×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nederlandse regering kan niet garanderen dat UWV-gegevens niet in VS belanden

Door , 134 reacties

Minister Plasterk van Binnenlandse Zaken heeft in antwoord op Kamervragen van twee SP-kamerleden gezegd dat de regering niet kan garanderen dat persoonsgegevens van Nederlandse burgers via het UWV of een andere instantie niet in handen komen van de Amerikaanse overheid.

Plasterk zegt dat hij deze garantie niet kan geven omdat er een aantal juridische constructies zijn om persoonsgegevens aan andere overheden, zoals de Amerikaanse, te verstrekken. Zo noemt de minister de samenwerking op strafrechtelijk gebied, waarbij in het kader van opsporingsonderzoeken gegevens kunnen worden doorgegeven aan anderen landen. Een dergelijke situatie van het verstrekken van de gegevens kan ook bijvoorbeeld in het kader van belastingheffing.

De minister noemt verder niet de Amerikaanse Patriot Act of specifiek de Foreign Intelligence Surveillance Act, waarmee data van buitenlanders die in de VS is opgeslagen, kan worden opgevraagd. Hij zegt wel dat Nederland geen invloed heeft op wetgeving van buiten de EU die de Nederlandse of Europese privacyregelgeving zou kunnen doorkruisen; daardoor kan er volgens Plasterk geen sprake zijn van een volledige garantie.

In de brief erkent Plasterk dat als er gegevens op servers in het buitenland staan, er sprake is van een verhoogde kans van bemoeienis van buitenlandse overheden. Desalniettemin is de minister niet van plan om extra maatregelen te nemen om het opslaan van data op buitenlandse servers onmogelijk te maken. Volgens Plasterk kunnen overheden die data willen afschermen tegen onbevoegde inzage, kiezen voor verschillende opties, zoals het afdwingen van een opslaglocatie of goede encryptie.

Uitkeringsinstantie UWV heeft volgens de minister maatregelen genomen om ervoor te zorgen dat de persoonsgegevens die IBM verwerkt, voldoen aan de privacywetgeving. Volgens Plasterk moet IBM zich houden aan de Nederlandse Wet bescherming persoonsgegevens en heeft het UWV een beveiligingsovereenkomst met IBM gesloten.

Op dit moment loopt er een aanbestedingsproject om de datacenterdienstverlening bij het UWV opnieuw te verwerven. In de aanbesteding zijn volgens de minister uitgebreide en concrete eisen opgenomen over de beveiliging. Plasterk geeft in de brief aan dat het UWV wil dat de datacenterdiensten worden ondergebracht in de Europese Economische Ruimte. Mogelijk betekent dat dat de persoonsgegevens bij een nieuwe aanbesteding enkel nog mogen worden opgeslagen op servers die staan in EU-landen of Liechtenstein, Noorwegen of IJsland.

De vragen, afkomstig van SP-Kamerleden Hijink en Van Raak, gingen over het bericht dat Google gebruikersgegevens in buitenlandse datacentra moet overhandigen in de VS. Google moest de data van de rechter afstaan, omdat een algoritme had besloten dat het beter was de data buiten de Verenigde Staten op te slaan. Dat is een verschil met als een Amerikaans bedrijf bewust data in een bepaald land opslaat. Daardoor is het onduidelijk of de Amerikaanse overheid UWV-data op een IBM-server zou mogen opeisen.

Door Joris Jansen

Nieuwsredacteur

21-08-2017 • 21:09

134 Linkedin Google+

Reacties (134)

Wijzig sortering
Misschien vanwege betalingsverkeer?
UWV uses Basware and Kofax to process incoming invoices since January 2007. UWV’s invoices are digitally approved by nearly 1,200 budget holders. Annually, UWV processes more than 200,000 invoices in combination with PeopleSoft.
bron
Kofax TotalAgility is deployable on the Microsoft Windows Azure platform allowing clients to combine the high availability, power and scalability features of Azure with Kofax's industry leading BPM and Dynamic Case management suite.
bron
Use your unique configuration of PeopleSoft applications, customizations, and data. Let Oracle handle the hardware and storage.
bron

[Reactie gewijzigd door MrHankey op 21 augustus 2017 21:25]

Het is heel simpel, in het contract staat gewoon dat je een fixe boete krijgt als je de gegevens afstaat aan Amerika of welk ander land dan ook.

De keuze is dan of je als bedrijf het werk wil aanbesteden.

Daarnaast per definitie een verbod op geheimhouding van dergelijke acties. En altijd directe toegang tot alle logging van gegevens door de NL overheid.

Tja helaas is het nodig om contracten te maken die mogelijk tegen wetgevingen van andere landen in gaan. Maar je moet je eigen data beschermen.

Doe je dat niet hoor je in mijn ogen geen ministerspost te vervullen.
Het is heel simpel, in het contract staat gewoon dat je een fixe boete krijgt als je de gegevens afstaat aan Amerika of welk ander land dan ook.
Super kort door de bocht, je zou zo bij de overheid kunnen werken. Die houden wel van verantwoordelijkheid afschuiven. Gelukkig lukt ze dit in 2018 niet meer. Met de GDPR kan ik als burger de overheid verantwoordelijk houden voor het misbeleid wat ze maar erg vaak voeren:
https://en.m.wikipedia.or...ata_Protection_Regulation
De keuze is dan of je als bedrijf het werk wil aanbesteden.
Het is geen bedrijf, het is de overheid. Burgers staan hier voorop in het belang.
Daarnaast per definitie een verbod op geheimhouding van dergelijke acties. En altijd directe toegang tot alle logging van gegevens door de NL overheid.
Tja helaas is het nodig om contracten te maken die mogelijk tegen wetgevingen van andere landen in gaan. Maar je moet je eigen data beschermen.
Doe je dat niet hoor je in mijn ogen geen ministerspost te vervullen.
Je kunt vanalles willen of eisen maar als jij je data opslaat in een ander land dan gelden de regels van dat land. En daar gelden ook weer regels dat dit niet naar buiten mag worden gebracht.

