×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Zweedse overheid gaf databases met gegevens miljoenen burgers uit handen

Door , 129 reacties

Het Zweedse transportagentschap is verantwoordelijk voor een groot datalek, waarbij databases met gevoelige gegevens van miljoenen burgers in handen zijn gekomen van derde partijen door it-outsourcing.

De Zweedse overheid heeft databases met rijbewijzen, inclusief foto's, en gegevens over voertuigen en infrastructuur in 2015 naar clouddiensten van IBM en NCR in Tsjechië en Servië verplaatst. Personeel dat verder niet aan veiligheidsvoorschriften gebonden was, heeft toegang tot de gegevens gehad.

Onder de gegevens zijn foto's, namen en adressen van onder andere defensiepiloten, geregistreerde criminelen en getuigen die in speciale beschermingsprogramma's zijn geplaatst, schrijft Rick Falkvinge, de oprichter van de eerste Piratenpartij op basis van informatie van Zweedse kranten. Ook zijn gegevens over militaire voertuigen en wegen en bruggen op straat komen te liggen door de it-outsourcing van het Zweedse transportagentschap.

De overheid probeerde de misstap stil te houden, maar door het plotselinge vertrek van de top van het transportagentschap begin dit jaar kwam de zaak aan het licht. In een rechtszaak van 6 juli kwam naar voren wat de reden van het vertrek van de top was.

Door Olaf van Miltenburg

Nieuwscordinator

24-07-2017 • 08:26

129 Linkedin Google+

Reacties (129)

Wijzig sortering
Het artikel "Nee je hebt wl iets te verbergen" van de correspondent toont wederom zijn gelijk aan: alweer zijn het just de overheidsinstanties en de grote bedrijven die privacybeleid niet op orde hebben en waar je gegevens dus niet veilig zijn. Zijn het geen hacks dan zijn het bewuste dingen of erger nog, dit soort knulligheden. En juist overheden vertrouwen we (het is immers de overheid, die zouden zoiets toch zeker nooit toelaten...). Ik vraag me echt af wat er moet gebeuren voordat de meerderheid van de mensen zich eens achter de oren krabben in plaats van roepen dat ze niks te verbergen hebben.
Dat gebeurt bij kleine bedrijven evengoed hoor, alleen dan komt het niet in het nieuws. En hoeveel burgers hebben de beveiliging van hun eigen gegevens op orde? Het is wel erg makkelijk natuurlijk om grote bedrijven en de overheid de zwarte piet toe te spelen, dat snap ik.
het grote verschil is dat een overheid 'meer te verbergen' heeft en dat je dus van een overheid mag verwachten dat security vooraan staat bij de acceptatie criteria van uitbesteding, nieuwbouw of herbouw van software of infrastructuur.
Daarnaast heb je als burger geen keus, je naam en gegevens zitten in zoveel databases van (met name) de overheid. Het gaat hier dan niet om de zelf ingevulde gegevens op b.v. Facebook, maar om genoeg gegevens om je hele identiteit over te dragen aan een ander.
Als laatste is het hacken van een overheid een stuk lucratiever dan het hacken van een individu.

Ik vind het ongelooflijk dat een overheid (of het nou zweden is zoals in dit voorbeeld, of welke andere natie dan ook), gegevens over burgers, infrastructuur en zelfs het militaire apparaat onderbrengt in dataservers in andere landen. Dat is in mijn ogen absoluut not done, maar goed...het zal wel op grote schaal gebeuren denk ik...
Het is wel erg makkelijk om de overheid met een burger te vergelijken, snap niet waarom dat gedaan wordt eigenlijk...
Ja er zijn burgers die hun beveiliging niet goed op orde hebben, moet de overheid daarom ook geen beveiliging hebben en data gratis uitdelen aan derden volgens jou?...
Zelfde voor die kleine bedrijven: die zijn ook geen overheden toch? Als een (klein/groot) bedrijf de wet breekt en data van haar klanten uitdeelt aan derden zijn ze strafbaar, waarom zou een overheid het dan wel mogen volgens jou?
Je verdraait mijn woorden. Ik zeg nergens dat de overheid zijn zaakjes niet op orde hoeft te hebben omdat burgers dat ook niet hebben. Dat maak jij ervan. Ik zeg enkel dat het makkelijk afgeven is op iets wat altijd in het nieuws is, terwijl het op alle andere plekken niet veel beter gaat.
twee dingen:
Ten eerste, hoe groter het bedrijf, hoe meer mensen erdoor geraakt worden, dus hoe belangrijker het is dat ze hun zaakjes goed in orde hebben.
Ten tweede, er is een groot verschil in het soort data dat opgeslagen wordt bij dit soort overheids instanties en bij de kleine lokale bedrijfjes. Als gegevens (zoals in dit geval) over "defensiepiloten" of "getuigen in speciale beschermingsprogramma's" op straat komen te liggen, dan is dat voer voor terroristen of criminelen en kan dat letterlijk levens kosten. Als de info die Kruidvat of Zalando opslaat, op straat komt, dan raakt dat weliswaar nog steeds best een grote groep mensen, maar daar zit (wellicht met uitzondering van je betaal info) niet echt wat bij dat de klanten grote schade zou kunnen brengen, en zeker niks wat levens zou kosten.
Daarom is het mijns inziens helemaal terecht, dat de reakties veel harder zijn als overheden dit soort fouten maken, dan als dat gebeurt bij een klein bedrijfje.
Het is terecht dat reacties harder zijn. Het is onterecht om problemen bij kleinere bedrijven en burgers weg te cijferen of zelfs domweg te negeren.
Kleine bedrijven die de beveiliging ook niet op orde hebben worden ook regelmatig over geklaagd, het is voor Tweakers alleen niet interessant om te melden dat Harry's Viskar zijn administratie op zijn NAS thuis zet over open wifi van de Starbucks :+
Betekent niet dat daar geen mensen over klagen/adviseren aan die Harry etc.
Als je zegt:
Het is wel erg makkelijk natuurlijk om grote bedrijven en de overheid de zwarte piet toe te spelen
Suggereer je daar toch wel mee dat de overheid wat meer ruimte verdient dan ze nu krijgt? Iets met verantwoordelijk zijn voor je eigen land en daar dan ook naar handelen ipv gegevens van je eigen burgers op straat te gooien...
Waar haal je die suggestie vandaan :?
Het enige wat ik zeg is dat het weer erg simpel en kortzichtig is om te zeggen dat overheden en grote bedrijven hen beveiliging niet op orde hebben, en de kleinere bedrijven en burgers maar even buiten beschouwing te laten. Alsof die wel hun beveiliging op orde hebben. Iedereen moet gewoon zijn beveiliging op orde hebben. Dat staat buiten kijf.
Punt is dat de grote bedrijven en al helemaal de overheden hun beveiliging goed MOETEN hebben, geen excuses geen belachelijk domme fouten/acties zoals hier wederom gebeurt is...
Zij hebben de middelen, mankracht en het geld om dat goed te regelen, ze hebben geen enkel excuus om het niet goed te regelen, al helemaal niet een excuus om bijna expres de gegevens uit te delen aan derden...
Dat kleine eenmanszaken ook hun zaken goed op orde moeten hebben staat daar los van en is gewoon offtopic, dus wat is je punt daar dan exact? Dat individuele burgers slechte wachtwoorden gebruiken dus voordat we kwaad worden op de overheid voor het verprutsen van SSL certificaten we eerst Harry zijn wachtwoord moeten laten veranderen van '1234' naar iets beters?...
Ik zeg enkel dat het makkelijk afgeven is op iets wat altijd in het nieuws is, terwijl het op alle andere plekken niet veel beter gaat.
Ik ben het met je eens dat IT overal bagger is, niet alleen bij de overheid. Ik geloof zelfs niet dat het bij de overheid significant anders is, al zijn overheidsprojecten vaak relatief groot en ingewikkeld.
Maar, daar staat tegenover dat de overheid speciale plichten n speciale mogelijkheden heeft. De overheid maakt de regels, heeft veel geld beschikbaar, en is niet gebonden aan aandeelhouders die op korte termijn winst willen zien (al zijn burgers en pers ook niet makkelijk).

