en ICT beheer zo'n puinhoop is bij veel gemeenten, kan informatiebeveiliging op deze manier echt niks worden. Er zijn zelfs gemeenten die pas dit jaar een information security officer hebben aangesteld. En het is al 2016! De privacywetgeving is echt niet van gisteren. Die gemeenten hebben dus willens en wetens al die jaren de privacywetgeving volledig genegeerd.

En Plasterk maar roepen dat persoonsgegevens in veilige handen zijn bij gemeenten. Right... :/

[Reactie gewijzigd door Faeron op 9 september 2016 09:47]

Mee eens, als je naar het proces kijkt dan moet daar een goed informatiebeleid op gemaakt worden (de BIG voor gemeentes volgens mij). Dat is de gehele proces kant van het geheel.

Maar als we puur even naar de techniek kijken dan is daar meer dan voldoende beschikbaar die de drempel voor een besmetting of hack kunnen verhogen. Daar komt een security architectuur om de hoek kijken. Dan kun je tenminste aangeven wie wanneer besmet is en waar het heen is gegaan. En deze vragen moet je volgens mij ook beantwoorden als je op het matje moet komen.
Dat heeft denk ik ook te maken met het feit dat er blijkbaar maar 2 leveranciers zijn voor
gemeentes die kunnen leveren:

Gemeenten gegijzeld door ICT-bedrijven

Twee grootste leveranciers van gemeentelijke software misbruiken marktmacht … Gemeenten ontevreden, maar blijven gebruikmaken van ICT-bedrijven
Even uit nieuwsgierigheid: waar baseer jij op dat bij veel gemeenten de ICT een "complete puinhoop" is?
Ervaring vanuit mijn werk als information security consultant. Ik kom bij veel organisaties over de vloer. Eigenlijk is informatiemanagement bij bijna alle organisaties slecht geregeld. Gemeenten zijn daarin geen uitzondering.

[Reactie gewijzigd door Faeron op 9 september 2016 12:25]

Dus beveiliging is bij alle bedrijven (en dus ook overheden) een zootje? Dan verbaast het me dat je zo'n rant opzet naar de gemeentes...
Het verschil tussen een gemeente en een commerciele club is dat ik bij een commerciele club de keuze heb om er weg te blijven als ze er echt een potje van maken. Probeer jij in zo'n geval je persoonsgegevens maar eens weg te krijgen bij je gemeente.
Mmm, bij een commercieel bedrijf je gegevens laten verwijderen gaat ook niet altijd (makkelijk).
Persoonlijk al eens een melding gemaakt bij de AP voor een grote verzekeraar die het ook niet zo nauw nam met privacy en gegevens delen (geen bewerkersovereenkomst enz enz enz).

En als je gewist wilt worden bij je gemeente dan besta je niet meer ........
Je, men moet wissen/corrigeren als ze fouten in gegevens hebben staan, maar wissen kan niet want het is allemaal vanuit wettelijke taken en daar zitten nou eenmaal vanuit de archiefwet bewaar termijnen aan vast (praat ik nog niet over belastingen enz).
Zelfs fouten worden niet gewist maar gecorrigeerd.
Ongewenst vader door fout in GBA
Kan je de gemeente aansprakelijk stellen ?
Ja, op basis van de Wet bescherming persoonsgegevens (Wbp), Algemene Verordening Gegevensbescherming (AVG) en zelfs de BIG (Baseline Informatiebeveiliging Gemeenten).
Gemeentehuis en nu die Egbert Gorterbrug van 2,5 miljoen ernaast die dan nog niet eens open kan. Deze gemeente faalt in alles, behalve in prestige projecten. Inwoners beschermen doen ze al niet eens door zo met data om te gaan. Ben helaas ook inwoner van deze falende gemeente, het is gewoon zielig momenteel |:( .

[Reactie gewijzigd door Wietsee. op 9 september 2016 09:39]

Weet iemand wat de reden is dat elke gemeente apart zijn eigen omgeving moet opbouwen en beheren terwijl elke gemeente dezelfde behoeftes heeft. Waarom is dit niet landelijk geregeld?
Omdat veel van dit soort initiatieven lang geleden begonnen zijn, niet eens per se digitaal, en dat is over de jaren vaak gegroeid tot wat het nu is. Nu lijkt het logisch om het allemaal bij elkaar te duwen, maar dat is dan plots niet zo eenvoudig meer. Nederland telt 390 gemeenten en hoewel er veel van deze zaken zullen overlappen, hebben die lang niet allemaal dezelfde behoeften laat staan dezelfde werkwijze.

Daarnaast, we zien allemaal hoe dat met het landelijk politiesysteem gaat.
Dat iedere gemeente eigen behoeften heeft is prima, maar er zijn genoeg systemen te centraliseren. Denk aan het digitaal maken van een afspraak bij de gemeente. Het is natuurlijk van de zotte dat we hiervoor 300 verschillende systemen moeten implementeren. Hetzelfde geldt voor bijv. incident registratie (TOPdesk) systemen.

Je zou toch denken dat het geen rocket science is om op landelijk niveau processen binnen een gemeente te inventariseren om zo vast te stellen waar een grote overeenkomst is tussen de behoeften om vervolgens een standaard proces vorm te geven waarbij men een centraal informatiesysteeem implementeert ter ondersteuning van het proces.

Centralisering hoeft geen big bang te zijn..
Ja tuurlijk is dat makkelijk. Maar wie gaat het doen?

