×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Honderden Brabanders zagen belastinggegevens enkel persoon in door ict-fout

Door , 76 reacties, submitter: Ryan_

Door een fout kregen 750 tot 800 personen het aanslagbiljet van één enkele persoon uit Dongen te zien bij het inloggen met hun eigen gegevens. De Belastingsamenwerking West-Brabant weet nog niet waardoor de fout heeft kunnen ontstaan.

BWB-directeur Peter Stoffelen zegt tegen BN DeStem dat het probleem waarschijnlijk is ontstaan tussen zijn dienst en de bedrijven die zijn ingehuurd voor ict- en e-maildiensten. Hij voegt daaraan toe dat 'met aan zekerheid grenzende waarschijnlijkheid' één aanslagbiljet inzichtelijk is geweest. Dit kregen mensen te zien die inlogden met hun eigen bsn en aanslagnummer.

De gegevens bieden volgens de krant onder andere informatie over de woz-waarde van een pand en de hoogte van verschillende heffingen, naast andere fraudegevoelige informatie. De persoon uit Dongen zegt tegen de krant: "Helaas is dit gebeurd, maar ik wil het er verder niet over hebben. Mijn gegevens liggen breeduit op straat, maar ik hoop dat de media mijn privacy wel willen respecteren."

De fout kwam zondagavond aan het licht, waarna Stoffelen bij de getroffen persoon op bezoek is gegaan. Deze zou sympathiek hebben gereageerd. De BWB wil ervoor zorgen dat er begeleiding voor de Dongenaar komt.

Door Sander van Voorst

Nieuwsredacteur

20-02-2017 • 13:37

76 Linkedin Google+

Submitter: Ryan_

Reacties (76)

Wijzig sortering
Dit zou overbodig moeten zijn, maar het bericht gaat niet over de Belastingdienst maar over Belastingsamenwerking West-Brabant (inning gemeentelijke - en waterschapsbelastingen).
IT en menselijke fouten komen helaas veel voor.

Geef die man een ludieke schadevergoeding. 5 jaar lang een boekhouder om zijn aanslagen voor hem optimaal in te laten vullen.
Het lijkt er op dat men de dataset va deze meneer als test heeft gebruikt, maar later niet heeft verwijderd, of dat er een hardcoded link naar hem is blijven staan die nog aangepast had moeten worden.
Laat het slachtoffer de Belastingsamenwerking West-brabant maar eens aanklagen wegens schending van de privacy. Men gaat daar nog steeds veel te laks mee om en wetgeving lijkt gewoon genegeerd te kunnen worden als je maar netjes sorry zegt.
Wat precies denk je met de aanklacht te bereiken?

Er zijn in principe twee mogelijkheden: een strafzaak (boete) of een civiele zaak (schadevergoeding). In het eerste geval ligt de bewijslast veel hoger, en zul je moeten bewijzen dat er verwijtbare nalatigheid is, en wie dat verwijt treft. In het tweede geval moet je de schade bewijzen, en is de de vraag verder alleen maar wie die schade moet vergoeden. Maar hoe plak je een schadebedrag op privacy?
Die tweede zaak kun je aanspannen op mogelijke implicaties. Er ligt immers fraudegevoelige informatie op straat. Dat dit nu nog niet misbruikt wordt kan je niet vaststellen. De BWB is dan aansprakelijk en die kunnen het dan weer verhalen ergens. Ze weten immers wel welke 750-800 personen dit waren.
Lijkt me een gevalletje 800 x nKans op identiteitsfraude x gemiddeld schadebedrag bij identiteitsfraude..

is 800x0,035x583,33=16.332,4 euro's?

0,035 = 600.000 (aantal gedupeerden)/17.000.000 (inwoners nederland)
583,33 = gemiddeld schadebedrag per persoon.
Bedragen volgens: https://www.rijksoverheid...e-gestegen-schade-gedaald

Natuurlijk moet dat gecorrigeerd worden voor 2017..
Wanneer er eens een rechtszaak tegen de laksheid omtrent de omgang met privacy gevoelige data wordt men misschien ooit eens wat alerter. Eigenlijk is het beschamend dat de wet nog steeds kan worden genegeerd en men er met een sorry van af komt.