Wat ik de overheid (in het algemeen) wel verwijt is dat ze, nog steeds, niet snappen hoe complex IT is en hoe groot de belangen.
Bedrijven zijn onderhavig aan de waanzin van de markt. Als niemand voor beveiliging wil betalen dan moet jij ook wel onveilig werken, anders zit je zonder werk. Overheden kunnen zo'n situatie doorbreken. De overheid had zich hier eerder mee moeten gaan bemoeien, net zoals ze zich ook bemoeien met de veiligheid van onze huizen, auto's, voedsel, water, electriciteit, etc...
Er zijn inderdaad veel mensen bij de overheid die ICT in zijn algemeenheid onderschatten. Dat komt mede door bezuinigingen op inhoudelijk personeel, veel wordt uitbesteed om de kosten te drukken. Mensen met kennis van zaken inhuren kost geld, en dat is er vaak niet. Budgetten overschrijden door inhuur van geschikte mensen komt ook weer in de krant, dus daar is de gemiddelde ambtenaar ook niet happig op. Budgetten verhogen zijn binnen de overheid trage processen over vele schijven, en juist in de ICT gaan de ontwikkelingen snel. Daardoor loopt de overheid vaak achter.

Ik werk zelf bij een overheid, dus ik weet wel een beetje hoe het gaat. Af en toe schaam ik me dat ik ambtenaar ben. Ik hoop dat ik er eentje ben die wel weet waar hij het over heeft :P. Maar ik weet inmiddels ook dat we een systeem hebben dat inherent is aan hoe we allemaal willend dat er wordt omgegaan met ons belastinggeld. Er mag geen misbruik van worden gemaakt, dus laat je veel mensen meebeslissen. Gevolg: trage processen.
Bij bedrijven heb je een keuze om je (juiste) gegevens te verstrekken, bij de overheid heb je die keuze niet.
Ja, want ik laat mijn bestellingen ook altijd leveren opeen wildvreemd adres en betaal met ee fictieve kredietkaart.
Maar je kunt wel bij een ander bedrijf bestellen als het bedrijf z'n zaakjes niet op orde heeft. Of als je consument bent: gewoon in een winkel kopen met cash ipv via internet bestellen, dan laat je helemaal geen gegevens achter en kunnen ze ook niet lekken.

Zelf let ik altijd op de technische kwaliteit van een site voordat ik er ook maar 1 klein gegeven van mezelf achterlaat. Geen https? Geen deal. (https is slechts een voorbeeld, er zijn er nog veel meer, zoals het gebruik van Flash of het niet functioneren wanneer third-party tracking geblokkeerd wordt)
Klopt, bij overheden zou het altijd goed moeten zijn in verband met hun monopoliepositie. Maar daar gaat mijn reactie niet over.
Inderdaad bij kleine bedrijven zie ik dit net zo vaak voorkomen. Databases met gevoelige gegevens die niet encrypted zijn, geen gebruik van SSL op pagina's waar het wel zou moeten, authenticatie niet op orde. Je ziet dit soort dingen alleen in het nieuws zodra het goed fout gaat.
Die vergelijking lijkt me totaal irrelevant.
Je eigen beveiliging niet op orde hebben, of het daadwerkelijk niet erg vinden, is een persoonlijke keuze. Als je wilt, kun je dat goed geregeld hebben.
Bij bedrijven of overheden die nalatig (of onkundig) zijn en je gegevens zo op straat gooien heb je nauwelijks (of bij die laatste geen enkele) grip op.
Je mag beter verwachten.
Ik vind het niet juist om dit op de mensen zelf af te schuiven. Je hebt gelijk dat mensen voorzichtiger en bewuster moeten zijn, maar het is juist ook de taak van de overheid om privacy te waarborgen. Er wordt mijns inziens teveel begrip getoond naar overheden en grote instanties die unlike burgers, wl het grote geld hebben om beveiliging te kunnen kopen e.d. Wij moeten bewuster worden, agree, maar het is niet juist om mensen die dat niet zijn dan te bestempelen als eigen schuld dikke bult.
Voor mij klinkt dat hetzelfde als "ziek zijn is een keuze", je kunt immers gezond eten en sporten.
Je snapt mijn reactie niet helemaal. Ik reageer op je zinsnede "alweer zijn het just de overheidsinstanties en de grote bedrijven die privacybeleid niet op orde hebben". Dat is pertinent onwaar. Het zijn niet juist de overheidsinstanties en grote bedrijven die het niet op orde hebben, het zijn juist de overheidsinstanties en grote bedrijven die ermee in het nieuws komen. Maar ook bij kleine bedrijven en burgers is het niet op orde. Maar dat vergeet je al dan niet bewust, omdat dat niet in het nieuws komt. Zoals jij het nu brengt is het weer makkelijk schoppen tegen de overheid en grote bedrijven. Beetje simpel. Er zou tegen iedereen geschopt moeten worden die het niet goed voor elkaar heeft.
Wat kun jij een grote onzin schrijven! Juist van de overheid die de privacyregels in wetten vervatten, mag je verwachten dat zij hun zaakjes goed op orde hebben. Van hen mag je verwachten dat, voordat zij alle privacy gevoelige gegevens, nota bene in de cloud zetten, zij er goed over hebben na gedacht. Dat er burgers en ook kleine bedrijven zijn die hun zaak omtrent wachtwoorden en beveiliging niet op orde hebben, is absoluut juist maar dat heeft hier niets mee te maken! Het zijn juist overheden en grote bedrijven die de meeste mogelijkheden hebben om de zaak goed te beveiligen en niet klakkeloos aan n of ander goor bedrijf uit te besteden. Daar gaat het hier om. En wanneer burgers zich niet goed beveiligen, kunnen ze zelf worden getroffen, maar wanneer een overheid de zaak niet op orde heeft treffen ze niet alleen zich zelf maar ook hun anderen, hun burgers!
Wel met je eens hoor, maar vaak (niet altijd!) is de impact bij grote bedrijven groter.

Maar los daarvan: dit was wel echt een grote flater.
Het verschil is dat kleine bedrijven een fors beperktere impact hebben bij dit soort knulligheden. Een klein bedrijf als een webshop voor, ik noem maar wat, raspberry pies, zal hooguit enkele duizenden klantgegevens hebben met enkel naw-gegevens van burgers die vaak niks speciaals doen.

Nu worden er gegevens gelekt inclusief identificatiegegevens, dat is wel even next-level. Als zo'n webshop mijn klantgegevens zou lekken, en die kans is aanwezig, liggen mijn naw-gegevens op straat. Daar kan een hacker niet direct veel mee. Passwords (tenzij je voor de belangrijkste accounts aparte gebruikt), creditcardgegevens, id-gegevens, foto's, en dan nog de zwakkere personen (zoals de defensiepiloten, enz.) zijn vele malen vatbaarder dan mijn eigen naw-gegevens (heck, ze staan vaak in een telefoonboek).

Ik lig er niet direct wakker van als mijn naw-gegevens op straat liggen. Ja vervelend maar kans op misbruik is nihil, imho zouden deze gegevens zonder verdere identificatie niet mogelijk moeten zijn om veranderingen te maken aan overeenkomsten wat dus wl gebeurd.

Zie dit artikel: https://motherboard.vice....l-neppost-en-afsluitingen

Blijkbaar is een postcode en huisnummer genoeg om je boetes, aankopen enz. maar te laten goedkeuren op dat adres. Het zou fijn zijn als daar een verificatiestap tussen zat... (en die postcode laten vervallen voor die bewoners daar, dit is echt matig).
De overheid legt de burger en bedrijven allerlei beperkingen en boetes op voor het omgaan met privacy gevoelige data maar gooit er zelf met de pet naar!

Daarom moet dit soort dingen breed uitgemeten worden en de burgers moeten hier tegen in verweer komen!

[Reactie gewijzigd door ArtGod op 24 juli 2017 18:49]

Nuancering gebeurt bij Nederlandse grote bedrijven net zo goed.
Wat een raar antwoord is dit.
DE OVERHEID (lekker bashen) doet alles fout!!!!

Maar nu heeft de overheid gekozen het te outsourcen, omdat het bedrijfsleven een miljoen keer beter is en er ontstaat een lek door het falen van het bedrijfsleven. (IBM en NCR)
En nu heeft de overheid het weer fout gedaan?!?! (Praat geen poep man)

Waar mensen werken (Ja ambtenaren werken niet,zo) worden fouten gemaakt en dat kan iedereen dus overkomen.
Als onze gemeente een nieuw logo nodig heeft, worden er zulke specifieke voorwaarden gesteld aan iedereen die in aanmerking wil komen voor de opdracht, dat alleen al het voorbereiden van zo'n offerte DAGEN werk is.