Er zijn vijf of zes grote partijen die nu zo'n systeem bouwen. Die willen allemaal wel. Maar geen gemeente wil de verantwoordelijkheid voor de hele club. Dus moet er een centraal orgaan komen die dat regelt. Zie ook ICTU. Maar wie bepaalt wat de eisen en wensen worden? Elke gemeente wil zijn zegje doen. Maarja, een commissie met 390 leden? Dan moet er dus een subcommissie zijn. Waar iedereen het over eens is.

Die moeten dan al die eisen verzamelen. De opdracht schrijven. Die uitzetten. En als dat lukt (insert schaterlach) dan moeten die zes clubs gaan bieden. En gaan bouwen. Als het geen Poolse bouwer wordt want openbare aanbesteding.

En als dat lukt (nogmaals een schaterlach) moeten al die 390 gemeentes aansluiting vinden bij dat nieuwe systeem. En daar moeten minstens vijf clubs die zojuist de aanbesteding hebben verloren aan meewerken.

Succes :').

[Reactie gewijzigd door JCE op 9 september 2016 10:18]

Je hoeft alleen maar naar het debacle van de BGT te kijken om te zien hoe zoiets finaal mis zou lopen. De BGT is de opvolger van de GBKN, wat een landsdekkende topografie is, en gebruikt wordt voor het ontwerpen van wegen, het maken van ruimtelijke plannen etc etc. Het goede idee wat de basisregistraties zijn, en waar deze ook onder valt, wordt zo mank uitgevoerd door de bronhouders (oa alle gemeenten, prorail, RWS, de waterschappen en ook defensie), dat de honden er geen brood van lustten. Ondanks een transitieperiode van ruim 3 jaar, was de landelijke voorziening per de deadline van 01-01 van dit jaar nog maar voor ~30% gevuld. Nu, 9 maanden later is het nog maar iets van 60%.

Geen kamervraag over gehoord, nergens op een agenda van een raadsvergadering voorbij zien komen, laat staan dat er een persoonlijk gevolg voor een verantwoordelijke minister, gedeputeerde of wethouder is geweest.
Lichtpuntje aan de horizon: 300 verschillende systemen heeft wel weer het voordeel dat ze niet dezelfde exploits hebben als één uniform centraal systeem ;)

Onbewuste risicospreiding noemen ze dat :p
Het lijkt zo simpel. Even inventariseren wat de behoefte is van de gemeentes. Uiteraard heeft het dorpje 'Nergenshuizen' exact dezelfde eisen als Rotterdam o.i.d.

Dan heeft gemeente 'Nergenshuizen' bij wijze van spreken zijn bouwvergunningen-programma letterlijk nog in een kaartenbak staan terwijl Amsterdam daar een miljoenen kostende applicatie voor nodig heeft. . Dus iemand moet ook nog even zijn gegevens converteren naar het nieuwe systeem. (En de kans dat Rotterdam hetzelfde pakket als nieuw systeem wil hebben als Amsterdam momenteel in gebruik heeft is ook klein).

En mocht het allemaal toch lukken dankzij de goede track-record van onze overheid op automatiseringsprojecten, dan heb je uiteraard een prachtig doelwit voor al die hackers die toch maar even bij alle gegevens kunnen.

Ja, ik vind het datalek jammer voor de inwoners van Almelo. Maar gelukkig heb ik er verder geen last van. Maar als we overal dezelfde architectuur en programmatuur hebben of zelfs een centrale administratie dan heeft iedereen last van een datalek in Almelo (want hackers zullen dezelfde zwakheid overal uitbuiten).

Neen, dank je. Liever geen centrale administratie.
Waarom zou Rotterdam het Amsterdamse systeem niet willen gebruiken? Je bedoelt toch niet vanwege voetbal hoop ik?

[Reactie gewijzigd door comecme op 9 september 2016 11:01]

Heeft niks met gemeentes op zich te maken: bij iedere fusie zie je clubjes die koste wat het kost hun eigen systeem vast willen houden, soms zelfs tegen beter weten in... 8)7
bij iedere fusie zie je clubjes die koste wat het kost hun eigen systeem vast willen houden, soms zelfs tegen beter weten in... 8)7
Zie het bouwen van 1 'Europa'...
Omdat het (schandalig/vreemd genoeg) nu eenmaal zo werkt. Systemen die bijvoorbeeld in Rotterdam of Den Haag gebruikt worden, worden niet in Amsterdam gebruikt. Je ziet het ook op kleinere schaal gebeuren tussen buurgemeenten / steden. Het is bezopen en arrogant.
Omdat een wethouder in gemeente A, zelf de goede sier en het politieke voordeel van een keuze wil hebben, en alleen daarom al zeker niet iets in gaat voeren wat bedacht is in gemeente B.
"Ja, ik vind het datalek jammer voor de inwoners van Almelo. Maar gelukkig heb ik er verder geen last van"

Het is niet alleen Almelo maar alle gemeenten die zijn aangesloten op Werkplein.
En ja elk netwerk kan worden gehacked ook al beveilig je het nog zo goed. enige wat ik niet snap is dat er niet structureel wordt gemonitord aldus het bericht. Ik vraag me af of dat wel klopt, en als dat het geval is dan is dat wel een punt van kritiek.
Centraliseren kan een monopolie positie opleveren voor de dienstverlener. Eerst goedkoop neerzetten en dan snel de prijs verhogen. Weggaan is dan immers nauwelijks nog mogelijk.

En vergis je niet dat zo'n afspraak systeem vervolgens moet verbinden met alle systemen die de gemeenten weer gebruiken en die vast ook niet allemaal hetzelfde zijn.

