Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gegevens Nederlandse belastingbetaler waren jarenlang onvoldoende beveiligd

Door , 103 reacties

De financiŽle en persoonlijke gegevens van 11 miljoen belastingbetalers en 2 miljoen bedrijven waren in de periode van 2013 tot 2016 onvoldoende beveiligd, doordat een systeem bij de Belastingdienst niet op orde was. Daardoor bestond het risico op identiteitsfraude.

Het beveiligingslek betrof een autorisatiesysteem bij een data-analyseafdeling van de Belastingdienst, ontdekte Zembla. Onder andere werden geen logs bijgehouden, waardoor niet achterhaald kan worden wie toegang had tot de gegevens. Volgens staatssecretaris Wiebes is niet geconstateerd of verlies of diefstal van de gegevens heeft plaatsgevonden, maar hij maakt niet duidelijk of het lek inmiddels verholpen is. De Autoriteit Persoonsgegevens onderzoekt de zaak.

De Belastingdienst is in maart 2015 al gewaarschuwd dat het systeem niet op orde is. Op die melding zou geen actie ondernomen zijn. De Auditdienst Rijk zou in maart vorig jaar ook tot de conclusie zijn gekomen dat er geen beveiligingsmaatregelen genomen waren naar aanleiding van de melding. Hoewel geen logging en monitoring toegepast werden bij het systeem, zou wel duidelijk zijn dat tientallen externe consultants van het Amerikaanse consultancybedrijf Accenture toegang hadden tot de data. Dit bedrijf had de opdracht om de Belastingdienst te adviseren over de nieuwe data-aanpak.

Reacties (103)

Wijzig sortering
De belastingdienst, de enige service waar je als nederlander niet vanaf kan komen. Een organistatie waar miljoenen binnen komen en geld geen rol lijkt te spelen, maar mijn god wat maken ze er een rotzooi van. Daar moeten ze toch software kunnen ontwikkelen die het beste van het beste zou moeten zijn...

Daar mag je toch ook als betaler er van verlangen dat het goed voor elkaar is, je moet tenslotte ervoor betalen. Het lijkt bij de overheid een steeds grotere puinhoop te worden en alles wat ze investeren qua ICT lijkt niet te werken.
Geld speelt wel degelijk een rol. Het is niet omdat zij miljarden innen aan belastingen dat zij daar zomaar hun eigen budgetten van kunnen gaan ophogen. De belastingdienst heeft, net als elke andere overheidsdienst, de vooropgestelde budgetten te respecteren en moet ook verantwoording afleggen over hoe en waaraan zij dat geld besteden.

1 slechte manager op een project kan er voor zorgen dat heel het project misloopt. Zonder meer details is het onmogelijk om te zeggen wat er hier allemaal juist is misgegaan maar ik hoop dat hier de juiste koppen gaan rollen.
Sterker nog, er is de afgelopen jaren flink bezuinigd op de belastingdienst. Als dan tegelijkertijd de complexiteit toeneemt (extra regels, extra uitzonderingen, bedrijven en burgers die steeds verfijnder belastingontduikmethoden toepassen etc.) dan wordt het steeds lastiger om nog goed te functioneren.
Sterker nog, er is de afgelopen jaren flink bezuinigd op de belastingdienst. Als dan tegelijkertijd de complexiteit toeneemt (extra regels, extra uitzonderingen, bedrijven en burgers die steeds verfijnder belastingontduikmethoden toepassen etc.) dan wordt het steeds lastiger om nog goed te functioneren.
Je hebt gelijk dat er flink bezuinigd is (en nog wordt, de reorganisaties vliegen ze daar om de oren) bij de belastingdienst. Maar er zijn ook een aantal zaken die je vervolgens noemt die niet opgaan.
De complexiteit van een aantal belastingen is juist verminderd, met minder uitzonderingen. Belastingontduiking en de methoden die daarbij gebruikt worden zijn van alle tijden, de wijze van controleren en ook de kosten/baten afweging van de omvang en diepgang van controles zal aangepast zijn.

Er zijn echter wel een aantal forse problemen, m.i. zou de prioriteit moeten liggen bij een goed functionerende achterkant, waarbij beveiliging prio nummer 1 moet zijn. We hebben het hier over voor veel mensen de meest gevoelige en uitgebreide informatie die er op een stapel van hen te vinden is (los van medisch, maar een deel daarvan komt ook fiscaal terug).
Probleem twee is de berg aan extra taken, zoals de enorme berg aan toeslagen (die uberhaupt al nergens op slaan, met alle eigen regeltjes en toestanden...gewoon terug de reguliere belastingheffing in als je het mij vraagt) die ze er gewoon even bij mogen doen.
Ze maken de klassieke fout om eerst iedereen op scherp te zetten en afscheid te nemen en daarna pas naar aanpassing van systemen te gaan. Zeg maar, ze proberen nu de mensen er uit te wippen die ze straks niet meer nodig hebben
De complexiteit van de regelgeving is vrijwel niet verminderd. Het bijkomende probleem is echter dat de regelgeving van x-jaar geleden nog moet kunnen worden toegepast als mensen bezwaar maken. Je hebt dus in de praktijk een aantal parallelle werelden van wetgeving en er komt dus in de praktijk vooral iets bij zonder dat er echt iets heel snel afgaat.
Het bijkomende probleem is echter dat de regelgeving van x-jaar geleden nog moet kunnen worden toegepast als mensen bezwaar maken.
Die complexiteit bestaat altijd al. De daarvoor geldende termijnen zijn de laatste tig jaar niet aangepast. Het maakt e.e.a uiteraard wel complex(er), maar het is niet iets nieuws.
Wat ook niet helpt is dat de politiek in september de wijzigingen in de belastingregels bekend maakt die per 1 januari in gaan. Vaak wordt daar nog een paar keer over gedebatteerd en kunnen er nog tot in november regels gewijzigd worden. Dat moet allemaal in de automatisering verwerkt worden. Voor sommige wijzigingen is er nog voldoende tijd, omdat er pas na het einde van het jaar aangifte moet worden gedaan, maar voor bv. de inkomstenbelasting moet al voor het begin van het jaar een voorschot op bv. hypotheekrenteaftrek aangevraagd kunnen worden en voor de loonbelasting en Omzetbelasting moet voor eind januari aangifte gedaan kunnen worden. Dat vergt vaak haastwerk en iedereen weet dat dat niet tot het meest nette programmeerwerk en beste documentatie leidt. Om daar later weer aanvullingen of wijzigingen op te maken kan een tijdrovende en dure klus zijn.
Dergelijke maatregelen worden ruim vooraf al door het ministerie aan de belastingdienst voorgelegd in een uitvoeringstoets waarbij de belastingdienst de haalbaarheid en kosten moet inschatten.
Het is dus niet zo dat de belastingdienst maatregelen pas weet als de tweede kamer erover mag beslissen.