Naast het krijgen van een schadevergoeding kan het bedrijf wat de privacy schendt in theorie een behoorlijke boete krijgen.

Als databeheerder wordt ik wel aan alle kanten beperkt in wat ik aan gegevens mag opslaan, maar als ik eens informatie naar een lijst verkeerde personen stuur is er eigenlijk niets aan de hand. Mailtje met sorry en het is weer OK. Ik zou me werkelijk rot schamen.
Fouten kunnen altijd voorkomen, maar de Nederlandse overheid heeft op ICT gebied een slechte reputatie.

http://www.ministerievanict.nl/
Een eigen ministerie voor ICT-zaken zou een logisch gevolg zijn van het rapport van de commissie-Elias. Dat zegt SP-Kamerlid Sharon Gesthuizen. De commissie onderzocht namens de Tweede Kamer wat er keer op keer misgaat met grote overheidsprojecten waar ICT aan te pas komt.
https://www.youtube.com/watch?v=70NjjsK8_Fk
Ik kan even geen linkje meer vinden, maar een aantal jaar geleden is precies hetzelfde gebeurd bij de Noorse belastingdienst. Ik kan me niet herinneren dat die man een schadevergoeding heeft gekregen. Het zou kunnen, maar het lijkt me niet zo waarschijnlijk.

Overigens is iets dergelijks ook wel eens met Steam gebeurd. Geen belastinggegevens, maar wel persoonsgegevens. Caches zijn een bitch, soms... :)
In Noorwegen zit het ook net iets anders, daar kan iedereen van iedereen de belastingegegevens inzien. Ik weet de details niet precies maar je kan met een soort digid de aangifte van iedereen zien, maar de eigenaar krijgt dan wel een notificatie dat hij bekeken is en door wie. Dan is het verhoudingsgewijs een kleinere ramp als iemands gegevens vrij inzichtelijk zijn t.o.v. hier in NL
De vraag is vooral welke informatie je te zien krijgt.

Als het enkel maar (een naam en) bedragen zijn zie ik er geen probleem in. Maar als je ook persoonlijke gegevens zoals adres en rijksregisternummer (fraudegevoelige gegevens dus) te zien krijgt zou ik ook wel van mijn tak maken.
Dat die fout "bij een externe software leverancier te plaatsen is" doet niet ter zake; de overheidsinstantie is de opdrachtgever en is verantwoordelijk. Van Stoffelen heeft gewoon z'n Q&A niet op orde. Dit is zo'n basale fout; die had er al lang voordat ze live gingen, uit moeten rollen

Helaas speelt dit probleem bij bijna alle overheidsorganisaties. 't Is niet zozeer een gebrek aan kundig IT-personeel, maar een gebrek aan personeel wat een (aanbesteding op) een IT-project kan opstellen en beoordelen

Als jouw of mijn bankgegevens zichtbaar worden voor anderen, stappen we over naar een andere bank. Maar als de Belastingsamenwerking West Brabant faalt, ga je niet verhuizen naar Oost Brabant
Dat ging over de Rijksoverheid. De BWB gebruikt zo te zien DigiD en krijgt daar dus een BSN van. Als er wat mis was met DigiD hadden we wel over meer gevallen gehoord lijkt me, in dit geval is het een groep gemeentes en de partij die ze in de arm hebben genomen.