Alleen het inventariseren bij alle gemeenten wat er staat kan zomaar al een jaar of langer duren. En als je er ook nog processen bij trekt gaat het nog langer duren omdat deze vaak niet op papier staan.
Je kunt contractueel vastleggen dat de prijs niet mag worden verhoogd of biijvoorbeeld slechts maximaal de door het CBS berekende inflatie van het vorige jaar - 1%. Dat lijkt me schappelijk toch?
Nee, dat is niet schappelijk. Want de verwachting is dat je ook nieuwe functies ontwikkeld of aansluit op nieuwe pakketten, fixes bouwt, zorgt dat het draait op nieuwe browsers etc.

Stel dat er 10 mensen werken aan het pakket, dan worden jou kosten steeds hoger. Jij moet immers 10x die inflatie aan je mensen betalen als loonsverhoging, terwijl je inkomsten lager worden.

Dus een bedrijf zal zo'n contract maar voor een paar jaar afsluiten en na die paar jaar een nieuwe contract afdwingen. En met jou als enige aanbieder kunnen ze dan kiezen: tekenen of overstappen met alle kosten van dien.
Je zou toch denken dat het geen rocket science is om op landelijk niveau processen binnen een gemeente te inventariseren om zo vast te stellen waar een grote overeenkomst is tussen de behoeften om vervolgens een standaard proces vorm te geven waarbij men een centraal informatiesysteeem implementeert ter ondersteuning van het proces.
Geloof me... Ik weet uit ervaring (kan niet in detail gaan) dat het toch aardig dicht in de buurt komt. Zelfs binnen 1 gemeente processen op elkaar afstemmen is al een behoorlijke uitdaging.
wordt leverancier aan de overheid, en je hoeft -nooit- meer 'echt' te werken :X :+

helaas is dat praktijk en gevolg van brak aanbestedingssysteem; je -moet- de goedkoopste nemen [..] :F :N :N
Hmm, ik vind je twee uitspraken nogal in tegenspraak.

Door dat inderdaad zeer brakke aanbestedingssysteem moet je als leverancier juist keihard werken en wordt je gedwongen geld over de balk te gooien.

Aan een enigszins interessante aanbesteding doen drie tot acht partijen mee, die allemaal serieus tijd en geld investeren in zo'n aanbesteding. Uiteindelijk wint er vaak een partij die eigenlijk onder kostprijs aanbiedt en daardoor de goedkoopste is.

Nu hebben dus die andere partijen voor niks geïnvesteerd en de partij die het wel wint, moet zich in bochten wringen om met extra consultancy/behaald volume voordeel/momentum in de markt het project toch nog rendabel te maken. Dat lukt vaak niet, waardoor het project mislukt en de aanbesteding weer opnieuw gedaan wordt.

De cirkel begint opnieuw. Iedereen verliest.

Zo ellendig gaat het gelukkig lang niet altijd en er zijn trends om op andere manieren aan te besteden om dit te voorkomen. Maar dit scenario is verre van uitzonderlijk.
Als je dan de juiste eisen stelt in je rfq is er geen probleem toch.

Vaak weten mensen helemaal niet wat ze willen of nodig hebben. Of willen er niet over nadenken. Als het maar werkt ....
Dat is nu precies het nadeel van traditionele aanbestedingen. Men weet niet wat ze willen of nodig hebben dus is de uitvraag in beginsel al foutief. Gelukkig wordt bij de meeste aanbestedingen niet meer uitsluitend op prijs gekeken maar ook wat er voor wordt geboden.

Mooie nieuwe manier van aanbesteden is "Best Value" waarbij je je probleem in de markt zet in plaats van wat je wilt. Hierbij kies de economisch meest voordelige oplossing. Waarbij je meer naar meerwaarde dan prijs wordt gekeken.
Het zal je verbazen hoe ontzettend verschillend gemeenten in hun behoeften kunnen zijn terwijl ze ogenschijnlijk dezelfde taken hebben. We hebben in Nederland juist een gemeentelijke overheid om te voorkomen dat 'alles' maar op dezelfde manier gebeurt. Je ziet ook dat het takenpakket van de gemeente de laatste jaren alleen maar groter wordt, juist omdat er een wens is om op kleiner niveau zaken te kunnen regelen (en tegenover gesteld worden er steeds meer gemeenten samengevoegd vanuit kostenbesparing). Tel daarbij factoren als omvang, cultuur, politiek, omgevingsfactoren etc. bij op en ik kan wel begrijpen dat er sprake is van zoveel verschillende wielen die uitgevonden worden.

Of dat de juiste manier is is een andere discussie overigens :)

Ik ben verder wel benieuwd naar wat er dan buit gemaakt is. Uiteindelijk is 20 GB nogal een bulk data voor een Werkplein.

[Reactie gewijzigd door IceStorm op 9 september 2016 09:18]

Is bij de buren ook. Maar daar hoor je merkelijk minder van datalekken enzo. Ik weet dat ze in de VlaamsBrabantse provincie de gemeenten vaak samenwerken met de buurtgemeentes voor grotere projecten.
Zoals politiezones die over meerdere (kleinere) gemeentes liggen en informatica systemen ook bijvoorbeeld. Zo maken de gemeentegroepen vaak in Vl-Brabant gebruik van het Vera systeem. Is een dienst / afgeschermde omgeving, die tools aanlevert en ondersteuning geeft op het gebied van informatica. Soort consultancy bedrijf van de staat voor de gemeentes.