[Reactie gewijzigd door TWyk op 1 februari 2017 15:53]

De originele plannen die op prinsjesdag worden gepresenteerd, zijn inderdaad al eerder bij de Belastingdienst bekend. Maar daarna gaat de kamer zich ermee bemoeien. Wanneer die bemoeienis uitmondt in wijzigingen en uitzonderingen, dan is er maar weinig tijd om die in de diverse systemen te implementeren.
Als er te weinig tijd is om een last minute verandering van de kamer door te voeren dan kan ook door de belastingdienst gewoon worden teruggemeld dat de wijziging niet tijdig kan worden gerealiseerd natuurlijk.
Met haastwerk een foute implementatie neerzetten lijkt me erg onverstandig.
De 2e kamer heeft een wet aangenomen dat per 1 januari e.e.a. gewijzigd wordt. Praktische bezwaren van de Belastingdienst zijn voor de kamer geen reden voor uitstel.
De staatssecretaris wil de kamer pleasen, de top van de Belastingdienst wil de staatssecretaris pleasen en de ICT-ers van de Belastingdienst mogen weer laten zien dat ze het onmogelijke kunnen presteren. Eigenlijk zouden ze een keer de boel moeten laten ploffen om duidelijk te maken dat het zo niet kan, maar daar hebben ze te veel plichtsbesef voor.
n de ICT-ers van de Belastingdienst mogen weer laten zien dat ze het onmogelijke kunnen presteren.
Of tonen dat ze dat toch echt niet kunnen
Hebben we bijvoorbeeld bij de rammelende invoering van de toeslagen gezien.
Dan moet je eens kijken hoeveel tijd er tussen het besluit om de toeslagen in te voeren en de invoering zelf lag.
Veel te weinig om een goed systeem te bouwen. Daar is voor gewaarschuwd, maar dat werd door de politiek weggewuifd. Dan moest er eerst maar een simpel systeem komen dat alle controles oversloeg. Te veel uitbetaalde toeslagen konden later wel weer teruggehaald worden (we weten inmiddels allemaal hoeveel ellende dat heeft opgeleverd).
Zoals zo vaak bij de overheid (heb meerdere malen in die sector gedetacheerd gezeten) speelt geld vaak geen rol, omdat er mijn inziens geen besef is wat iets kost, wat de kosten zijn, of als een project buiten tijd en budget raakt dit bedekt wordt met de mantel der liefde.

Het is heel makkelijk om als buitenstaander zonder alle details te weten iets te roepen, ongefundeerd en niet onderbouwd, maar feit is wel dat dit soort praktijken schering en inslag zijn bij de overheid, en waar in het bedrijfsleven consequenties aan verbonden worden, komt men hier er mee weg met een "ich habe es nicht gewusst"

Geld wat je niet hebt kun je niet uitgeven, dat gaat bij elk bedrijf zo, maar als het geld van de staat komt dan is de stroom eindeloos zo lijkt het wel en dat besef of het gebrek daaraan zie ik als de boosdoener.
Grootste probleem (mijns inziens) is dat er managers ontbreken die diepgaande kennis hebben in ICT en ICT-projecten. Dat wordt op zijn beurt weer veroorzaakt door het feit dat de managers met zulke competenties in het bedrijfsleven vaak een veelvoud kunnen verdienen dan als ambtenaar. Gevolg is dat miljardenprojecten mislukken en er veel geld verloren gaat. Plus dat er alle dingen blijven misgaan voor de belastingbetaler.

Misschien moeten Nederlanders eens niet stemmen voor een kleinere overheid en voor minder geld voor ambtenaren, en juist wat meer beseffen hoeveel geld je kunt besparen als je net wat meer geld uittrekt voor het salaris van die ene manager.
Precies wat jij zegt.

Het enige probleem wat ik keer op keer constateer bij de overheid, is dat er nooit koppen rollen. Ja, politiek gezien wel, maar dat heef geen afschrikwekkende functie want het geld is toch al binnen. (Het zijn net criminelen - je pakt ze op het geld)

Waarom hebben wij een strafrecht? Voor de afschrikwekkende functie. (en genoegdoening voor de slachtoffers)

Maar wat gebeurd er bij onze overheid? Iemand met een salaris van een ton of meer krijgt een vertrekregeling en/of wachtgeld. Hierna weer een andere baan verkregen van een vriendendienst a.k.a. old boys network. Dit heeft meer een aanzuigende werking dan een afschrikwerkende functie!