Zoals al elders in de reacties is opgemerkt klinkt dit hetzelfde als nieuws: Steam geeft gebruikers per abuis inzicht in andermans data - update

[Reactie gewijzigd door Rafe op 20 februari 2017 14:32]

Een ministerie van ICT is geen goed idee. ICT is namelijk niet beperkt tot een specifiek ministerie, het zit overal. Het Ministerie van ICT zou zich dus de hele tijd moeten bemoeien met andere ministeries en overheden. Dat zou alleen maar concflicten oproepen. ICT is gewoon te wijd verspreid en te belangrijk om aan specialisten te kunnen overlaten. Die competentie moet overal zitten, bij elk ministerie, bij elke overheid en eigenlijk zelfs bij elke burger.
Je ziet het al in het bedrijfsleven, daar is de ICT afdeling al veel minder machtig en zelfsturend dan pakweg 10 jaar terug. ICT is nu niet langer ondersteunend, het is gewoon deel van de bedrijfsvoering.
Een ministerie van ICT sluit niet uit dat de competentie ook bij andere ministeries zit.
Als dat ministerie audits zou doen bij overheidsinstellingen, dan verplicht je die overheidsinstellingen om terzake kundig personeel aan te nemen (ipv die Van Stoffelens die er nu zitten)
Een ministerie staat onder de leiding van een minister, een politicus. Waarschijnlijk van een coalitiepartij. Wat denk je dat er dan uit die audits komt? "Heel goed allemaal, ga zo door jongens.". Audits moeten door onafhankelijke derden gedaan worden, anders heeft het eigenlijk geen zin.
ZO vreemd is het idee niet. We hebben ook een Rijksbouwmeester, ondanks het feit dat veel ministeries gebouwen hebben. En veel klachten hoor je daar niet over.

Ik denk dat je met name op het gebied van ICT-inkoopbeleid veel zou kunnen winnen. Bijvoorbeeld door een gezamelijke blacklist van leveranciers die niet voldoen.
Daar mag toch echt wel een fikse schadevergoeding tegen overstaan dacht ik zo. Niet iets ludieks! Die persoon haar hele hebben en houwen op financieel gebied ligt op straat!
In Nederland heb je gelukkig niet zo maar recht op schadevergoeding. Je moet wel daadwerkelijk schade hebben geleden. We zijn de VS niet... Dus als deze persoon daadwerkelijk schade lijdt door deze actie, dan maakt hij daar zeker aanspraak op.
In Nederland heb je gelukkig niet zo maar recht op schadevergoeding. Je moet wel daadwerkelijk schade hebben geleden. We zijn de VS niet... Dus als deze persoon daadwerkelijk schade lijdt door deze actie, dan maakt hij daar zeker aanspraak op.
Het probleem is alleen dat schade in deze lastig aan te tonen is. Wat als deze man door dit datalek niet aangenomen wordt bij een sollicitatie gesprek? Door een bank geen lening verstrekt wordt? Klanten die wegblijven omdat ze nu zien dat het bedrijf het helemaal niet zo goed doet? Of blijkt dat zijn vrouw/partner hem verlaat omdat deze de gegevens in kon zien en er blijkt dat ze niet helemaal open waren over wat er nu werkelijk verdiend werdt?

[Reactie gewijzigd door Donvermicelli op 20 februari 2017 14:23]

Wat als deze man door dit datalek niet aangenomen wordt bij een sollicitatie gesprek? Door een bank geen lening verstrekt wordt?
Lek is niet zijn fout. Bank zou normaal gezien zijn financiële gegevens moeten hebben.
Realistischer is als leveranciers hem bepaalde dingen (koelkast, wasmachine) niet meer willen leveren omdat ze het nu een te groot risico vinden, of dat hij voor een bepaalde regeling niet meer in aanmerking komt omdat ze vinden dat hij te veel geld heeft.

Als de gelekte informatie zo fraudegevoelig is, dan betreft het waarschijnlijk meer als alleen de woz-waarde van zijn huis. Mogelijk (speculatie) had hij een aanvraag lopen voor vrijstelling van de gemeentelijke- en waterschapsbelasting.

In het geval van de sollicitatie kan het dan zijn dat ze inschatten dat hij chantabel is omdat hij schulden/laag inkomen heeft.

Het zal ook niet voor niets zijn dat men het nu heeft over begeleiding.
De BWB wil ervoor zorgen dat er begeleiding voor de Dongenaar komt.
Schadevergoeding zal er vermoedelijk niet in zitten, al was het maar omdat de schade heel moeilijk financiëel is vast te stellen.