Het voordeel is dan dat kosten voor ontwikkkeling lager liggen en dat er mensen met kennis van zaken zijn. Niet die ene "IT-expert"die werkt op de gemeente. ( en die meer manager voor aankopen enzo dan secuiety expert).
Is bij de buren ook. Maar daar hoor je merkelijk minder van datalekken enzo.
Ik hoop van harte dat je gelijk hebt, maar eerlijk gezegd denk ik dat het grootste verschil de Nederlandse Datalekwet is, die gaat veel verder dan de Belgische variant. In Nederland geldt die wet voor alle bedrijven, in Belgie alleen de telecombedrijven. Dat zijn over het algemeen grote bedrijven met verstand van techniek, IT en communicatie. Die zijn vrij goed in het beveiligen van hun data. In Nederland moet de bakker om de hoek het ook melden als z'n telefoon met klantgegevens in de trein laat liggen.
Mijn werkgever heeft al een paar meldingen moeten doen en we hebben een heel team opgericht om er mee om te gaan.

[Reactie gewijzigd door CAPSLOCK2000 op 9 september 2016 11:52]

Het zal je verbazen hoe ontzettend verschillend gemeenten in hun behoeften kunnen zijn terwijl ze ogenschijnlijk dezelfde taken hebben.
Spot on dat.
Daar komt nog eens bij dat de gemeenten op eens van alles moeten faciliteren voor andere partijen omdat de politiek weer iets nieuws bedacht heeft en daar zijn de netwerken niet op gebouwd.
Het ICT van gemeenten heeft over het algemeen de bescherming van hun netwerk zeer hoog in de prioriteiten staan maar ze worden gedwongen om dingen open te zetten voor andere partijen, en omdat je niet zomaar je hele infrastructuur overhoop kan halen betekent dit meestal dat je gaatjes in de beveiliging moet gaan prikken.
We hebben in Nederland juist een gemeentelijke overheid om te voorkomen dat 'alles' maar op dezelfde manier gebeurt.
Er zijn twee soorten processen bij gemeenten:
• Algemene burgerzaken (contactplatform met de burger, paspoort/rijbewijs aanvragen/afhalen, andere zaken die elke burger in elke gemeente moeten doen...).
• Gemeente-specifieke zaken.

Normaliseer het eerste soort processen zodat de burger weet waar hij aan toe is, onafhankelijk van de plaatselijke grillen van de gemeente. Laat het tweede soort inhaken op het eerste soort waar nodig.
Die "plaatselijkegrillen van de gemeente" worden vaak ingegeven door wat de lokale politiek denkt wat de burgers in hun plaats willen. :)
Binnen de overheid worden continue van deze ideeën uitgewerkt, maar gezien de gigantische hoeveelheid data heb je dat niet eventjes opgelost. Vergeet ook niet hoe lastig het is om te werken in een organisatie waarin de directie elke x jaar van visie kan veranderen (oftewel wisselende regeringen of burgermeester en wethouders) .

De initiatieven die de overheid hieromtrent neemt zijn te volgen via de site digitaleoverheid.nl. Kijk bijvoorbeeld eens naar dit initiatief van het Ministerie van Infrastructuur en Milieu:
https://www.digitaleoverh...et-basisregistraties/2442

Verder werkt de dochter organisatie van de Vereniging van Nederlandse Gemeenten (VNG) genaamd Kwaliteits Instituut Nederlandse Gemeente (KING) actief aan het verhogen van de ICT standaarden binnen de overheid. Zie bijvoorbeeld deze pagina:
https://www.kinggemeenten...dienst-voor-gemeenten-ibd

[Reactie gewijzigd door CurlyMo op 9 september 2016 12:07]

Als je één landelijk systeem hebt, kun je als er één lek in het systeem gevonden is, daar overal misbruik van maken. Imho helemaal niets mis met een eigen omgeving per gemeente, zolang het maar goed beveiligd is.

Daarnaast hebben alle gemeente wel ongeveer dezelfde behoeftes, maar per gemeente zal het toch vaak een klein beetje verschillen. Als je één landelijk systeem hebt, moet je die verschillen ook allemaal implementeren. Dan kun je beter per gemeente een eigen systeem hebben.

[Reactie gewijzigd door PDZ op 9 september 2016 09:22]

Akkoord, maar vaak zit er in een gemeente 1 of 2 mensen die verantwoordelijk zijn voor de IT-infrastructuur. Ik zeg niet dat deze incompetent zijn. Maar vaak zijn deze mensen verantwoordelijk voor alles (support, aantkopen, security, opleidingen, servers, netwerk, ....).
Zijn meer managers dan echte IT-experts.
EN een gans IT team, met sytemadmin, security expert, ...... aannemen is beetje duur voor meeste gemeente vrees ik.

Dan lijkt mij een centraal single point of failure met meer mensen die kennis van zaken hebben, beter dan meerdere points of failures.
(We spreken nog altijd over ambtenaren en overheden).