Wellicht moet de overheid het als volgt aanpakken: projectmanagers krijgen een -normaal- salaris van §40.000 p.j. (en dat is wat mij betreft nog aan de hoge kant!) Als het project klaar is, en niet eerder, krijgen zij een bonus wat het verschil is tussen het salaris wat ze kregen en wat ze gehad zouden hebben. Belangrijk is dat er gerenommeerde instantie komt die bepaald of het project zijn doelen heeft bereikt, op tijd en binnen budget.

Zeer belangrijke kanttekening is dat een project juiste, goede en vaste kaders heeft die niet zomaar meer veranderd kunnen worden. Vele overheidsprojecten veranderen zeer vaan van insteek of functie waardoor alles uit de klauwen loopt. Zie de politie-ICT systemen!
Ik ben het er mee eens dat dit project niet goed geregeld is, je moet hier een onafhankelijk audit log bij hebben, maar om meteen te zeggen dat de hele BD slecht is gaat me een beetje te ver.

Ik heb ondertussen in vier (westerse) landen gewoond en ik moet zeggen dat belastingaangifte doen in Nederland toch echt het makkelijkst is met de software die ze (gratis!!!) aanleveren.
De Belastingdienst heeft geen geld "achterover gedrukt" voor de eigen organisatie of budgetten verhoogd... In de praktijk is er jarenlang ieder jaar 5-10% gekort, met name op de automatisering.

Wat je wel als verwijt kunt maken is het feit dat men onvoldoende vernieuwd heeft ondanks dat men daar budget voor gekregen had. Dat komt deels door de grote complexiteit (houtje-touwtje vanuit het verleden waarvan men niet altijd weet hoe het eigenlijk precies werkt) van bestaande systemen en de angst dat het fragiele bouwwerk in elkaar dondert. Deels komt het ook door de "mensen" die hun eigen techniek en daarmee toegevoegde waarde wilden handhaven en vernieuwingen in de weg staan. Dat doet men dan waarschijnlijk door vernieuwing te vertalen in enorme risico's. Dat is dan ook ten dele waar als je iets wat je niet exact kent moet nabouwen en tegelijkertijd moet vernieuwen. Je komt echter wel in een vicieuze cirkel terecht waarin veranderingen te laat of maar halfbakken (helemaal niet) worden uitgevoerd.
De belastingdienst, de enige service waar je als nederlander niet vanaf kan komen. Een organistatie waar miljoenen miljarden binnen komen en geld geen rol lijkt te spelen, maar mijn god wat maken ze er een rotzooi van. Daar moeten ze toch software kunnen ontwikkelen die het beste van het beste zou moeten zijn...
De Belastingdienst kan volgens de onderzoekers geen dag buiten dienst zijn. Iedere dag wordt er namelijk 1 miljard euro geÔnd.
http://www.nu.nl/economie...d-mogelijk-in-gevaar.html
Ik kan je zeggen dat een hoop software daar dus door de grote software jongens gemaakt wordt en niet intern, dus als je voor een hoop problemen een vingertje wilt wijzen, dan moet je dat naar die grote bedrijven doen, maarja die adviseren maar al te graag niet fatsoenlijk, want dat betekend 'achteraf' aanpassingen en dus een hoop te declareren uren.
De reden dat de ICT zo'n bende is, is dat ze bij een aanbesteding veel lijken te kijken naar de kosten. Dan komt er een groot bedrijf om de hoek met de belofte voor relatief weinig geld een systeem te leveren. De basiskosten blijven laag, maar er is veel vertraging omdat het bedrijf eigenlijk niet kan leveren wat ze beloven. Vervolgens moet er achteraf nog gigantisch veel aan worden gesleuteld, met allerlei extra kosten van dien.

Het is helaas zo dat alleen de grote spelers een kans hebben om de aanbesteding te winnen, omdat zij de middelen en juridische kennis hebben om de aanbesteding binnen te halen. Een kleiner bedrijf dat misschien betere kwaliteit levert heeft bij voorbaat al geen kans.

Nog beter is intern iets ontwikkelen met mensen die de organisatie en behoeften van binnenuit kennen, maar dat kost meer geld omdat je meer goeie ICT'ers vast in dienst moet nemen. En omdat bezuinigen de afgelopen jaren een toverwoord is gebleken, gaat dat waarschijnlijk niet gebeuren.
En toch is het enkel intern. Het is niet dat de gegevens open stonden voor de buitenwereld alleen was er intern geen controle en log over wie wanneer toegang had tot gegevens. Ok, niet goed en niet handig maar wel heel veel ophef over iets relatief kleins. Die broedkamers was ook een geÔsoleerde testomgeving die pas vorig jaar geÔntegreerd is in de systemen dus de hoeveelheid medewerkers die in potentie ergens bij kon wat ze niet hoefden is ook vrij beperkt en juist externen van Accenture waren oververtegenwoordigd. Blijft natuurlijk niet goed dat er niet gereageerd is, maar hier zal de druk om de deadline voor de integratie in data&analytics wat een heel belangrijk speerpunt is in de reorganisatie wel meegespeeld hebben. De tijdspanne (iets meer dan een jaar na constatering) dat het nog fout zat was beperkt en de impact van maatregelen (=uitstel) te groot.
Het is niet dat de gegevens open stonden voor de buitenwereld alleen was er intern geen controle en log over wie wanneer toegang had tot gegevens.