En dan zou zo'n veel grotere / belangrijkere / professionelere afdeling van de overheid 'vergeten' te checken dat een van de basisbeginselen nageleefd wordt…

Natuurlijk maken mensen fouten maar niet van het niveau 'onze nationale database werd uitbesteed, er zijn 25 vakbekwame mensen twee maanden mee bezig geweest maar niemand kwam ooit op het idee om de privacy te checken.'

Sorry hoor, maar het is niet voor niets dat het complete bestuur opgestapt is.
Tegenwoordig moeten gemeentes aan de BIG voldoen en daarbij moet bij bijv. SAAS er een bewerkers overeenkomst worden opgesteld.
Gangbaar gedrag kijk maar eens op tenderned rond hoe de aanbestedingen opgesteld zijn En durf dan later eens te vragen wat er aan de invulling gedaan is.
Het heeft niets meer met de professionaliteit en omvang van afdeling te maken, de cultuur is er niet.
Het moet goedkoop en als het maar werkt is het goed genoeg
In Zweden heb je sowieso veel van de overheid de vrezen want die mensen geven hun land praktisch weg.
Het heeft niets met niets te verbergen te maken, dit soort overheidsdatabases horen ten eerste niet buiten het land van oorsprong opgeslagen te worden en ten tweede niet in handen van commercile/onafhankelijke 3e partijen te bestaan. Dit had nooit bij een IBM neergezet mogen worden.

Daarnaast heeft Zweden een persoonlijkidentificatienummer-systeem waar 1940 Duitsland jaloers op zou zijn en waar alles aan is gekoppeld. Dus de lek van deze database heeft gevolgen die veel verder strekken dan waar het op afstand op lijkt. Zo is het natuurlijk te zot voor woorden dat het transportagentschap ook data over veroordeelde criminelen in hun database heeft staan. Typische gevolgen van landen waar de overheid denkt dat ze bigbrother moeten spelen en allerlei gegevens bijhoud en opslaat die totaal overbodig zijn voor de kerntaak.
Inderdaad, wat een hondsbrutaliteit! Wanneer houden idioten eens op met: ik toch niets te verbergen! Wat een halve garen!
Ik heb bij verschillende onderdelen van de Zweedse overheid deels een kijkje in de keuken kunnen nemen op IT gebied. Ze doen hun best maar is op veel fronten om te huilen qua security. Sharepoint op http draaien, netscalers met versie 9 nog aan het internet hangen, etc.
Aan de andere kant hebben ze wel weer zaken op orde, zoals alle logins met smartcard en robuuste security producten (ik wil niet teveel in details treden). Voor zover ik weet is er een ban op het gebruik van cloud services bij de zweedse overheid dus verbaasd dit verhaal mij heel erg.

De Nederlandse overheid is overigens niet veel beter (daar heb ik ook vaak een kijkje in de keuken), behalve dat in Zweden zaken snel geregeld kunnen worden en in Nederland zaken weken/maanden kunnen duren voordat een change er doorheen is.
Een ban op cloudservices lijkt mij met de huidige wetgeving onmogelijk. Als een kortdurend contract beter is dan een vast contract, dan ben je soms zelfs verplicht om het kortdurende contract te kiezen.
Toch is het zo, ze hebben een ban op cloud services daar. Ik kan niet in details treden met een voorbeeld maar zo heeft een bepaalde vendor een deal verloren en "wij" de deal gekregen. Deze vendor was deels cloud based.

[Reactie gewijzigd door Razwer op 24 juli 2017 09:20]

Een ban voor cloud bij de overheid lijkt mij logisch.
Alhoewel het natuurlijk wel afhangt wat voor data het is.
Bij veel bedrijven hoor ik dat ze steeds meer in de cloud gaan doen en voornamelijk de ict managers lijkt het niet uit te maken dat het om prive data gaat. Die discussie willen ze niet eens aangaan. Vooral de us freedom act baart mij iig zorgen.
GDPR zal de managers daar waarschijnlijk wel anders over laten denken.
4% van de Bruto omzet als bedrijf aan boete voor een overtreding wil je wsch. ook niet.
Bij 25 boetes is je omzet 0.
Dat is niet hun boete.
Daar moet juridische afdeling naar kijken
Dat kan best, maar zo wordt een manager wel erg duur. Bruto omzet is wereldwijde bruto omzet...
Dat loopt voor een Google/FB in de miljoenen per keer.

Mogelijk toch iets om je in te verdiepen die GDPR.. Het treeds komend jaar in werking, het is in heel de EU verplichte kost. En het gaat over elk stukje data waarmee een persoon is te herleiden/identificeren.
Je bent ook verantwoordelijk als je het uitbesteed aan anderen en data MAG gebruikt worden voor het doel waarvoor je toestemming hebt gehad.
Dus een mailadres voor facturering mag niet voor marketing gebruikt worden etc.

En ik denk dat een manager die verantwoordelijk is voor x*4% omzet verlies best wat heeft uit te (x > 0) leggen.
Dat is heel vreemd. Want ik zou, als het om privacygevoelige data gaat, eerder kijken naar de beveiliging, encryptie en andere belangrijke requirements. De contractduur zou in dat geval geen grote rol moeten spelen en het feit dat er een kortlopend contract aan hangt mag geen reden zijn om een bepaalde dienst te verbannen. Kortlopende contracten kunnen in veel gevallen net zo geschikt zijn. Als je cloud al afwijst om die reden, dan ben je mijns inziens niet heel slim bezig. Er zijn zat cloudmogelijkheden met behoud van datadragers en er zijn zat noncloudmogelijkheden zonder behoud van datadragers.

[Reactie gewijzigd door Trommelrem op 25 juli 2017 13:55]

"Een ban op cloudservices lijkt mij met de huidige wetgeving onmogelijk" Ja maar de overheid is wel verantwoordelijk voor haar privacyregels. En of ze dat via de cloud of via eigen opslag mogelijk maken, maakt dan niet uit! Het wordt echt tijd dat de verantwoordelijken strafrechtelijk worden vervolgd!
Ben het met je eens, het probleem is dat niet de juiste mensen binnen de overheid op de juiste plek zitten. Het is allemaal vriendjespolitiek en men mist juist de expertise of mensen met een pragmatische kijk op de zaak, gezond verstand. Het is niet wat je weet maar wie je kent wat de norm is van het aannemen van mensen, gelukkig ook niet overal :)
Het zijn niet zozeer de mensen, k bij de NL overheid zitten op IT gebied hele capabele mensen, het is het systeem wat verrot is. Niet alleen op ICT gebied, maar overal.

Ergens is ooit besloten dat je managers kunt opleiden als manager, zonder vakinhoudelijke kennis. En dr is het misgegaan. De beslissingen worden nu genomen door mensen die geen idee hebben waar ze nu eigenlijk over beslissen, zuiver varen op wat derden (met een agenda) hun vertellen en wat in hun sociale netwerk populair is.

Dit verhaal is daar een mooi voorbeeld van, de 'cloud' is zo'n heerlijk buzzword en ineens moet alles 'de cloud' in. Terwijl men geen benul heeft wat 'de cloud' eigenlijk is, waar het voor staat, en wat de voor- en nadelen zouden zijn van iets in 'de cloud' zetten. Dat interesseert ook helemaal niemand, op een feestje bekt 'we zijn bezig met een cloudmigratie' nu eenmaal lekker, en ach, je moet toch iets doen om weer een regeltje aan je CV te kunnen toevoegen.

Begrijp mij niet verkeerd, ICT in handen van alleen ICT-ers, zou ook een volstrekte ramp worden. Je moet dus een soort middenweg zien te vinden. Ikzelf geloof heilig in doorgroeien. Je neemt als bedrijf zeg 10 junioren aan als devvers, die groeien door, en ergens in hun carrierepad zal blijken dat van die 10 er 1 of 2 geschikt zijn als manager, en die laat je doorgroeien. Zo krijg je mensen die inhoudelijk ook beslagen zijn.