Dan hebben ze dat in het Belgische Vlaams Brabant beter voor mekaar. O-)
Uiteindelijk is dat ene landelijke systeem er wel en draait het bij het CBS. Zij weten vrijwel alles van je en krijgen ook vrijwel alle data van alle (lokale) overheden om statistiek en onderzoek op te bedrijven. De fysieke en digitale beveiliging is er dan ook wel naar. Loop er voor de grap eens binnen.
O ja? In Nederland geldt wetgeving omtrent gescheiden informatiedomeinen. Er is niet 1 instantie die de persoonsgegevens van alle Nederlanders heeft op 1 plek. En zeker het CBS niet. De gegevens worden namelijk eerst "gestript" en alleen de cijfertjes die nodig zijn voor de taken van het CBS belanden bij het CBS. Heb je ooit wel eens iets opgezocht op het CBS? Je zult daar namelijk nul persoonsgegevens (BSN, NAW, Rekeningnummer etc) vinden. Het meest individuele wat je op het CBS aantreft is als er van een bepaalde set selectie criteria maar 1 resultaat is. Maar ja, welke van de 17 miljoen is dat? :)
Als je aan een organisatie denkt die over de meeste bronnen kan beschikken met persoonsgegevens dan is het de Belastingdienst, maar ook die is onlangs nog teruggefloten in de datahonger. En de belastingdienst heeft veel kantoren en diverse datacentra en heel veel verschillende systemen waaruit de gegevens worden samengevoegd op zo'n manier dat alleen de taak van de Belastingdienst er mee uitgevoerd kan worden.
Als je een streng beveiligde, strak geregelde, haast paranoïde beveiliging wil zien, moet je eens een datacentrum van de belastingdienst proberen te bezoeken. En medewerkers van de belastingdienst die gegevens opvragen uit de samengestelde sets, worden bij elke toetsaanslag en elke opvraging gecontroleerd. Zoek je de gegevens van een andere belastingdienst medewerker op? Dan kun je haast wel fluiten naar je baan, tenzij je een heel goed verhaal hebt.
En de belastingdienst heeft veel kantoren en diverse datacentra en heel veel verschillende systemen waaruit de gegevens worden samengevoegd op zo'n manier dat alleen de taak van de Belastingdienst er mee uitgevoerd kan worden.
Ik zeg ook niet dat het CBS alles bij elkaar op één plek heeft staan voor iedereen die er werkt toegankelijk. Ik zeg alleen dat het CBS een van die organisaties is die over alle domein veel data heeft over (rechts)personen in Nederland. Niet alles, maar vrijwel alles.

De belastingdienst is daar ook een goed voorbeeld van.

Mijn reactie gaat dus in op de vrees dat er organisaties zijn die deze data allemaal "in huis" hebben terwijl die organisaties er al zijn en het met goed beleid ook goed gaat.
Uit ervaring kan ik je zeggen: ego. Je gaat als gemeente niet samenwerken met een naburige gemeente, want dat is een andere gemeente. Gebruik maken van de faciliteiten van een andere gemeenten wordt gezien als zwakte. Want dan zou het misschien zo lijken dat je het zelf niet kan. Dus dankzij de gevoelige ego's van vele ambtenaren worden vele miljoenen verspilt aan veelvoudig dubbel werk.
Gemeenten werken toch al geregeld samen met buurgemeenten om zaken efficienter in te kunnen kopen. Zie bijvoorbeeld:
https://www.tenderned.nl/...D4E614229C5A9DAFFA1.node8

en http://www.riddeliemers.nl/

Als je wat verder kijkt op tenderned zul je zien dat dit soort zaken geregeld met meerdere gemeenten gezamenlijk ingekocht word.
Klopt, maar dat gaat vaak niet van harte. Je ziet dan dat sommige ambtenaren dat tegenwerken of er zelfs langsheen werken. Onderlinge concurrentie is niet vreemd bij gemeenten.
Gemeentes zijn onafhankelijke instanties en die willen het wiel allemaal zelf uitvinden.

Los daarvan is het maar de vraag of het centraal beter wordt. Dit is gewoon een kwestie van een onwetendheid bij ambtenaren die op alles klikken in een e-mail, of misschien zelfs een insider job.
Als je dit landelijk regelt, dan moet je het Europees aanbesteden... naast dat , dat veel kost, bestaat er een kans dat een bedrijf uit Verwegistan, het gegund krijgt... en de vraag is of je dat wilt
...Omdat we op deze manier niet in één klap alle gegevens van elke Nederlander op straat hebben liggen :')
Maar 20GB is gruwelijk veel voor met name tekstbestandjes of het moet op een heel exotische manier zijn opgeslagen.

Ben benieuwd met wat voor verklaring ze zullen komen en welke gegevens daadwerkelijk zijn gekopieerd.


Zelf vermoed ik dat er iets van foto's tussen zitten en het eerste waar ik dan aan denk zijn id-bewijzen. Mocht dat zo zijn dan moet daar zeer snel duidelijkheid over worden gegeven. Niet alleen voor betrokkenen, maar er zijn ook heel veel werkgevers die een kopie van je papieren digitaal hebben opgeslagen.
Het kunnen ook heel goed bijvoorbeeld ingescande sollicitatiebrieven zijn van ww-uitkeringsgerechtigden die een x aantal keer per maand moeten solliciteren (en dat ook aan moeten tonen)
CV's van sollicitanten. (wellicht ook ingescand)

Gezien de resolutie van de gemiddelde thuisscanner (automatisch >600dpi) gecombineerd met snel internet en quasi onbeperkt opslagruimte wordt er niet echt meer op de bestandsgrootte gelet. (ik krijg regelmatig pdf-jes met ingescande A4-tjes van 2,5MB per pagina, of als je pech hebt scannen ze het als tiff in... 10MB per pagina..)

[Reactie gewijzigd door NovapaX op 9 september 2016 10:06]

Je zou het in een landelijk datacenter kunnen onderbrengen met gecentralizeerd professioneel beveiliging en toezicht maar elke gemmente hun eigen servers/rack daar toewijzen en maar na een extra 2-traps autorisatie door de lokale beheerder/bestuurder bij de gemeenye kunnen de 'gemnentelijke' servers data bij andere servers opvragen. Maar dan ook maar 1 document per authorisatie.
Back to school en daarna eerst eens wat ervaring opdoen bij de overheid.
Niet elke gemeente heeft dezelfde behoeftes. Een gemeente als Amsterdam heeft hele andere behoeftes dan een gemeente als Urk.