Het is ook niet te controleren wie toegang had extern. Het schokkende van dit verhaal is dat er gewoon helemaal geen logs zijn... Niet extern of intern...

Volgens staatssecretaris Wiebes is niet geconstateerd of verlies of diefstal van de gegevens heeft plaatsgevonden, maar hij maakt niet duidelijk of het lek inmiddels verholpen is. De Autoriteit Persoonsgegevens onderzoekt de zaak.

Ja, inderdaad. Er is niets geconstateerd omdat er geen logs zijn.... Er is niets aan de hand omdat we niets kunnen zien.... Het is een politiek antwoord waarbij de indruk wordt gegeven dat er niets aan de hand is. Het is gewoon een enorme faal... :X

Don't worry folks, everything is fine!

[Reactie gewijzigd door dycell op 1 februari 2017 12:08]

En toch is het enkel intern. Het is niet dat de gegevens open stonden voor de buitenwereld alleen was er intern geen controle en log over wie wanneer toegang had tot gegevens.
Dus ook geen controle op wat de onbevoegden met deze gegevens doen. Als zoiets in de organisatie waar ik werk gebeurt reken er maar op dat er koppen gaan rollen. Helemaal bij de belastingdienst moet men dit juist niet zo bagatelliseren.
[...]
Dus ook geen controle op wat de onbevoegden met deze gegevens doen. Als zoiets in de organisatie waar ik werk gebeurt reken er maar op dat er koppen gaan rollen. Helemaal bij de belastingdienst moet men dit juist niet zo bagatelliseren.
Er was in dit geval geen spake van toegang door onbevoegden. De gegevens waren alleen toegankelijk voor bevoegden, er werd alleen niet bijgehouden welke gegevens die bevoegden raadpleegden.
Er werken misschien wel duizend mensen bij de belastingdienst die wel (legitiem) toegang hebben tot die gegevens. Je bent dus altijd afhankelijk van de betrouwbaarheid van personeel. Ook van ingehuurd personeel.
Als de belastingdienst honderden uitzendkrahten inhuurt om problemen met de toeslagen wet op te lossen krijgen die ook uitgebreide toegang tot inkomstengegvens van toeslagen ontvangers.
Ingehuurd personeel moet je dus ook vertrouwen.

[Reactie gewijzigd door TWyk op 2 februari 2017 09:29]

Dit is absoluut niet iets kleins en toont juist een veel groter onderliggend probleem aan.

Veiligheid en vertrouwen bij dit soort diensten zijn een absolute noodzaak en er is geen excuus om niet adequaat te reageren op meldingen dat de veiligheid niet in orde is. Als druk, deadlines, data analytics en dergelijke zwaarder wegen dan geeft dat aan dat de prioriteiten niet op orde zijn. Dat betekent dat veiligheid als bijzaak wordt gezien en dat is een totaal verkeerde benadering en mindset. Op die manier zal je altijd tegen problemen aanlopen en is het een kwestie van tijd voordat er weer eens op grote schaal gegevens uitlekken.

Als er geen controle is wie er intern toegang had, dan is het onmogelijk om vast te stellend at alleen interne mensen de gegevens hebben. Bovendien zouden zelfs intern mensen simpelweg geen toegang tot die gegevens mogen hebben. Veiligheid is geen best case scenario, het is altijd anticiperen op de slechtst mogelijke scenario's.
Herinner je nog dit nieuws: nieuws: Energiedata miljoenen Nederlanders gestolen door energieleverancier

Doordat er logs waren werd bekend dat deze medewerker dit gedaan heeft.

Zonder logs bij de belastingdienst is het niet, of niet triviaal, te achterhalen of en zodan wie gegevens voor andere doeleinden heeft gedownload uit het analyse systeem van de belastingdienst.

En tja, volgens mij heeft de belastingdienst veel waarde vollere informatie over burgers dan het EDSN.

Je zou bijna zeggen, kat op het spek... alle persoonsgegevens + transacties + inkomen + waarde hypotheek + auto bewegingen + type zorg polis + gezinssamenstelling + intersses in goede doelen + toeslagen + type bank + ... WOW man, natte droom van elke data focused mind.
Goed geregeld weer overheid, jullie doen er wel echt alles aan om de 'klant' als koning te behandelen. Het vervelende is ook dat dit pas het topje van de ijsberg is...
De Nederlandse overheid stoot al decennia lang veel verantwoordelijkheden op uitvoering af onder het mom van kostenbesparing. Van zorg tot (ICT)veiligheid

Het is puur een politieke keuze en daar ligt ook de eindverantwoordelijkheid.

Ik denk dat binnenkort een of andere kwiebus sorry gaat zeggen...We kennen de procedures nu wel. En je dan als gevestigde politiek nog afvragen waarom bepaalde populistische partijen zo'n enorme sprong maken.
Zoals ik al eerder heb gezegd, als je gemiddeld betaald krijg je gemiddelde mensen en dus gemiddelde kwaliteit uitgevoerd werk.

Voor dit soort instanties moet de overheid echte vakmensen met een grote zak geld weg kopen bij de grote bedrijven (die vaak wel flink betalen voor goed ICT personeel) en deze vakmensen een flink salaris bieden om de zaakjes op orde te stellen met een flink budget om mee te werken.
Je vertegenwoordigd niet alleen een naampje maar je hele land inclusief bevolking.

Maar het moet allemaal zo goedkoop mogelijk en dan krijg je dit soort situaties. :+
Worden alleen maar HBO-ers en steeds meer doctoraal gevraagd en dat is al jaren zo

https://werken.belastingdienst.nl/vacatures
Dat is niet perse een garantie op kwaliteit in uitvoeren van werkzaamheden.
SalariŽring is zeker belangrijk.