We moeten per direct elke vorm van managemens-opleidig, bestuurskunde, en al die bullshit, afschaffen. Je zou dat hooguit als extra-curriculair naast het bestaande werk kunnen doen, maar het hoort geen basisopleiding te zijn.

We zitten nu in een IT landschap waar het gros der 'managers' maar wat aanklooien en achter buzzwords aanrennen. De meesten hebben geen benul wat ze doen, of waarom, doen het alleen maar 'omdat anderen het ook doen'. Cloud en Scrum zijn op dit ogenblik de woordjes waar elke manager een harde plasser van krijgt. Terwijl Scrum in 90% van de gevallen zelfs de verkeerde keuze is, KANBAN is meestal beter.

[Reactie gewijzigd door BritzFox op 24 juli 2017 09:52]

Begrijp mij niet verkeerd, ICT in handen van alleen ICT-ers, zou ook een volstrekte ramp worden. Je moet dus een soort middenweg zien te vinden. Ikzelf geloof heilig in doorgroeien. Je neemt als bedrijf zeg 10 junioren aan als devvers, die groeien door, en ergens in hun carrierepad zal blijken dat van die 10 er 1 of 2 geschikt zijn als manager, en die laat je doorgroeien. Zo krijg je mensen die inhoudelijk ook beslagen zijn.

We moeten per direct elke vorm van managemens-opleidig, bestuurskunde, en al die bullshit, afschaffen. Je zou dat hooguit als extra-curriculair naast het bestaande werk kunnen doen, maar het hoort geen basisopleiding te zijn
Ben zo blij dat ik in het buitenland precies dit heb. Hoef niet eens manager te worden om door te groeien of een project te leiden maar als ik het zou willen is er de mogelijkheid voor. En iedereen boven mij (behalve 1 persoon denk ik) hebben jarenlange code/industrie ervaring :).

Dit is ook de reden waarom ik niet voor een baan in NL heb gekozen. Zou best willen maar hoor heel veel van dit soort verhalen van mijn studiegenoten die in NL gebleven zijn.

[Reactie gewijzigd door rijk0214 op 24 juli 2017 10:25]

In welk land werk je? Is het daar structureel anders? Of alleen bij het bedrijf waar jij werkt?
We moeten per direct elke vorm van managemens-opleidig, bestuurskunde, en al die bullshit, afschaffen. Je zou dat hooguit als extra-curriculair naast het bestaande werk kunnen doen, maar het hoort geen basisopleiding te zijn.
Dit is wel een erg belachelijke oplossing vind je dit zelf niet. Ik ben ook een voorstander van meer kennis bij degene die de beslissingen moeten nemen. Maar je ziet toch dat veel CEO's van grote bedrijven een managementopleiding hebben gehad en daar deze managers/CEO's in tegenstelling tot de overheidsambtenaren wl worden afgerekend op hun winsten en een Raad van toezicht boven zich hebben zitten is het volslagen idioot om alle managementopleidingen weg te zetten als overbodig. Wellicht dat bestuurskundigen niks te zoeken hebben in het management in de ICT, daar kan ik niet over oordelen, maar dat zulke opleidingen elders wel van nut kunnen zijn is duidelijk.
Eh? In welke wereld leef jij? CEO's die verantwoording afleggen? Waar dan? Not happening, dude.

CEO's is CV-bouwen. 2-3-4 jaar ergens zitten, projectjes starten, stempeltje erop zetten, naam maken, weggaan naar nieuwe functie, anderen de shit laten opruimen.

Noem mij n CEO van een groot bedrijf die al 15 jaar op z'n plek zit. Die zijn er wel hoor, maar zr zeldzaam.

Wat je niet begrijpt; ik ben niet tegen een managementsopleiding. Maar dan als na-schoolse studie. Dus eerst aan het werk in het vakgebied waar je manager wil worden, en dan tegen de tijd dat je er rijp voor bent, managementsskills erbij leren.

Mensen die van het VWO naar een bestuurskunde-opleiding gegaan zijn en dan met 24 jaar afgestudeerd aan het werk gaan als manager, dt is pas onzin belachelijk en bullshit.
Ik leef graag in de wereld van de marktwerking. En ondanks de geringe "inhoudelijke technische" kennis is dat geen belemmering om een CEO te kiezen uit de management-wereld voor veel grote bedrijven. En ja, alle CEO's staan onder grote druk van de aandeelhouders...reken daar maar op.

Dat is dan ook 1 van de redenen dat ze korter in dienst zijn dan de gemiddelde werknemer, zij worden heel snel ergens op afgerekend. Maar dit is ook makkelijk te verklaren vanuit het feit dat de chemie na een tijdje op kan zijn. Iemand die het beleid uitstippelt voor een bedrijf wil vaak een doel hebben om naartoe te werken en als dit na enkele jaren wel gelukt is wil hij een nieuwe uitdaging, en anders hebben ze vaak geen reden om aan te nemen dat het nog wel gaat lukken. Ook die cijfers vallen trouwens wel mee, 23% van de CEO's zit wl langer dan 5 jaar op dezelfde plek (bron: http://eu-a.demo.qlik.com...ument=demo%2FDutchCEO.qvw).

Een reden waarom een op zichzelfstaande studie voor bedrijfs-/bestuurskundigen wl nuttig is, is omdat het vaak ondernemende types zijn die gevoel hebben voor zakendoen die zich tot deze opleidingen richten. En ondernemerschap is toch echt een vak apart, hoe hard je ook gaat zeggen dat het niet zo is. Al zal dat in de IT wereld misschien anders worden gezien, een simpele zoektocht op internet bevestigt de gedachte dit wel zo is.
Je leeft in een fantasiewereld. Als er n groep is die nergens op wordt afgerekend, zijn het de CEO's wel. Sure kan men bij een bepaalde positie door de aandeelhouders 'gewipt' worden, dan krijgen ze een lekkere zak geld mee en gaan ze gewoon elders verder.

Als je wil zoeken op internet, er is fors meer bewijs te vinden van managers die opstappen en de rotzooi achterlaten, om gewoon bij een ander bedrijf weer verder te gaan. Het old-boys netwerk bestaat gewoon nog steeds.

Slechts 23% zit langer dan 5 jaar op n plek. Dat zijn toch bedroevende cijfers, dat geeft toch al ruimschoots aan dat wat ik zeg gewoon klopt.

Ondernemerschap is zeker een vak apart, daar hebben we geen discussie over. Alleen heeft managen in een middelgrote onderneming niets met ondernemen te maken. Daarbij zijn het helemaal niet de ondernemers die een managementstudie gaan doen, die gaan ondernemen.

De mensen die managementsstudies gaan doen, doen dat omdat ze niet weten wat ze willen worden later als ze groot zijn, niets kunnen, of denken baas te worden en veel geld willen verdienen.

Ik moet het eerste krantenartikel nog tegenkomen van een falende manager die verantwoording aflegt, z'n baan kwijtraakt, bonus moet inleveren, en niet meer aan het werk komt als manager. Not gonna happen.

Wat ik wl lees in de kranten, zijn falende managers, die ondanks het falen de bonus mogen houden, en gewoon bij een ander bedrijf in een soortgelijke functie verder mogen prutsen.

Geen idee op welke planeet jij leeft, maar een planeet waarin hoger management daadwerkelijk verantwoording moet afleggen en ook consequenties van hun gefaal moeten dragen, zou ik graag eens bezoeken. Die planeet heet niet 'aarde'.

[Reactie gewijzigd door BritzFox op 24 juli 2017 12:59]

Dat er in Nederland ontslagbescherming is geldt niet alleen voor managers. Een ICT'er die compleet ongeschikt blijkt voor zijn werk en kostte wat kost de organisatie uit moet worden gezet, zonder dat er gegronde redenen zijn voor ontslag, kan net zo goed contractueel een ontslagvergoeding regelen. Alleen zijn zulke mensen op de werkvloer simpelweg veel makkelijker vervangbaar.

Maar waarom krijgen die hoge managers dan wel die ontslagvergoedingen? Want ze hebben grotendeels alleen een managementopleiding, die moeten dan toch ook super makkelijk vervangbaar zijn? Dan blijkt toch dat er wel even wat meer bij komt kijken dan zo'n opleiding om het zo ver te schoppen binnen een bedrijf. Want anders zouden RvT'en toch niet akkoord gaan met zulke ontslagvergoedingen in contracten? Als al die duizenden "mensen die managen omdat ze niet weten wat ze willen worden later" toch alleen maar kunstmatig in dat wereldje worden gehouden.