Daarnaast, de overheid maakt het niet uit hoe de gegevens worden opgeslagen, enkel dat ze er soms bij kunnen (bijvoorbeeld GBA). En als natuurlijk de landelijke overheid dit gaat doen, dan moeten 400 ICT projecten en 400 belanghebbenden samenkomen in één systeem, dat door de landelijke overheid beheerd en betaald moet worden.

Je krijgt ook zo'n enorm project dat dit niet door een Nederlandse partij gedaan gaat worden. En natuurlijk een europese aanbesteding, dus dan krijg je ook nog een systeem wat je niet wilt, wat niet werkt, wat veel te duur is en niet in Nederland door nederlandse belastingbetalers wordt uitgevoerd (maar in India of Oekraine ofzo).

Het is ook veel makkelijker dit bij de gemeentes te beleggen. "Regel het maar, hoe maakt niet uit, als je maar aan deze eisen voldoet". En sommige gemeentes zitten niet op bemoeienis uit Den Haag te wachten.
(bijvoorbeeld GBABRP)
FTFY :Y)
Omdat we het allemaal zelf beter weten. Geldt niet alleen voor gemeenten, maar ook voor departementen.
En niet iedere gemeente heeft dezelfde behoeftes. Sommige gemeentes zijn al (veel) verder gedigitaliseerd dan anderen. Of andersom, het is maar hoe je het bekijkt.

[Reactie gewijzigd door GJvdZ op 9 september 2016 09:27]

Omdat dit het verdienmodel is van vele software leveranciers.
Privatisering, onafhankelijkheid en kostenreductie bij de overheid. Toverwoorden die een succesformule zijn voor chaos op het gebied van ICT. Kosten voor ICT liggen zo bij de gemeenten en niet meer bij de overkoepelende overheden. Met alle gevolgen van dien.
Ten eerste omdat alle gemeentes zelfstandig zijn. Ten tweede omdat er flinke verschillen zijn tussen gemeentes. Die verschillen zou je kunnen overwinnen als de nationale overheid de gemeentes dwingt om samen te werken, maar we zitten juist in een decentralisatiegolf (reden drie). De centrale overheid heeft te weinig geld en legt steeds meer taken bij de gemeentes neer. Dat maakt het minder waarschijnlijk dat dit op korte termijn wel gebeurt.
De vierde reden is dat de markt ook uit meerdere bedrijven bestaan die allemaal proberen hun software te verkopen, terwijl er geen verkopers zijn die gemeentes overtuigen dat ze allemaal dezelfde software moeten kopen.

Het is overigens niet alleen een kwestie van de IT-afdeling. Denk bijvoorbeeld aan dropbox, dat wordt door heel veel mensen gebruikt en als IT-afdeling kun je dat eigenlijk niet voorkomen. Je kan het wel verbieden, maar hoeveel mensen gaan daar naar luisteren?
Mensen denken zelfs dat ze goed bezig zijn als ze zelf een "gratis" oplossing op internet vinden. Ze hebben de IT-afdeling geld, werk en tijd bespaard. Goed toch?

Overigens is het niet zwart-wit. Er wordt wel degelijk samengewerkt op verschillende niveaus's. Kleine gemeentes werken vaak samen met hun buren, ook op IT gebied.


Je zou je kunnen afvragen of het niet beter zou zijn als alle gemeentes samen een softwarehuis of centrale IT-afdeling opzetten. Een andere oplossing zou zijn om alleen maar open source software te gebruiken/schrijven. Dan kunnen alle gemeentes meeprofiteren van de ontwikkeling die andere gemeentes doen. Toch blijf je op een of andere manier lokel ITers hebben om het uit te voeren en ondersteuning te geven.
Er lopen wel projecten om dit efficiënter aan te pakken. Zo wordt er namelijk hard aan de weg getimmerd met Drupal voor Gemeenten (DVG) https://www.drupal.org/project/dvg
Dit is een open source oplossing die in principe door iedere gemeente gratis te gebruiken is. Natuurlijk krijg je dan het probleem dat iedere gemeente het net even iets anders wilt. Daar zit dan ook het verdien model in deze verder gratis oplossing. O.a. bij ezCompany wordt dit dus gedaan en als grootste/actiefste ontwikkelaar achter dat project loopt dat erg goed. Zowel voor dat bedrijf, als voor de gemeenten. In relatief korte tijd hebben ze vrij veel gemeentes aan zich weten te binden met voornamelijk positieve reacties. Zij krijgen een site voor weinig geld, want de ontwikkelingen voor andere gemeentes kunnen zij vrijwel kosteloos ook overnemen en vice versa. Het wiel hoeft niet per gemeente opnieuw uitgevonden te worden.
Misschien maar eens een opt-out om je persoonlijke gegevens niet bij onveilige instanties op te laten slaan? Vind het een beetje bijzonder dat het verplicht is om geregistreerd te staan op een plek waar kennelijk zo makkelijk binnen te komen is (zie ook het recente datalek bij de gemeente Utrecht: Linkje).