Maar het heeft niet alleen te maken met een grote zak geld en bekwaamheid. Het heeft ook te maken met het soort organisatie, werkcultuur, doorgroeimogelijkheden en secundaire arbeidsvoorwaarden.

Ik ken ICT'ers die voldoende capaciteit en keuze mogelijkheid hebben, maar voor geen goud bij de belastingdienst zouden willen werken, losstaande van welke salariŽring dan ook.

[Reactie gewijzigd door litebyte op 1 februari 2017 10:08]

SalariŽring is zeker belangrijk.

Maar het heeft niet alleen te maken met een grote zak geld en bekwaamheid. Het heeft ook te maken met het soort organisatie, werkcultuur, doorgroeimogelijkheden en secundaire arbeidsvoorwaarden.

Ik ken ICT'ers die voldoende capaciteit en keuze mogelijkheid hebben, maar voor geen goud bij de belastingdienst zouden willen werken, losstaande van welke salariŽring dan ook.
Ik denk dat de overheid (en eigenlijk elke organisatie en bedrijf) mensen die geld belangrijker vinden dan het werk dat ze doen, waar ze het doen en voor wie ze het doen kan missen als kiespijn. Het is nu al niet bepaald het minimumloon wat ICTers bij de overheid verdienen.
En stel dat het beleid bij de overheid op de schop gaat, dat er voor vele miljoenen ICT-talent bij bedrijven wordt weggekocht en dat die talenten tezamen vele miljoen per jaar meer gaan verdienen. Wat voor koppen denk je dat dat in de Telegraaf op gaat leveren? En wat voor debatten in de 2e kamer? En wat voor wijziging dat weer oplevert in het ICT-beleid?
U heeft gelijk, ze zouden ze kunnen missen als kiespijn, maar ze krijgen ze ook niet voldoende aangetrokken. En als ze ze voldoende krijgen aangetrokken, dan vertrekken ze vaak ook weer naar een x aantal jaren. (Arbeids)cultuur speelt hier ook zeker een rol in. Om een voorbeeld te geven.

Wat ik bij een Nederlands familielid van me zie (dan niet de belastingdienst maar defensie) die heeft net iets meer dan 10 jaar bij de overheid gewerkt. Heeft in die tijd naast best goede verdiensten ook tal van opleidingen gevolgt op kosten van de staat en werkt nu voor een grote commerciele organisatie in Frankrijk. Groeimogelijkheden waren er niet meer voor hem bij defensie en dat was de belangrijkste reden (naast een veel beter salaris en secundaire arbeidsvoorwaarden) om te vertrekken.

Een Japans familielid van mij werkt bij een regionale overheid. Hij werkt daar al sinds het afronden van zijn studie. Hij zou niet weg willen, ondanks nauwelijks doorgroeimogelijkheden, salariering en werkdruk. (Maatschappelijke) verantwoordelijkheid en dienstbaarheid staan bij hem ver boven dat van carriere maken en vooral meer verdienen dan iemand anders, en hij is daar niet een unicum hierin.
Die klasse medewerkers is in Nederland uitermate zeldzaam, zeker op een hoog werk- en denkniveau.

[Reactie gewijzigd door litebyte op 1 februari 2017 14:21]

Ja, dat konden we zien rond 2008 in de bankenwereld zien hoe goed het werkt om mensen schandalig veel te betalen. Echte 'toppers'.

Nee de mentaliteit dat het wel goed komt als je er maar een shitload aan geld naar smijt is pure overheidsmentaliteit. Wat we echt nodig hebben is een minister voor ICT. Niet een expert, maar iemand die wel weet wanneer 'experts' uit de nek lopen te zwetsen en de juiste mensen/experts kan herkennen en inzetten. En daar faalt onze overheid HARD op. Het bewijs vliegt om onze oren, dit artikel is er 1 van de velen.

[Reactie gewijzigd door Foxhound83 op 1 februari 2017 09:16]

Schandalig veel is ook wel even iets anders... Met flink betalen bedoel ik je mensen belonen naar hun kennis, kunde en kwaliteit van werk.
Want als je voor een dubbeltje op de eerste rij wil zitten moet je er niet veel van verwachten.
Merk maar al te vaak dat er voor de goedkoopste optie gekozen wordt zonder na te denken of het wel werkbaar is.
Ja, oke, daar ben ik het wel mee eens. Misschien kwam het zo over bij mij omdat je het over een 'grote zak geld' had. :D :o

[Reactie gewijzigd door Foxhound83 op 1 februari 2017 09:19]

Het is niet raar voor grote bedrijven om een anders bedrijf een grote zak geld te bieden als ze weten dat het bedrijf een erg goede medewerker heeft die je graag zouden willen hebben/overkopen. Vervolgens bied je die medewerker nog een flink salaris met wat extra's en je hebt direct kwaliteit in huis.
In het verleden ook veel gedaan binnen de ICT al weet ik niet hoe dat nu is, maar als je wil zijn er mogelijkheden genoeg om goed ervaren personeel te krijgen.
bullshit, kijk maar naar een hoop sectoren inclusief ICT, daar zitten meer dan genoeg zwaar betaalde beunhazen tussen, MEER DAN GENOEG.
Naja, ik zal er wel een downvote voor krijgen, maar ik zeg hetzelfde maar weer zoals v/d week .. en eigenlijk de laatste 24 jaar..