Het is gewoon een compleet belachelijke stellingname om het gros van de bedrijven in Nederland zo te veroordelen voor hun keuzes om managers met een managementopleiding aan te stellen. Je overschat jezelf hiermee schromelijk. En ja, managers moeten echt wel verantwoordelijkheid afleggen. Maar omdat dit proces traag gaat en ze lastig te controleren en af te rekenen zijn, wordt er ook steeds meer gebruik gemaakt van het verkopen/vergeven van aandelen aan managers.

Edit: alleen al het feit dat managers korter op hun plek blijven zitten dan de gemiddelde werknemer is trouwens een bewijs dat managers wel degelijk afgerekend worden. Je argumenten spreken elkaar gewoon tegen.

[Reactie gewijzigd door nino_070 op 24 juli 2017 13:20]

Je leeft echt volledig buiten de maatschappij. Het gaat niet om ontslagvergoedingen, maar om bonussen, oa.

Dat mangers kort op hun plek blijven zitten is juist het bewijs van wat ik zeg. Een jaar of 2-3 ergens zitten, stempeltje drukken, CV bouwen, en dan weggaan en de anderen met rotzooi laten blijven zitten.

Je bent ongetwijfeld manager. Alleen managers komen met dit soort onzin aan.
Wat ik wl lees in de kranten, zijn falende managers, die ondanks het falen de bonus mogen houden, en gewoon bij een ander bedrijf in een soortgelijke functie verder mogen prutsen.
Dit gaat toch duidelijk over ontslagvergoedingen. Prestatiebonussen worden gegeven op basis van behaalde winsten en dus koersstijgingen enz. Ik zie niet in wat daar mis mee is.

En nee, helaas, ik ben geen manager. Zegt wel weer genoeg dat je je verlaagt tot een persoonlijke aanval en je je toevlucht meermaals zoekt tot drogredenen en overtredingen van de discussieregels. :+
Nee het gaat over het geheel. Ontslagvergoedingen, prestatiebonussen enzovoort.

Het punt is; als jij als CEO faalt, heeft dat voor jou persoonlijk nul consequenties. Je ontslagvergoeding zal fors zijn, je prestatiebonus (ook al heb je dus duidelijk niet gepresteerd) mag je houden, en je gaat gewoon bij het eerstvolgende bedrijf in dezelfde positie aan de slag.

Ga dat nu eens vertalen naar een uitvoerende in het midden van een bedrijf, die gewipt wordt wegens niet presteren. Die zal een naar verhouding marginale ontslagvergoeding krijgen, als ie dat al krijgt, en dan is het klaar.

De bankencrisis (oa) heeft dit toch schitterend laten zien. Zelfs banken die door mismanagement zo gefaald waren dat ze staatsteun nodig hadden, hebben in datzelfde jaar gewoon nog bonussen uitbetaald aan de top. Dat gaat zelfs zo ver dat men getracht heeft deze terug te halen, maar dat gewoon niet kan.

Als er toch iets is wat glashelder en bewezen is, is het wel dat CEO's vrij van elke vorm van verantwoording afleggen zijn. Dat falen als CEO (als we het over middengrote bedrijven hebben) voor die persoon z'n carriere echt van nul en generlei invloed is.

Jij zit teveel vast op 'ja ze kunnen door aandeelhouders..'. Alsof hun dat boeit. Dan werken ze vandaag voor bedrijf X en morgen voor bedrijf Y. Dat is geen verantwoording afleggen.

Overigens; ik geef zonder meer toe, maar het drogredeneren en ad hominem begon bij jou, je krijgt van mij alleen terug wat je er zelf insteekt ;)
Geloof je het zelf, voor nul van invloed op hun carriere. Het werkt zo als een CEO wordt benoemd: de RvT die is voorgedragen door aandeelhouders en die dit veelal belangeloos doen gaat de kandidaten beoordelen. Daar wordt uiteraard meegenomen waar de kandidaat eerder heeft gewerkt/CEO is geweest. En laten nou net de jaarrekeningen van al die bedrijven bij de KvK liggen. Dus genoeg reden om aan te nemen dat een CEO die hopeloos heeft gefaald moeilijk dezelfde functie bij een ander bedrijf krijgt.

Bankencrisis ander verhaal, heel de westerse samenleving heeft deze "bubbel" niet goed ingeschat. En de managers werden daar juist te veel gepusht door dat bonussysteem in Amerika.

En waar maak ik me dan schuldig aan drogredenen?
Is geen kwestie van geloof. Lees eens een krant. Bijna wekelijks komen er voorbeelden van de hogere CEO-stoeltjesdans voorbij. Als je dat ontkent, is het zinloos nog verder te praten.
hm. als na het ontvangen van de bonus blijkt dat de korte termijn strategie gewerkt heeft, maar het bedrijf er op de lange termijn een andere uitdaging voor gekregen heeft hoeft de bonus niet terug???

Het zou anders zijn als de bonus in een fonds gestort wordt dat als de verbetering minimaal 5 jaar later nog steeds als positief beoordeeld wordt (met 20/20 hind-sight) pas uitgekeerd wordt.
En bij niet positief beoordeling zal het bedrag teruggestort worden naar het bedrijf...
Mogelijk dat er dan iets positiefs uit kan ontstaan.

Een behoorlijk aantal bank managers die voor de crisis hun bonus mochten opstrijken (in het kader van dun uitsmeren van Rente/Hypotheek swaps) waren ook de oorzaak van de crisis die door Jan met de Pet betaald mag worden. Kortom die bonus was een behoorlijke kostbare Future die door de gemeenschap achteraf gesettled is.
Dat verplaatsen van het lange termijn risico naar de manager gebeurt ook regelmatig. Dan krijgt een manager de mogelijkheid om aandelen een X aantal jaar later tegen een vaste prijs te kopen, dus heeft hij belang bij koerswinst. Of hij krijgt ipv een geldbonus een bonus in de vorm van aandelen
Als op de aandelen maar de verplichting zit dat die pas verhandelbaar zijn NA 5 jaar na uitgifte.
En niet dat alle aandelen in het bedrijf bij verlaten van het bedrijf te gelde moeten worden gemaakt.
Ik leef graag in de wereld van de marktwerking. En ondanks de geringe "inhoudelijke technische" kennis is dat geen belemmering om een CEO te kiezen uit de management-wereld voor veel grote bedrijven.
Ik denk dat daar iets te veel managers graag in leven, waardoor veel dingen ten koste gaan van zaken als security of gewoon degelijke producten die een beetje toekomst vast zijn.

Ik als klant heb graag een degelijk product en wil niet dat mijn gegevens op straat komen te liggen.
Dat is dan ook 1 van de redenen dat ze korter in dienst zijn dan de gemiddelde werknemer, zij worden heel snel ergens op afgerekend.
Dus een groot gedeelte van alle CEO's doet hun werk niet goed en wordt afgerekend? Das toch wel erg beschamend. Lijkt mij niet een argument voor jouw visie.
Een reden waarom een op zichzelfstaande studie voor bedrijfs-/bestuurskundigen wl nuttig is, is omdat het vaak ondernemende types zijn die gevoel hebben voor zakendoen die zich tot deze opleidingen richten.'
Is al eerder gezegd, ondernemende types volgens vaak niet zo'n opleiding.
Die zien een gat in de markt en storten zich erop om dat idee te verwezenlijken. Dat is iets wezenlijk anders dan CEO of manager spelen.
En ondernemerschap is toch echt een vak apart, hoe hard je ook gaat zeggen dat het niet zo is. Al zal dat in de IT wereld misschien anders worden gezien, een simpele zoektocht op internet bevestigt de gedachte dit wel zo is.
1/ dit is een directe aanval van jou op IT'ers en de vorige poster die jij daar (on)bewust onder schaart?
2/ IT'ers denken daar niet anders over.
We hebben het alleen over manager niets over ondernemers.

Ps. om nu te zeggen dat elke manager een IT'ers moet zijn, is ook zwaar overdreven. Alleen omdat over IT systemen onder zitten?
Echter aangezien IT overal in zit, zou je daar wel voldoende kennis over moeten hebben als manager. En dat schort nogal vaak bij zo'n management opleiding en dat is erg jammer.