Het enige dat ik me verder nog voor kan stellen (men heeft het immers over fraudegevoelige informatie) is dat iemand anders zich als hem gaat voordoen.
Men kan er van uit gaan dat hij geen schade meer moet bewijzen in zo een geval, want iedereen weet dat hij schade heeft geleden.
God weet hoe lang die schade gaat duren...
Het simpele feit dat zijn privé leven op straat is...
Je kan daar zo veel inzien in zo een belastingsaangifte...

ZOnder te spreken dat hij nu slachtoffer kan worden van identity theft, het is zo gemakelijk met wat daar op staat ...
Dat er schade is is duidelijk, echter tegen welk bedrag deze gewaardeerd moet worden is veelaleer het probleem. Dat het in dit geval geen aangifte is maar een aanslag gemeentelijke- en waterschapsbelastingen doet niet ter zake.

Smartegeld krijg je in NL ook niet gauw en als je het wel krijgt meestal ook peanuts.
De bedoeling van een compensatie is niet enkel voor de man te compenseren, maar ook om de fout-gaander te straffen. Anders zou iedereen fouten blijven maken omdat het toch straffeloos is...
Wat mij betreft mag je hier ook best gederfde levensvreugde bij noemen. Dus een financiële compensatie voor de geleden immateriële schade. Ook al is het niet concreet aantoonbaar.

https://nl.wikipedia.org/wiki/Smartengeld
Er moet dus eerst een slachtoffer vallen, bijvoorbeeld door identiteitsfraude, wil er over een schadevergoeding gesproken worden. Maar bewijs dan maar eens dat deze fraude is gepleegd met data verkregen door dit lek!
Ik ben van mening dat er tegen instanties - zowel bedrijven als overheidsinstellingen - wat harder mag worden opgetreden voor dit soort lekken. Misschien dat er dan in het vervolg wat betere consultants worden ingehuurd, die wél weten wat er kan gebeuren door een datalek.
Nja misschien dat er een boete betaald moet worden, die wordt dan betaald aan de overheid (zoals wel vaker) en dan komt het geld weer netjes terug bij de belastingdienst.
Zo hebben ze netjes een boete betaald, en hun boete weer teruggekregen. Klaar is kees :D

De gedupeerde zal een excuses krijgen voor het ongemak, en indien ze het daar niet mee eens is zal ze een formulier mogen invullen. Formulier komt op een stapel en vervolgens regelrecht in de prullenbak :D

Laten we hopen dat ik ongelijk heb, maar ik vrees van niet.
Dat valt waarschijnlijk wel mee. Het gaat hier om de regionale belastingen, zoals afvalstoffenheffing, waterschapsbelasting, hondenbelasting, enz. . Deels zijn deze belastingen gekoppeld aan de WOZ-waarde, maar die is(/wordt) ook openbaar ( https://www.wozwaardeloket.nl/ ) - de waarde van het huis is dus ook niet echt een verrassing. Aan de individuele aanslagen is vaak alleen maar te zien of er één òf meerdere personen op een adres wonen.

Gevaarlijker is natuurlijk de combinatie BSN, adres (, geboortedatum?) en volledige naam. Maar zijn inkomen, uitkeringen, enz. zullen we waarschijnlijk nooit weten. Gelukkig maar.
Geef die man een ludieke schadevergoeding. 5 jaar lang een boekhouder om zijn aanslagen voor hem optimaal in te laten vullen.
Als het een BN'er of een 'Quote 500 lid' is zou je de eigendommen en vermogens breed uitgemeten in de pers zien.
Ludieke schadevergoeding of niet, de potentiele schade (en identiteitsfraude) zal nog jaren na kunnen slepen, ook voor de gewone burger. Laten we hopen dat er geen screendumps van deze persoon op sociale media gedeeld worden.