Bedrijven zullen geen actie ondernemen voor iets wat ze niet snappen. Dit is dan wel aan de ene kant te begrijpen, maar aan de andere kant doen ze er dus niets aan totdat het op bijv. tweakers staat, of .. haveibeenpwned of pastebin.

Ik zeg altijd maar tegen zo een instantie, overheid ding, gemeente, of bedrijf: moet je eens even een momentje nemen en bedenken: hoeveel weken, maanden of zelfs jaren lekt er al data uit waar of een ander land iets mee kan doen, de concurrent, of hoe vaak het al verkocht is op de zwarte markt en gebruikt wordt om bepaalde mensen in positie mee te chanteren.

Maar goed, ook dit werd weer genegeerd, hopelijk zijn er geen mensen hun leven mee verpest die de financiŽle problemen met de belasting niet kon bewijzen omdat derden er misbruik van hebben gemaakt.
Je hebt helemaal gelijk, maar het gaat nooit echt beter worden vrees ik. De mens is een kuddedier en om in een kudde te kunnen leven moet je uitgaan van het goede in de andere persoon. Je moet van nature vertrouwen hebben in andere leden van je kudde. En dat doen we ook. Onze hele maatschappij is gebaseerd op vertrouwen. Je vertrouwt de bakker dat hij je gezond brood levert, de dokter dat hij je de juiste medicijnen geeft, de garagehouder dat hij je een veilige auto levert, etc. Zonder dat je het misschien door hebt, vertrouw je een heleboel mensen. Daarnaast leven we in een relatief veilige maatschappij. Er zijn maar weinig zaken die ons leven bedreigen. Dat alles zorgt ervoor dat we niet goed meer kunnen omgaan met risico's. Zeker op het gebied van ICT, want dat snappen veel mensen die beslissingsbevoegd zijn niet. Zeker omdat dat vaak alfa's zijn en geen beta's (hoe dat komt is een verhaal apart). Mensen denken vaak in termen van mogelijkheden en kansen en niet in termen van risico's en problemen.

Proberen dit te veranderen is proberen de natuur van de mens te veranderen. Gaat niet lukken. We moeten dus een andere aanpak hanteren. Security awareness campagnes gaan om deze reden nooit lukken, tenzij je ze regelmatig herhaalt en precies afstemt op de individue.

Bestuuders moeten inzien dat ICT een te lastig onderwerp voor ze is en moeten een deskundige als naaste adviseur aanstellen EN DAAR NAAR GAAN LUISTEREN. Te veel organisaties hebben informatiemanagement nog niet op orde, laat staan informatiebeveiliging. We hebben de stap van het digitaal maken van informatie wel gemaakt, maar de stap van het digitaal maken van processen staat nog in de kinderschoenen. Dat moeten we echt gaan inzien. Maar zoals ik al begon, ik vrees dat dit nooit echt beter gaat worden.
Zo lang het niet off topic is, zul je niet gedownmod worden ;)
Bedrijven zullen geen actie ondernemen voor iets wat ze niet snappen. Dit is dan wel aan de ene kant te begrijpen, maar aan de andere kant doen ze er dus niets aan totdat het op bijv. tweakers staat, of .. haveibeenpwned of pastebin.
Het probleem zit aan twee kanten. Aan de ene kant de overheid, die graag innovatief wil zijn om haar burgers zo veel mogelijk van dienst te willen zijn. Aan de andere kant de 'bedrijven', die happig zijn om deze opdrachten binnen te slepen. Probleem is dat de wensen van de overheid en de kunde van deze bedrijven op te veel punten niet matchen. De bedrijven zeggen overal 'ja' op, want ze willen de opdracht binnen slepen. De mensen van de overheid ontberen de kennis om een reŽel opdracht te formuleren, de juiste opdrachtnemers te kiezen en deze vervolgens te monitoren. Sterker nog: er worden mensen ingehuurd om deze opdrachten te formuleren, wat wťťr een vertaalslag ten grondslag heeft en nůg meer kansen voor fouten. Zembla heeft meer afleveringen gewijd aan dit onderwerp: link en link.