[Reactie gewijzigd door dmjdebruin op 24 juli 2017 15:23]

Exact dit! _/-\o_ Maar hoe gaan "wij" deze cultuur in hemelsnaam doorbreken? Ik ben bang dat we het ermee zullen moeten doen, want de verschillende managementlagen zullen mensen met deze mening koste wat het kost de mond willen snoeren (die ervaring heb ik althans). In het voordeel van je eigen carrire is het helaas soms beter om je mond te houden.
Alles is relatief, en bij de overheid zit een mix van hele capabele mensen en beroeps ambtenaren.
Helaas kom je "beroeps ambtenaren" (mensen die geen stap meer zetten dan nodig, 9 tot 5 mentaliteit, proces neukers) overal tegen, maar uiteraard het meest bij de overheid.
Wat bij de overheid veel mist is focus op de core business.

In het bedrijfsleven heb je wel een core business focus, en dat is soms lastig voor techneuten te begrijpen want die leven in hun bitjes en bytjes wereld. Daardoor is er snel en vaak kritiek op management, want vanuit een IT perspectief kan alles beter. Soms is dat ook zo, vaak ook ongefundeerd. Schoenmaker blijf bij de leest.
Een wat te makkelijk populair statement wat je hier maakt.

Als iemand doorgroeit naar de rol van 'manager' dan gaat ie andere taken doen dan de pure 'developer'. Ergo heeft hij/zij dus ook minder tijd om 'bij te blijven', en verliest dus steeds meer vakinhoudelijke kennis van de 'developer' kant en wat meer van de 'manager' kant. In jouw filosofie is deze manager geworden developer dus na een aantal jaar ook weer niet in staat om beslissingen te nemen.

Daarnaast lijkt het me vrij gezond dat er ook mensen zijn die de tijd nemen om bestuurskunde te studeren. En dat er ook bestuurskundig wetenschappers zijn die het vak bestuurskunde en ons begrip hiervan verder ontwikkelen. Een zooi developers komt niet erg ver als er niet een beetje organisatie en bestuur aan te pas komt op een gegeven moment. Ja, de ene heeft daar wat meer gevoel mee dan de ander. Maar op een gegeven moment is het toch wel handig om eens te bedenken hoe we met meer als 1, 2 or 5 personen (ja, een organisatie dus) iets te bereiken en hoe we dat het beste inrichten.

En het feit dat iedereen (in jouw opinie) niet gehinderd door enige kennis achter buzzwords aanrennen is des te meer reden om op bestuurskundig vlak de organisatie wat beter in te richten. Want blijkbaar lukt het de 'developers' niet om het de rest van het team/afdeling/organisatie/maatschappij/wereld duidelijk te maken wat wel of niet een goed idee is. En ondertussen maar leuk door-developen aan diezelfde buzzwords waar je tegen aan loopt te schoppen.

Dus: haal je hoofd uit het zand, pas wat zelfreflectie toe en kijk eens over je dagelijkse (werk)frustraties heen. Heeft de rest er ook nog wat aan...

Disclaimer: ik ben geen manager en heb ook geen bestuurskunde gestudeerd.

[Reactie gewijzigd door Flo op 24 juli 2017 14:06]

Je doet een hele trits aannames die nergens op gebaseerd zijn. Ik ben niet werkzaam als developer, noch als manager.

Dat terzijde, je eerste punt. Het gaat niet om vakinhoudelijk bij blijven. Het gaat er om dat mensen het werk zlf ook eens gedaan hebben. Niet zuiver theorie, maar ook praktijkervaring. Dat men na bv. 5 jaar manager geweest te zijn, de developer-vakkennis niet meer bijgehouden heeft, is helemaal niet relevant.

Je 2e alinea is een beetje zoals culturele antropologie; nog zo'n bullshitstudie. Ja een cultureel antropoloog is nodig. In een land als nederland heb je daar wellicht 2 of 3 van nodig. Toch studeren er jaarlijks tientallen af. Hetzelfde is het een beetje met het hele specifieke bestuurskundeterrein waar jij het over hebt.

Mijn hoofd zit niet in het zand. Mijn werk is vaak het opruimen van de rotzooi die anderen achtergelaten hebben (crisismanagement) waarbij ik niet bang ben om zelf ook met de poten in de modder te gaan staan, mocht dat nodig blijken. Vanuit die ervaring praat ik. Ik denk dat ik inmiddels een kleine 200 bedrijven geholpen heb/bezocht heb, en zie nagenoeg overal hetzelfde beeld.

Zelfreflectie heeft hier niets mee van doen, evenals arbeidsfrustraties. Voor mijn werk is het juist goed dat er zoveel aangeklooid wordt, daar verdien ik mijn boterham aan.
Volgens mij heeft dit wel enige nuance nodig. Als ik het goed begrijp, zijn de gegevens niet gelekt. Zijn ze alleen verplaatst naar een cloud en heeft tijdens dat verplaatsen of in die cloud er personeel toegang toe gehad heeft wat niet het NL equivalent heeft gehad van een VOG (Verklaring Omtrend Gedrag).

Ongetwijfeld heeft dat personeel wl een geheimhoudingsclausule in het contract staan, dus zo gigantisch is dit lek nog niet. Het is niet op straat gegooid of in handen gekomen van onbekenden.

Voor de duidelijkheid: ik wil het niet goedpraten. Het is een oerstomme blunder. Maar e.e.a. wel in perspectief plaatsen. Ze hebben de bestanden niet gemailed aan hackers oid.

[Reactie gewijzigd door BritzFox op 24 juli 2017 08:45]

Het interessante is dat de zweedse overheid eigenlijk geen cloud services MAG gebruiken. Misschien daarom ook de storm over dit onderwerp.
Men weet helemaal niet wat cloud is. Iedereen ouwehoert maar over 'de cloud'. Internet = de cloud. Punt.

De hele term cloud is er gekomen, omdat in overzichten altijd een wolkje werd gebruikt om 'het internet' te duiden.

Zodra iets niet op een on-premise server staat, staat het 'in de cloud'.
internet != cloud.

Cloud houdt in dat je data gedecentraliseerd ergens op het internet hangt. Het hangt niet vast aan 1 server of zelfs datacenter. Je data kan vandaag op server G in datacenter A hangen, terwijl als je morgen inlogt, kan je data van server Y uit datacenter C komen. Er is geen vaste fysieke lokatie van je data meer, een soort wolkje in de lucht op wat we het internet noemen.
Nee. Internet = the cloud.

Cloud heeft NIETS te maken met gedecentraliseerd, helemaal niets. Als ik bij TransIP een VPS afneem en daar mijn data op gooi, staat mijn data in de cloud.

Dat cloudpartijen hun services verkopen als 'de cloud' doet daar NIETS aan af.

Cloud is niets anders dan het wolkje, wat al sinds de begindagen voor 'het internet' staat. Niets meer en niets minder.
Volgens mij zijn we op zoek naar de nieuwe cloud, de 'echte' cloud genaamd blockchain. bijv het project Civic is een mooi voorbeeld van je nieuwe privacy. Je identiteit in de blockchain en helemaal van jou. Check het uit! ;)
Nope, dan snap je zelf de term niet. Dan snap ik ook wel waarom je cloud en internet als hetzelfde ziet.