Dan maar even geen eindejaarsbonus of een nieuw gemeentehuis. Als de gemeentes gewoon met zijn allen beginnen met een IT-team inhuren met voldoende capaciteit en bijvoorbeeld een nauwe samenwerking aangaan met bedrijven als Fox-IT dan hoeven de gemeentes in de toekomst niet meer zo vaak naar het geld te graaien wanneer er een boete word uitgedeeld door het CBP.
Alsof burgers daar de keuze voor krijgen |:(
Helaas niet, maar was ook maar een ideetje
Gezien de bron wel een gigantische hoeveelheid data. Zal vast inclusief alle scans zijn die in de dossiers zitten (brieven, cv's e.d.). Ik blijf het onvoorstelbaar vinden dat anno 2016 bedrijven die met dit soort gegevens omgaan niet beter nadenken over de inrichting van systemen e.d. 100% voorkomen is denk ik utopie, maar je moet vandaag de dag toch wel hoge drempels kunnen opgooien? Doen wij toch ook met onze servertjes, nasjes, en webruimte die voor weinig in Frankrijk wordt gehuurd?
Gezien de bron wel een gigantische hoeveelheid data. Zal vast inclusief alle scans zijn die in de dossiers zitten (brieven, cv's e.d.). Ik blijf het onvoorstelbaar vinden dat anno 2016 bedrijven die met dit soort gegevens omgaan niet beter nadenken over de inrichting van systemen e.d. 100% voorkomen is denk ik utopie, maar je moet vandaag de dag toch wel hoge drempels kunnen opgooien? Doen wij toch ook met onze servertjes, nasjes, en webruimte die voor weinig in Frankrijk wordt gehuurd?
Bedrijven bestaan uit een hoop medewerkers waarvan de meeste geen verstand van IT hebben. Ze gebruiken de hele dag een computer zonder stil te staan bij de risico's. Ze weten niet dat het aanschaffen van een IT-product iets anders is dan het kopen van een brood. Aan brood stelt de overheid kwaliteitseisen en die worden streng gecontroleerd. Het is haast niet mogelijk om "gevaarlijk" brood te kopen in NL. Het kan wel oud worden en beschimmelen maar iedereen herkent dat onmiddelijk aan de kleur en geur. We hebben geen neus voor rotte IT.
Dat laatste is een groter probleem, we blijven in de eerste dieren met bijhorende instincten. Onze instincten zijn gericht op vallende takken, roofdieren en giftige planten. Niet op lange termijn gevaren zoals roken, een economsiche crisis of een datalek.
Goede IT'ers ontwikkelen dat soort instincten maar de meeste mensen hebben die niet.

Zelfs als je een paa**r goede IT'ers in je organisatie hebt is het maar de vraag of de rest van de organisatie naar ze wil luisteren en ze de middelen geeft om hun werk goed te doen. Zeker omdat beveiligen meestal betekent dat er regels bij komen die hun eigen werk moeilijker maakt (bv een verbod op dropbox of een streng wachtwoordbeleid) en het is ook nog eens verschrikkelijk duur. Helemaal moeilijk wordt het als de concurrentie het niet doet. Je kan wel het braafste jongetje van de klas zijn maar als je product daardoor duurder wordt dan koopt niemand het. De meeste inkopers hebben veiligheid namelijk ook niet op de radar staan.

Zelfs al een organisatie wel helemaal op veiligheid is gericht blijft het moeilijk om vast te stellen of een bepaald product, systeem of procedure veilig is. Onveiligheid aantonen is makkelijk, maar het omgekeerde? Er zijn allerlei standaarden bedacht maar de meesten dekken maar een paar aspecten af. Daarbij kun je als klant haast niet controleren of de standaarden ook echt gevolgd zijn. Als je een paar goede hackers in dienst hebt zou je zelf een audit kunnen doen en proberen het systeem te kraken, maar dat is ook geen garantie en voor de meeste bedrijven niet haalbaar, die hebben geen krakers in rondlopen.

De datalekwet kan een hoop veranderen. Door die wet is er opeens een concreet financieel risico met een duidelijke prijs. Daarmee kunnen we eindelijk een waarde hangen aan beveiliging. Een beetje bedrijfseconoom kan nu uitrekenen hoeveel geld er jaarlijks aan IT-beveiliging besteed kan worden. Voorheen zagen veel bedrijven iedere cent die werd uitgegeven aan beveiliging als weggegooid geld. Nu is het opeens een verstandige investering waarmee je boetes voorkomt.
Toevallig kregen wij in de gemeente waar ik werk de afgelopen twee weken veel phishing mailtjes binnen. DHL, KPN, maar ook betaal verzoeken. In een bedrijf met 1000 man is er altijd wel iemand die daar helaas in trapt.

Wij hebben recent nog een verplichte awareness campagne, online cursus, gehad om dit soort dingen te voorkomen en duidelijk te maken waar je op moet letten. Het zijn ten slotte niet allemaal ICT-ers.

Persoonlijk ben ik van mening dat dit tegenwoordig onder algemene kennis zou moeten vallen voor dit soort functies.
Laat een extern beveiligingsbedrijf goed opgestelde mailtjes sturen naar alle medewerkers van de gemeente met een programmaatje er in en kijk wie dit programma start.

Iedereen die het programma start moet ontslagen worden.

[Reactie gewijzigd door ArtGod op 9 september 2016 10:15]

Ik heb als security consultant meerdere malen dit soort acties uitgevoerd bij organisaties. Zonder enige moeite behaal ik een score van 25 tot 50 procent. Als ik me een beetje verdiep in een organisatie en een op maat gemaakt bericht stuur, dan behaal ik zelfs scores tot 75 procent. Ik verbaas me er al niet meer over, maar het is wel bizar hoe goed gelovig en extreem ICT-onkundig veel mensen zijn.
Tsja, als bepaalde gebruikers al niet eens weten dat puntkomma één toets is en een minteken tegenwoordig door het leven gaat als zwevend streepje, dan is begrijpen dat onduidelijke email potentieel gevaarlijk is een kansloze missie.
Zo'n test hebben wij eerder dit jaar gehad, onder het mom: je moet inloggen anders verloopt je Outlook. Schrikbarend hoeveel mensen er in trapte. Zelfs van de ICT afdeling, maar voornamelijk mensen met hogere functies.....
Ik heb op de helpdesk van de federale belastingen gewerkt in België (enkel interne support voor zo een 27.000 ambtenaren). Het is ongelooflijk hoe veel er in die mails intrappen. Zijn vaak de mensen van hoger kader of de hogere functies (ICT, directeurs, inspecteurs,....).