[Reactie gewijzigd door Fireshade op 20 februari 2017 14:08]

Het gaat hier om lokale belastingen, en de koopprijs van z'n woning is sowieso al via het kadaster op te vragen. Toch zie je dat in de Quote 500 niet gebeuren.
Geef die man een ludieke schadevergoeding.
Een nieuwe identiteit zou beter zijn aangezien minimaal honderden mensen zich als hem kunnen voordoen.
Wat een stel prutsers, belachelijk!
Ik begrijp iets niet. Er wordt gezegd dat het om bedrijven gaat die ingehuurd zijn voor ICT en e-maildiensten. Dus er vindt enige vorm van applicatie integratie plaats. Is dat dan niet getest ofzo?

Sowieso als het proces toestaat dat dergelijke fouten ontstaan door een manco binnen de ingangsdata, is dit ook niet sluitend gemaakt.
Misschien werd er enkel met die persoon getest?
Is dat dan niet getest ofzo?
De vraag die wordt gesteld bij menig (beveiligings-)lek. Testen zit helaas vaak 'niet in het budget' of anderszins niet op het netvlies. In de meeste gevallen gaat het ook goed, maar die paar keer dat het fout gaat, gaat het ook meteen goed fout.
Welkom in de wereld van gemeentelijk falen op ICT gebied.
Ja ja, als ik voor elk probleem een euro zou krijgen...
"externe bedrijven".. meervoud.. Wat dus potentieel 10-tallen of meer civiele personen inhoudt die mogelijk zondermeer access hebben tot prive-financiele data ?

Hele geruststelling..
Initialitisatie-foutje, neem ik aan. Vast een leuk dingetje wat bij het testen ook niet naar voren komt.
Bosje bloemen, nieuwe versie, klaar!
Misschien bij unit testen niet, maar bij een goed georganiseerde User Acceptance Test had dit zeker zichtbaar moeten zijn!!

Dit had natuurlijk nooit mogen gebeuren. Ook al lijdt niemand hier schade aan. Het laat zien dat men zijn processen niet op orde heeft...controle over de materie ontbeert.
Oh absoluut. Ik denk dat hier iemand met overzicht ontbreekt, dat er zeg maar sprake is van een soort Cubicle-vision.

Alles wat buiten *mijn* belevingswereld speelt, ken ik niet en moet me uitgelegd worden.
Heel herkenbaar.
Klinkt een beetje alsof er iets teveel caching is toegepast ergens in de webapplicatie :)

Toevoeging: ik snap echt niet dat mijn reactie als off-topic wordt gemodereerd. De kans is echt groot bij webapplicaties dat dit gewoon de oorzaak is. Om er een beetje snelheid in te krijgen wordt er steeds meer caching toegepast, soms zelfs gewoon een full page cache waarbij dus volledige HTML pagina's in een cache worden gezet. Dit klinkt echt als een vergelijkbaar issue.

[Reactie gewijzigd door Cybje op 20 februari 2017 14:01]

Het zou best kunnen. Anderzijds wordt ook een cache na een tijdje ververst. Dan zouden er meerdere slachtoffers moeten zijn.
Dacht ik ook aan. Is ook eens met steam gebeurt: https://www.youtube.com/watch?v=dkSslseq9Y8
En.. Sanctie??
Voor mij dat precies wat er de laatste tijd misgaat in Nederland. Het land is enorm aan het verharden. Er wordt een fout gemaakt en derden die er niks mee te maken hebben vragen meteen om sancties. Welke zin heeft dat? Anders dan Nederland een repressief land te maken, geen enkele! Boetes voorkomen geen fouten. Het zelfde met geroep om "keihard aanpakken" als we dat echt zouden doen dan krijg je een heel nare politiestaat met bijvoorbeeld snelheidsbegrenzers in je auto. Laten we weer vechten voor vrijheid en tolerantie, toen we dat nog wat meer hadden was Nederland zoveel leuker.

[Reactie gewijzigd door mashell op 20 februari 2017 17:20]

Ja, want de grootste blunders maken mag... Waar stel je een grens dan?
Gezien ze bij het slachtoffer op bezoek zijn geweest is het datalek wel bekend, een melding daarvan bij de AP is dan vast ook wel gedaan.