1 server kan geen cloud zijn. De term cloud heeft echt alles te maken met hoe er met je data omgegaan wordt en dat deze niet meer vast zit aan een specifiek stukje hardware zoals een VPS.
Neen, cloud is niet hetzelfde als internet; en je gegevens op een willekeurige server zetten houdt niet in dat het in de/een cloud staat. Misschien ben je in de war omdat bij je CCNA Discovery cursus het internet als een wolkje werd getekend. :)
Gast, ik was al node (dus niet point) in het .512 gedeelte van wat onterecht ook wel het fidonet genoemd werd. Had in 1994 al 100mbit internet op mijn kamer op de campus van de UT.
En...?
Het wolkje staat voor internet. Cloud. 'The cloud' is niets anders dan 'het internet'. Het gaat daarbij om toegang toe en ontsluiting van gegevens. Niet langer on-premise en offline, maar on-line, in een datacentrum, aangesloten op en ontsloten door 'het internet'.
Nee. Overigens is het internet louter een medium.
Dt is de cloud. Punt. Einde discussie.
Nee.
Dat soort zaken zijn per definitie cloud based, maar dat wil dus niet zeggen dat alles wat cloud heet, ook automatisch daartoe behoort. Zelfs de website van de bakker op de hoek, staat 'in the cloud'.
Nee.
"Gast....blablabla" :') x 1000
Waarom zou zij die niet mogen gebruiken?
Precies waar dit artikel over gaat. Data is (mogelijk) beschikbaar voor derden.
Om de redenen die al breed genoemd worden in het artikel en de reacties misschien? Voornamelijk: toegang door onbevoegden (in een totaal ander land zelfs) en gebrek aan controle. Cloud is nou eenmaal hetzelfde als je gegevens naar een buitenlandse server uploaden. Van mij mogen ze het gebruiken van buitenlandse clouds in NL ook verbieden. Geen azure, google, amazon, apple, etc. De NL overheid heeft overigens ook al eigen datacentra (overheidscloud), ben de naam even kwijt (iets als rijkscloud ofzo), die zouden ze best kunnen gebruiken om alles wat nu in publieke clouds staat naar te migreren.
* niet persoonlijk bedoeld

Dit is exact dezelfde reactie als die ik veel managers / directieleden zie maken...

Jij kan het niet relativeren of weg wuiven, jij bent helemaal niet de persoon om in te schatten hoe erg dit is (je bent niet de eigenar van de data). Je moet het aan de mensen waarvan hun gegevens gelekt zijn vagen hoe erg de lek is, want alleen zij kunnen dit inschatten.

Door het gedrag van wegwuiven creer je juist een cultuur van onder het tapijt vegen.

[Reactie gewijzigd door hp197 op 24 juli 2017 09:18]

* niet persoonlijk bedoeld

Dit is exact dezelfde reactie als veel mensen uit de lagere echolons maken. Ze lezen maar half en beginnen gelijk te briesen. Heb je mijn laatste alinea ook gelezen? Ik wuif helemaal niets weg, ik zeg dat het een blunder van formaat is, ik nuanceer alleen een beetje. Niet meer en niet minder.
Ongetwijfeld heeft dat personeel wl een geheimhoudingsclausule in het contract staan, dus zo gigantisch is dit lek nog niet. Het is niet op straat gegooid of in handen gekomen van onbekenden.
Het probleem is dat men niet kan aantonen wie, wanneer, waarmee, waarvandaan, waarom, welke gegevens heeft verwerkt. Als je dit niet kan aantonen, dan moet je aannemen dat de gegevens gelekt zijn.

Hierom moet men voorzichtig omgaan met persoonsgegevens. Data is a toxic asset.
Je kunt je wel afvragen wat een transportagentschap uberhaupt met gegevens van criminelen en defensiepersoneel moet...

[Reactie gewijzigd door tvdijen op 24 juli 2017 09:29]

Vervoeren wellicht? :+
VoG is een nogal ruim begrip...( afhankelijk van de Vinkjes lijst die erbij hoort)., ik dit geval zal het waarschijnlijk met een uitgebreid persoonsonderzoek moeten zijn.
Lees het artikel eens, IEDEREEN die voor de nieuwe bedrijf werkte kon bij ALLE gegevens en de Zweedse overheid wilde dit niet BEKENDMAKEN...
Wat heeft dit met lezen te maken? Waar spreek ik dit tegen? Ik zeg alleen dat iedereen die in de ICT werkt, ook wel een geheimhoudingsclausule in het contract heeft. Het grootste probleem hier, is dat mensen niet gescreend zijn (bv. dmv een VOG) en dat men niet kan nagaan wie toegang heeft gehad tot welke gegegevens. Het is NIET zo dat de gegevens op straat lagen, ofzo.
Er werd dus niet eens gescreened.... en denk jij dat een VOG waterdicht is?
Stel.. ik noem een voorbeeld;
Pieter is 15 en steekt een paar huizen in de fik, wordt ervoor veroordeeld.
5 jaar later wilt hij de verzorging in, vraagt een VOG aan.. en hij zal die krijgen ook!
Nu praat je over lezen. Ga zelf dan ook even lezen. Het screenen en de VOG had ik al genoemd.

Nee, een VOG is niet waterdicht. Sterker nog, NIETS is waterdicht. Want ook die zwaar gescreende persoon van jou, kan doorklappen.

Het gaat ook helemaal niet om waterdicht hier. Het gaat er om dat men helemaal niet weet wie er toegang toe gehad heeft, en dat die mensen niet iets minimaals als een VOG gehad hadden.

Even voor de goede orde; ik zeg dus niet dat een VOG of zelfs een screening iets waterdicht maakt.

En als jij denkt dat de overheid mensen screened, dan droom lekker verder. Bij de overheid is die VOG voldoende.
Dat is dus onzin, als je kamerlid wordt.. dan wordt je door de AIVD gecheckt.. natuurlijk kan de AIVD jouw niet tegen houden.. maar let wel.. partijen kunnen informatie inwinnen via commissie stiekem.
Vooral als je voor de PVV uitkomt wordt je eerst verplicht gescreend.
Hoewel het erg knullig is dat bestanden over witnessprotection berhaupt ergens staan snap ik wel dat de overige data in andere EU landen kan worden opgeslagen.


Het grootste probleem is dat onbevoeg personeel erbij kon. Waarom zijn die gegevens niet versleuteld?
snap ik wel dat de overige data in andere EU landen kan worden opgeslagen.
Want? Tenzij de data gearchiveerd was met versleuteling en het sleutelmateriaal in eigen beheer was, zie ik dit als een zware fout. Binnen de EU zijn de privacyrechten tussen landen anders. Het is daarom logisch dat je als overheid persoonsgegevens van eigen burgers alleen in het eigen land verwerlt.
Het grootste probleem is dat onbevoeg personeel erbij kon. Waarom zijn die gegevens niet versleuteld?
Het grootste probleem is dat de Zweedse overheid geen controle heeft over de persoonsgegevens die verwerkt worden, en dat zij dit in het buitenland toelaten.
Wat een nonsense. Waar die data staat, maakt helemaal geen moer uit. Wie en hoe er toegang toe heeft, dt is bepalend.

Wl is het zo dat er wetten zijn mbt. data en plaatsen waar die opgeslagen mogen staan. Zolang je echter binnen de EU blijft, voldoe je daaraan.

Bij cloudleveranciers zoals Microsoft met Azure, of IBM, kun je als klant de locatie van je gegevens niet bepalen. Sterker nog, zelfs Microsoft kan jou niet garanderen op welke exacte locatie jouw gegevens staan, Azure is zo ingericht dat het systeem gegevens automatisch kan migreren naar een andere locatie. Stel jij neemt een azure account en richt dat in en toevallig staat het op dat moment op een locatie in Nederland, echter blijkt tijdens gebruik dat de meeste toegang ertoe vanuit Belgi is, dan zal Azure jouw gegevens automatisch naar een locatie in Belgi overzetten.

Hier zitten dus wel grenzen aan, gebaseerd op de wetgeving. Zo kun je wl voorkomen dat jouw Nederlandse overheidsgegevens op een Amerikaanse site terechtkomen.

De hamvraag die hier aan de kaak gesteld wordt is in feite of een overheid mag outsourcen danwel gegevens 'in de cloud' mag opslaan. Ik denk van wel.
Ik denk dat je daar als overheid ongelooflijk terughouden mee moet zijn. Als je van een richtlijn datalekken hebt, wil je als overheid met een voorbeeld functie alle controle over je data hebben en dit het liefst in eigen beheer houden.
In eigen beheer, is al een farce. De overheid heeft het toch niet in eigen beheer. Die sluit mantelcontracten af met grote partijen, die het in beheer hebben.

Wat op zichzelf ook gewenst is. Ik denk niet dat je de overheid een eigen IT bedrijf moet laten runnen, dat kunnen ze niet, en zijn ze niet geschikt voor. Laat dat lekker over aan de echte IT-bedrijven die weten waar ze mee bezig zijn (nochtans, sommige).

Natuurlijk moet je zorgvuldig met gegevens omgaan en zorgen dat de toegang ertoe gelimiteerd is. Maar het n sluit het ander niet uit.
Onzin. Als je het geld ervoor wilt betalen kun je prima kundig personeel aantrekken om deze zaken goed te regelen als overheid.
Dat is dus het probleem. Een bedrijf wat de dataopslag outsourced zal altijd goedkoper zijn dan een bedrijf wat het on premise doet bij de gemeentelijke kantoren of overheidspanden zelf.