De lagere functies zijn voorzichtiger in wat ze doen vaak. De hogere denken dat ze alles weten/kunnen/mogen. Dus die klikken maar op alles wat ze krijgen.

Dat in combinatie met mensen die geen verstand hebben van informatica die verantwoordelijk ervoor zijn,...ik kan je garanderen..... vaak feest :+ :+
Zo'n systeem wordt vaak door de goedkoopste aanbieder gebouwd voor de klant. Gemeenten geven liever een smak geld uit aan een prima fietspad herbouwen dan aan een wat duurdere systeembouwer. Goedkope systeembouwers, die ook nog eens tijdsgebonden zijn, zullen een hogere kans op problemen brengen...
Gezien de bron wel een gigantische hoeveelheid data. Zal vast inclusief alle scans zijn die in de dossiers zitten (brieven, cv's e.d.). Ik blijf het onvoorstelbaar vinden dat anno 2016 bedrijven die met dit soort gegevens omgaan niet beter nadenken over de inrichting van systemen e.d. 100% voorkomen is denk ik utopie, maar je moet vandaag de dag toch wel hoge drempels kunnen opgooien?
Protocol rond archiveren van data ontbreekt blijkbaar. Veel zaken zijn eenmalig en kunnen na controle weer verwijderd worden, andere zijn na verloop van tijd niet relevant meer. (brieven, CV's)
Dit gaat een duur grapje voor de gemeente worden. De boetes voor een datalek van dergelijke omvang zijn niet mals. Burgers moeten nu een claim indienen.

Aan de andere kant, het is een gemeente, zal wel weer met een sisser in een doofpot aflopen.

[Reactie gewijzigd door Sleurhutje op 9 september 2016 10:38]

Wat voor "dergelijke omvang" bedoel je? Het gegeven dat het om 20 GB gaat? Dat zegt toch niet per se wat over de omvang van het lek?
In 20GB staan niet gegevens van maar vijf personen. Al zal het om gegevens van 50 personen gaan, dan is dat toch een flink lek.
Misschien wel, echter dien jij via de OZB netjes mee te betalen. Ipv een boete zie ik liever een prestatie verplichting. Die is natuurlijk ook niet gratis.
Ja, dat is helaas de praktijk. De burger/consument mag de boete uiteindelijk ophoesten. Belastingen of abonnementsprijzen gaan gewoon omhoog in dat geval. Het boeit instanties dus geen ene fluit of ze een boete krijgen. Gewoon een ongemak in de kwartaalcijfers.
Tja, het gebeurt helaas aan de lopende band: http://www.ad.nl/amersfoo...ente-amersfoort~a132dd3e/
En dat is dan nog maar één gemeente ...
Ik ben bang dat je nog lang niet weet wat er allemaal gaande is.
http://nos.nl/artikel/210...n-worden-niet-gemeld.html
De procedure voor het aanmelden van een datalek is niet bepaald eenvoudig. Los van alle commotie en rompslomp binnen de organisatie zelf, is het ook nog een heel gedoe om een goede melding naar buiten te krijgen. Vaak sneuvelen meldingen als bij de interne bureaucratie. Te triest voor woorden maar gewoon realiteit, al een paar keer gezien in de praktijk (procedure loopt nog intern, lek is al opgelost, leverancier aangesproken hoe te voorkomen).
Als je wacht met het bedenken hoe het moet tot er een crisis situatie is dan kan ik me dat voorstellen.
Gewoon een draaiboek maken welke stappen je moet doen en wie voor wat verantwoordelijk is. Behandel het als een Major incident en je weet gelijk dat je "de techneuten" het werk moet laten doen, management begeleiden, communicatie.... ja communicatie. Blijft er in deze casus alleen een jurist over voor het melden bij de AP.
We hebben er nog nooit een gehad maar het gehele proces is al wel een aantal keer droog geoefend.
En dat oefenen is belangrijk
Nou daar gaan mijn persoonsgegevens, ben benieuwt wat gemeente Almelo er aan gaat doen.
(Denk zelf helemaal niks).
Heb er ook geen bericht van gekregen en dat vind ik helemaal erg.

[Reactie gewijzigd door ES_com op 9 september 2016 09:34]

Daar zijn regels voor zie Autoriteit Persoonsgegevens.
Maar als jij getroffen bent zul je het wel gaan merken, je moet namelijk op de hoogte gebracht worden dat er gelekt is en dat het jouw gegevens betreft (welke).
Ja dat is inderdaad wel serieus, want volgens mij moeten ze de getroffene wel informeren
Dag ES_com, begrijp ik goed dat je klant bent van het Werkplein? Ik ben journalist bij TCTubantia en wil graag contact met een 'slachtoffer'. Zou je mij willen mailen op l.vraay@tctubantia.nl of willen bellen op 06-22411432?
Ik vind het wel vervelend dat ik als inwoner nog geen bericht heb gehad van de gemeente. Het is bijna altijd dat men deze lekken moet vernemen via de media, maar leuk is echt anders...
de tering, hoeveel mensen gaan hier de dupe van worden omtrend identiteitsfraude?
Ik vraag mij nu af of ambtenaren als Administrator draaien op hun PC. Anders zou zo'n malware programma toch niet zoveel schade hebben kunnen aanrichten?
1 besmette PC of laptop is voldoende...


Om te kunnen reageren moet je ingelogd zijn



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True