Maar zelfs binnen de overheid onderling gaat het niet goed. Wist je dat er nog te vaak gevoelige data per mail wordt verstuurd tussen verschillende organen van de overheid? Deze mail is absoluut niet voldoende beveiligd. Je kunt een systeem zo veilig mogelijk maken als je wilt, maar de overall beveiliging is zo sterk als de zwakste schakel. En dat is maar al te vaak de eindgebruiker.
In dit geval was er geen lek naar buiten toe. Er werd niet gelogd welke van de voor een bepaald systeem geautoriseerde medewerkers gegevens rasdpleegden. De gegevens waren dus altijd alleen maar toegankelijk voor geautoriseerde medewerkers.
Een genoemd gevaar is identiteitsdiefstal. De gegevens die daarvoor nodig zijn, zijn nu al toegankelijk voor zo'n 30.000 belastingdienstmedewers en nog eens 100.000-en medewerkers bij andere instanties en bedrijven. Natuurlijk wordt dat vrijwel allemaal gelogd. Maar denk je dat wanneer er wordt geconstateerd dat er met gestolen gegevens bv. een bankrekening wordt geopend, alle logs worden bekeken van al die instanties en bedrijven die die gegevens hebben om te kijken wie die gegevens hebben geraadpleegd? En al zouden ze het doen, dat krijgen ze een hele lijst van personen die routinematig met een geldige reden die gegevens kunnen hebben geraadpleegd.
Kortom. Is het slordig dat er niet is gelogd? Uiteraard. Is het een storm in een glas water? Uiteraard.
Meerdere mensen geven hier al aan dat het ongelooflijk is dat er niet gelogd wordt, omdat het inmiddels volkomen vanzelfsprekend is dat dat in dergelijke systemen gebeurt. Waarom is dat dan toch niet gebeurd, terwijl het zo vanzelfsprekend is? Waarschijnlijk omdat het zo vanzelfsprekend is geworden dat het niet meer nadrukkelijk in de opdrachtspecificaties is opgenomen, net als het gebruik van de Nederlandse taal en in de grafische interface geen zwarte letters op een zwarte achtergrond gebruiken. De systeembouwer zal een makkelijke vervolgopdracht gezien hebben en bewust geen logging hebben geÔmplementeerd, nadat de juridische afdeling had bevestigd dat ze er mee weg konden komen.
Na het eerste gebleken gemis van logging zal de Belastingdienst bij de systeembouwer hebben geÔnformeerd hoe dat zat. Daarop zal als antwoord zijn gekomen dat dat niet in de specificaties stond, dat het systeem daar ook niet op voorbereid was, maar dat het voor een X aantal miljoen euro's nog wel te plementeren was. Daarna een risico-analyse zijn gemaakt, waaruit is gebleken dat het risico op misbruik nihil is en niet opweegt tegen de kosten om logging alsnog in te laten bouwen.
Je moet je afvragen waarom dit gebeurd is. Het antwoord is dan vermoedelijk dat men "snel" en "innovatief" wilde zijn wat men waarschijnlijk met de oude ICT-organisatie niet meende te kunnen zijn.

De kern van het probleem van de Belastingdienst is de wetgever en dus de politiek die geen vereenvoudiging van het belastingstelsel doorvoert en in plaats daarvan enorme hoeveelheden wijzigingen en uitzonderingen naar binnen gooit bij een organisatie die nog pak hem beet minimaal 10 jaar of langer alle oude regelgeving in systemen moet handhaven. Ook de ICT verzuipt in die legacy waar men niet onderuit komt. Als bevrijdingsslag moet het "helemaal anders" en gaat men zijn eigen weg omdat de politiek op die manier onverantwoord bezig is ontstaat er een eigen wereldje om te redden wat er te redden valt.

Zet dus een stel fiscalisten dat zich onder druk gezet voelt en geen verstand van ICT heeft, maar net de kreet "big data" kan spellen bij een stel snelle jongens van de markt die grote omzetten ruiken en hun producten willen verkopen en je krijgt dit... Als de oude ICT het over beveiliging en dergelijk heeft, roepen de Bokito's van de dienst dat ze vooral niet moeilijk moeten doen waardoor de snelheid niet gehaald wordt...

Het oude gezegde is immers: een Bokito in het nauw maakt gekke sprongen!
Een hoop aannames Sodela. Wie zegt dat de audittrails ontbreken omdat er geen ondersteuning is? Wie weet is het een gebrek aan kennis of capaciteit.
Blijft het feit dat als ze er zijn geweest ze kennelijk niet tijdig zijn gebruikt voor het afschermen van gegevens. Het achteraf kunnen zien wat er mis gegaan is, is iets anders dan het proberen te voorkomen dat het misgaat!
De website van de Belastingdienst forceert gebruikers nog steeds niet naar HTTPS. Mogelijk gevolg is dat mensen op onbeveiligde wifi-punten het verkeerde IBAN van de Belastingdienst kunnen injecteren op de website, of dat men mee kan kijken welke pagina's je bezoekt (en zo bijvoorbeeld kan constateren dat je ůf veel geld hebt, ůf financiŽle problemen hebt, etc.)

Mogen ze ook wel even wat aan doen vind ik?
Een certificaatje van een paar euro voor een website met de omvang van belastingdienst.nl vind je onnodig? Lijkt me niet meer dan normaal.

Maar om de nutteloosheid van je opmerking kracht bij te zetten Sorcerer8472 heeft het over afdwingen van https, niet over het beschikbaar hebben van een certificaat. De website van de belastingdienst is namelijk gewoon via https bereikbaar (bron: https://www.belastingdienst.nl ) ze dwingen het alleen niet af en dat is zonde.

Aan de andere kant kan ik me niet voorstellen dat er ook maar iemand daar op zoek gaat naar het bankrekening nummer van de belastingdienst, maar dat ter zijde.
Ik doelde op mijn eigen bankrekeningnummer ;)
Ik zocht ernaar laatst, stond niet meer in het adresboek bij m'n bank namelijk want wist niet wat het iban was voor 2445588. Dus there you go! :p

Ben vast niet de enige ;)
Op alle communicatie van de belastingdienst die aangeeft HOEVEEL je moet betalen en met welk KENMERK staat ook het rekeningnummer vermeld. Het lijkt me sterk dat jij uit je hoofd wel het bedrag en het kenmerk weet, maar niet het rekeningnummer. 8)7
Als je je betaalkenmerken uit boekhoudsoftware haalt dan kan dat wel degelijk ;)
inderdaad en in een beetje pakket sla je ook stamgegevens (naw, bank, etc) op, en spuug je vervolgens gewoon lekker een xml uit.
Mocht die van jou dat niet doen, ik weet nog wel een goede adviseur :*)
Genoeg informatie uit te lezen door "publieke pagina's" uit te lezen, overigens zijn een paar certs echt de kosten niet.
Nee voor een website me 100 unieke gebruikers is dat niet echt een probleem. Maar wat dacht je van honderd duizenden hits per dag. Dan gaan resources ook meetellen, de certificaten zijn eenmalige aanschaf.