Afhankelijk van de aanbestedingsregels kan dat dus een probleem vormen als daar niet van tevoren over nagedacht wordt in de vorm van minimum eisen.
Idd als je spreekt over fysieke veiligheid dan zijn gelukkig de meesten het nog steeds over eens: daar is de overheid voor verantwoordelijk.

Maar zodra het digitale vei!igheid en bescherming betreft dan kan het volgens verantwoordelijk bestuurders wel door (een deel van) de markt worden opgelost .

De valse naviteit, hypocrisie en incompetentie die hiervan uit gaat is pijnlijk.
Dat spreek ik dan ook nergens tegen. De vraag is alleen of je dat moet willen. En dan zeg ik, nee.

Schoenmaker blijf bij je leest. De overheid is geen IT partij, maar een IT gebruiker.
Die IT gebruiker kan toch nog steeds eisen dat de data on premise wordt opgeslagen met bepaalde encryptie voorwaarden waardoor het gebeuren alleen toegankelijk is voor mensen in het gebouw?
Alleen is het niet altijd zo eenvoudig. Ik zie IBM staan in combinatie met databases en denk onmiddellijk aan Watson. Als je dat soort diensten wenst te gebruiken ben je net afhankelijk van het datacenter van de dienstverlener
Alleen is het niet altijd zo eenvoudig.
Wat geen excuus mag zijn als het gaat om het verwerken van persoonsgegevens.
Dit is exact de reden dat ik nog steeds gewoon liever alles on-premise houd.
Cloud lijkt een forse kostenbesparing door voor een hoop minder werk en kopzorgen te zorgen, maar dat is alleen maar zo als je vervolgens niet veel tijd hoeft te besteden (lees: niet zo nauw neemt met) compliance, en tevreden bent met hooguit redelijke performance.

Cloud heeft zeker de toekomst, maar we zijn er nog niet. En met gevoelige gegevens wil je geen early adopter zijn.
on-premises .... niet on-premise. http://blog.unscramble.co...-on-premise-removing-some

Cloud kan daarnaast zeker beter draaien dan eigen hardware op lagere kosten. Alleen moet je wel goed omgaan met de resources. Meestal is de performance van de cloud wel goed, maar van de lijn tussen lokaal en cloud de bottleneck.

Daarnaast moet je in de cloud gewoon net als lokaal goed omgaan met beveiliging. Just In Time Just Enough Rights zou zowel in de cloud als lokaal gedaan moeten worden. Gegevens in de cloud kunnen ook gewoon encrypt worden opgeslagen. Zelfs bitlocker in de cloud is gewoon mogelijk.
Thnx :)

Daarnaast: kan vast, maar ik heb met behoorlijk gerenommeerde cloudpartners gewerkt en heb het nog niet zien gebeuren (tegen kosten die aanzienlijk lager waren dan een on-premises opstelling).

Wat betreft beveiliging: als je je lokale serveromgeving onveranderd migreert naar de cloud, heb je twee nieuwe uitdagingen voor jezelf gecreerd:
- er zijn een stuk meer mensen die (mogelijk met slechte bedoelingen) naar je data kunnen kijken*;
- er is een verbinding noodzakelijk van je premises naar je datacenter, die mogelijk beveiligingsproblemen kan veroorzaken.

Je hebt met cloudoplossingen in ieder geval geen uitdaging minder, maar een andere uitdaging voor jezelf gecreerd. Een kostenbesparing is dus alles behalve vanzelfsprekend, terwijl die vanzelfsprekendheid wel door veel providers zo gebracht wordt.

*voor ik hele stapels comments over encryptie, slechte beveiliging etc. over de opmerking met het sterretje krijg; ja, jullie zijn gehoord ;) Natuurlijk is dit security through obscurity. Reden dat ik er toch in geloof is als volgt:
Hier in mijn bedrijfsnetwerk zwerven een kleine 50 mensen met alles bij elkaar een kleine 100 personal computers rond (servers, printers etc. dus niet meegerekend, telefoons op de niet-guest-WiFi wl). We hebben gevoelige data en onderwerpen ons netwerk onze onderneming daarom regelmatig aan beveiligingstests (doorgestreept omdat we k de mensen scherp houden). De mens is echter de zwakste schakel; van die 50 mensen weet ik dat er slechts 5 zijn met voldoende kennis om snel en grootschalig schade aan te richten (d.m.v. datalekken of -verlies). Ook weet ik wie van de huidige en vroegere medewerkers er slechte bedoelingen heeft c.q. zou kunnen hebben, en wie er voldoende digibeet is om gevoelige informatie bij te ontfutselen.
Zou ik m'n hele omgeving bij een cloudprovider plaatsen, dan ben ik mijn compleet beeld over waar de (menselijke) risico's zitten in n klap kwijt.
Als ik dan ga vergelijken hoeveel een blackbox penetratietest me kost met wat de (regelmatiger) whitebox penetratietesten kosten, dan weet ik dat het heel veel makkelijker is om aan te vallen als je de structuur binnen een netwerk kent. Zeker als er geaccepteerde beveiligingsrisico's zijn, en die zijn er vrijwel altijd, al is het vaak maar van korte duur.

Die laatste situatie, waarbij de netwerkstructuur bekend is, je als engineer vaak ook kennis hebt van het OS dat er draait en soms zelfs welke poorten waarom open staan, is van toepassing op vrijwel alle cloudproviders.

[Reactie gewijzigd door kakanox op 24 juli 2017 12:47]

Mocht je dan ook toepassen wat je zegt, dan zou het pas goed zijn. Maar meestal houden bedrijven de zaken binnenhuis om hun stommiteiten te verbergen.
:) Laten we het hier op houden: Ik zou niet graag (al dan niet compleet met naam) op Tweakers staan als IT-verantwoordelijk bij organisatie X met een groot lek. Doe er dus alles aan wat in m'n macht is om dat te voorkomen.
Met zo'n overheid heeft je vijand geen hackers meer nodig :/
Wie weet is het moedwillig gebeurd met als reden om mass data buiten de Zweedse wetgeving om (foutje...sorry) aan te kunnen bieden aan derden...wie die derden kunnen zijn laat zich raden.

Ik kan me niet voorstellen dat verantwoordelijk bestuurders en diensten anders deze keuze maken.
Niet gehinderd door enige kennis van zaken veroorzaakt een hoop ellende.
Tjechie en servie zijn lekker goedkoop en tada een dergelijke beslissing is zomaar genomen.
Dat excuus zal ongetwijfeld gebruikt zijn.
Leuk als iemand met die gegevens leningen gaat afsluiten of dingen bestellen. Alle data is beschikbaar voor criminelen.

Ook leuk je gaat solliciteren als.crimineel maar wordt niet aangenomen want je baas las dat je ooit een keer wat gestolen had, oeps.

Wat nog het ergste is dat de regering het onder de pet wilde stoppen.
Dat zou toch een aantal mensen hun kop moeten kosten.

Wat ik me afvraag of mensen in een beschermingsprogramma een nieuw huis en identiteit krijgen of volgelvrij zijn
De Zweedse overheid houdt veel onder de pet helaas. Zo is het ook verboden voor de politie om, tot hun frustratie aan toe, bepaalde problemen met vluchtelingen te bespreken. Het aantal verkrachtingen dat extreem de pan is uitgerezen door slecht beleid mag bijv nauwelijks over gesproken worden, ik heb t vage idee dat de overheid daar denkt dat dingen stilzwijgen ervoor zorgt dat problemen weggaan; terwijl het probleem enkel erger en erger wordt. Nog even en de Zweedse burgers nemen het recht in eigen hand...
Ze doen het ergens anders gelukkig niet veel beter dan in Nederland... Wat een oenen zeg!
Dat toont maar weer eens aan dat de overheid net zo min te vertrouwen is als elke andere grote datagraaier. :(
Iemand heeft het hierboven al gemeld en ik heb ook al eerder ergens gelezen dat het UWV mijn gegevens ergens in het buitenland opslaat. Het zal wel goedkoper zijn dan in NL, maar toch begrijp ik het niet. Het schijnt ook in NL te kunnen. Aan de kosten kan het niet liggen. UWV is een overheidsorganisatie.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*