Ook is er niet echt sprake van 'het niet in orde hebben van de beveiliging', hoewel je daar nog over kunt discussieren.
Je kynt je systemen dusdanig beveiligen, maar door zo'n menselijke (?) fout gaat het alsnog mis. Hoewel je ook kunt stellen dat die natuurlijk ook opgeleid/getraind moeten worden en onderdeel zijn van de beveiliging, al is een menselijke fout niet uit te sluiten.

Maar het is dus maar de vraag of een boete in verband met de Meldplicht datalekken, waar je naar link, hier op van toepassing is.
BWB-directeur Peter Stoffelen zegt tegen BN DeStem dat het probleem waarschijnlijk is ontstaan tussen zijn dienst en de bedrijven die zijn ingehuurd voor ict en e-maildiensten.
Ik neem aan dat deze bedrijven nu een fikse schadevergoeding gaan betalen? Nee? Waarom niet?

Te vaak worden dit soort foutjes vergeven waardoor er niks geleerd wordt. De software-markt is extreem lucratief, haast nergens anders worden zo'n grote winsten gemaakt. Dat is al een goede aanwijzing dat je als klant geen waar voor je geld krijgt.

Deel van het probleem is dat het maken van prestatieafspraken erg moeilijk is. Meestal zit je vast aan een stel standaardvoorwaarden waarmee de leverancier alle verantwoordelijkheid van de hand wijst. Als je meer rechten wil dan is dat niet mogelijk of onbetaalbaar duur. Realistisch gezien is er vaak geen andere optie is dan de software maar te accepteren zoals die is.

Sleep maar eens een paar van die softwareboeren voor de rechter om ze te dwingen om hun zaakjes op orde te brengen.
Wat mij vaak opvalt is dat als er een tweede partij tussen zit, dat ze de schuld daarop afschuiven. Dat is natuurlijk ook de strekking van jouw reactie.

Maar ik vind het teleurstellend dat bedrijven die veel gegevens van de Nederlandse burger bezitten en verwerken dit op een dusdanige manier behandelen.

Echter sinds de komst van de Meldplicht voor datalekken hoop ik dat de bedrijven door de ACM forser gestraft of beboet worden. De tijd van waarschuwingen is voorbij, al helemaal voor dit soort bedrijven.
[...]
Sleep maar eens een paar van die softwareboeren voor de rechter om ze te dwingen om hun zaakjes op orde te brengen.
Probleem daarbij is dat 'software' heel moeilijke materie is. Als je al een softwareboer hebt ingehuurd zal dat zijn omdat je zelf zeker niet zulk soort expertise hebt. Als je een machine hebt die, bijvoorbeeld, koekjes bakt, zal iedereen vrij makkelijk kunnen opsommen wat je van zo'n apparaat verwacht (lekkere koekjes produceren, en snel).. Voor software krijg je al een gigantisch document waarvan je maar moet hopen dat de softwareboer aan alles heeft gedacht, want dat is gewoon te veel voor iemand die daar te weinig mee te maken heeft. En ja, je kan iemand inhuren die dat dan weer voor je bekijkt maar zullen veel bedrijven dat doen? Want kost nog meer geld en de eerste rekening van de softwareboer was al aanzienlijk.
Dus procederen is nog niet zo makkelijk.
De fout kwam zondagavond aan het licht, waarna Stoffelen bij de getroffen persoon op bezoek is gegaan. Deze zou sympathiek hebben gereageerd. De BWB wil ervoor zorgen dat er begeleiding voor de Dongenaar komt.
Wel fijn voor die kerel dat de dienst hun fout erkent en er verantwoordelijkheid voor neemt. Eens een keer iets anders dan 'Ja sorry, foutje, niet vergeten om alle verkeerd ingevulde data te herstellen he, anders boete. Doei!'.
Welk bedrijf zit hierachter, dat zo geblunderd heeft?
Is dit het gevolg van de Europese aanbestedingsregels?
Ik kreeg de aanslag van de Dongenaar in de berichten box van Mijn Overheid als bijlage https://mijn.overheid.nl/.
Bij het inloggen op de site van BWB verscheen echter wel de juiste aanslag.

[Reactie gewijzigd door Jorruchie op 20 februari 2017 15:09]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*