Maar zelfs dan, wil je echt op elke pagina maar SSL gaan toepassen? Wat is de meerwaarde?
Wat is er tegenwoordig zoveel zwaarder aan SSL dan?
Het scheelt wel iets aan resources maar als je je loadbalancer/reverse proxy ssl termination laat doen merk je er niks van.

Ik beheer ook omgevingen met 100.000en hits per dag en SSL + gzippen wordt door de loadbalancers afgehandeld zonder een centje pijn. Uiteraard moet je wel zorgen dat het netwerk verkeer tussen loadbalancers en applicatie/webservers gescheiden is van ander verkeer zodat daar niemand kan sniffen.
Nee voor een website me 100 unieke gebruikers is dat niet echt een probleem. Maar wat dacht je van honderd duizenden hits per dag. Dan gaan resources ook meetellen, de certificaten zijn eenmalige aanschaf.

Maar zelfs dan, wil je echt op elke pagina maar SSL gaan toepassen? Wat is de meerwaarde?
De meerwaarde is dat informatieve pagina's op de website niet aangepast mogen worden middels een MiM attack.
Je moet er op kunnen vertrouwen dat wat je leest, ook echt van de website afkomt.
Gratis SSL certs via LetsEncrypt..?
Dus het is beter om op elke willekeurige pagina maar een SSL certificaat te gaan gebruiken. Ook openbare pagina's?
Jazeker. Dat HTTPS alleen voor 'geheime' informatie gebruikt hoeft te worden is een misvatting. Met de beveiligde verbinding kan je namelijk ook valideren met welke server je op dat moment verbinding hebt en kan je ervan uitgaan dat niemand de inhoud heeft aangepast. Dat is het bijkomende effect van de wijze van versleuteling - de digitale handtekeningen (authentication) - op elk datapakketje.

Daarmee voorkom je precies wat Sorcerer8472 zegt; dat iemand rommelt met de informatie. Het voorbeeld van fraude met het rekeningnummer is ťťn voorbeeld, maar je kan ook een fake link naar een digid-login maken. Daarom zijn tegenwoordig ook publieke pagina's van banken HTTPS. In VARA Kassa werd toen ook aangetoond hoe veel gemakkelijker het is om iemand voor de gek te houden; je kan immers als aanvaller het hele domein in plain HTTP serveren aan je slachtoffer en zo ziet hij geen waarschuwing over een verkeerd certificaat en zie je de 'echte' URL in je adresbalk. HSTS helpt hierbij.

Zo ook nieuwswebsites; die hebben ook een case dat de juiste informatie zichtbaar is bij de bezoekers en zodat zij dat kunnen valideren.

Het opent dus verschillende aanvalsmogelijkheden als je niet *alles* ťn geforceerd met HSTS op je domein aanbiedt met HTTPS.
Wie gaat dat dan betalen Sorcerer8472?
Die kosten zouden echt gering moeten zijn ten opzichte van de kosten om je webapplicatie te bouwen. En al helemaal gering als het gaat om de risico's waar we het over hebben.

[Reactie gewijzigd door gertvdijk op 1 februari 2017 09:27]

ik krijg toch zeker het slotje te zien. Kun je dit verklaren:
- https://belastingdienst.nl -> slotje
- https://www.belastingdienst.nl -> slotje
- http://www.belastingdienst.nl -> slotje
- http://belastingdienst.nl -> slotje
Via Google kun je hier uitkomen:
http://www.belastingdiens...n_aan_de_belastingdienst/

Geen slotje... Wel raar trouwens, ik dacht dat Google automatisch naar https verwijst indien beschikbaar.
dat is bijzonder. jij krijgt geen slotje? ik klik op je link en voila; ik krijg een slotje.
wat was je zoekterm? (kan ik het eens naspelen)
Als ik op dezelfde link klik dan krijg ik het niet op standaard Chrome.
(zoekterm: iban belastingdienst, eerste hit, geen https daar ook!)
Trieste is ook weer dat ze dit al weer bijna een jaar weten, en er niets aan gedaan hebben.
Nog triester is dat ze dit zelfs al bijna 2 jaar weten...
De Belastingdienst is in maart 2015 al gewaarschuwd dat het systeem niet op orde is.
Niet te filmen. Het probleem is dat er geen logging plaatsvindt, en dan zegt staatssecretaris Wiebes dat er niet is geconstateerd of er data gelekt is! Das nogal wiedes want logging stond uit!
Hier komt de term 'Nogal Wiebes' uit voort :)
tientallen externe consultants van het Amerikaanse consultancybedrijf Accenture toegang hadden tot de data
WTF :?

Een Amerikaans bedrijf had toegang tot alle belastinggegevens van alle Nederlanders? Wie heeft er ooit bedacht dat dit soort gegevens over MIJ aan een buitenlands bedrijf (en daarmee ook de overheid van Amerika) gegeven mag worden? Dat schimmige bedrijven dit doen, mwa... Dat spionage diensten dit kunnen bemachtigen, swa... Maar dat er rechtstreeks vanuit de belastingdienst legaal, met opzet, data daar beschikbaar wordt gemaakt is ronduit belachelijk! Welke minister van welke politieke partij is hiervoor verantwoordelijk?

We maken het de Amerikanen wel heeeeel erg makkelijk.
Ik denk dat je het moet lezen als consultants van accenture (wat een amerikaans bedrijf is) hebben in opdracht van belastingdienst op project xyz gedaan waarbij ook deze systemen beschikbaar waren. Dit kon consultants van atos of ibm of x kunnen zijn.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*