Daarom is de GDPR ook goed voor ons als burger. Ze kunnen proberen alles af te schuiven maar ze zijn nu gewoon de sjaak wanneer er iets lekt. Wij als burger vertrouwen erop dat de overheid (of ieder ander) correct omgaat met onze data. Geen afschuifsystemen, gewoon hun verantwoordelijk.

Uiteraard zullen er eerst een paar ministers op het hakblok moeten komen voor ze het snappen maar dat komt wel...
De overheid is helemaal niet de zaak als er iets legt, want ze kunnen zichzelf geen boete opleggen. Daarnaast is de hoogte niet te bepalen omdat er bij de overheid geen winst wordt gedraaid (althans, dat zou niet mogen)
Dat vormt geen probleem: de rechtbank kan de overheid wel een boete opleggen. Rechtbanken doen dat trouwens met regelmaat.

In België in ieder geval wel maar zo ver ik weet heerst er ook in Nederland een zogenaamde scheiding der machten. Dat houdt in dat rechtspraak een macht van de rechterlijke macht, en niet van de wetgevende of uitvoerende macht is. Wil de wetgevende macht daar iets aan doen, dan zal ze eerst in het parlement op democratische manier de wetten wat dat betreft moeten wijzigen. Lukt ze dat niet (en de scheiding der machten opheffen is typisch iets dat niet meteen zal lukken, ook al niet omdat dan half de Europese Unie op zijn kop zal gaan staan tegen Nederland), dan blijft het hoogste rechtsorgaan tot nader order de rechterlijke macht. Met andere woorden kan de overheid wel beboet worden.
En waar gaat de boete vervolgens heen? Naar dezelfde staatskas?
Dan heeft het toch totaal geen nut.
Of gaat die boete gewoon naar /nul?
Of naar de gerechtelijke staat? Of vloeit naar de mensen wiens gegevens op straat liggen?

(Misschien moet ik daar eens in duiken)
En waar gaat de boete vervolgens heen? Naar dezelfde staatskas?
Dan heeft het toch totaal geen nut.
De vraag is: wie betaalt de boete uiteindelijk? De burger wiens gegevens gelekt zijn.
Kies dan op wel competente mensen?

Je kan dat iedere zoveel jaar nog eens opnieuw proberen.

Meestal, naarmate je ouder wordt, word je daar steeds beter in en pas je je stemgedrag altijd maar beter aan aan het concept dat er ook volstrekt incompetente mensen zich verkiesbaar stellen.

Je leert na een tijd dat de overgrote meerderheid van individueen die van zichzelf werkelijk denken dat ze anderen knunen leiden; daarin volstrekt incompetent zijn.

Het speldoel is om enkel te stemmen op diegene die toch een beetje competent zijn. Dat blijkt, gezien de resultaten die de meeste regeringen maar boeken, toch ook vrij moeilijk te zijn voor vele kiezers.
Dan moeten er wel competente mensen zijn. Of beter gezegd: die moeten de kans krijgen goede dingen te doen. Iedereen kan wel zeggen dat je goed moet stemmen als de huidige gang van zaken je niet aanstaat, maar feit is gewoon dat op wie je tegenwoordig ook stemt...het is allemaal 1 pot nat. Allemaal hetzelfde gel*l, de wereld aan veranderingen beloven en als puntje bij paaltje komt is er geen steek veranderd.
Kies dan op wel competente mensen?

Meestal, naarmate je ouder wordt, word je daar steeds beter in en pas je je stemgedrag altijd maar beter aan aan het concept dat er ook volstrekt incompetente mensen zich verkiesbaar stellen.

Je leert na een tijd dat de overgrote meerderheid van individueen die van zichzelf werkelijk denken dat ze anderen knunen leiden; daarin volstrekt incompetent zijn.

Het speldoel is om enkel te stemmen op diegene die toch een beetje competent zijn. Dat blijkt, gezien de resultaten die de meeste regeringen maar boeken, toch ook vrij moeilijk te zijn voor vele kiezers.
In het huidige politieke klimaat heb je vrijwel geen keuze gezien de 2 voornaamste problemen in onze maatschappij haaks tegenover elkaar staan in de politieke arena en het probleem dat zwaarder weegt niet voldoende word aangepakt door de partij waar ik het liefst op zou stemmen. Ondanks dat die partij beter met dit soort zaken omgaan.

Hoewel ik graag zou zien dat elke partij met dezelfde hoeveelheid gezond verstand problemen als privacy en data deling vertaald naar fatsoenlijke regeles en wetgeving, staat dit punt dermate laag op de ladder van zaken die aandacht nodig hebben dat je je stem keuze er op kunt baseren.
Goh dat kan naar tal van plaatsen gaan. Afhankelijk van waar die kas in Nederland voor ingericht wordt. Je hebt bv. voor bepaalde boetes in België dat de opbrengsten naar slachtofferhulp gaan. Moest het een Europese boete zijn (zo worden er regelmatig aan overheden gegeven), dan gaat dit vermoedelijk naar bepaalde zaken binnen de EU organisatie.

Belangrijker dan de boete is dat de minister die verantwoordelijk is voor het beleid dat beboet wordt/werd (en dus door de rechter als illegaal, onwettig of fout wordt bestempeld) en daar een serieuze blamage voor krijgt. Hij gaat de rest van zijn regeringsperiode immers door het leven als incompetent. Je mag er zeker van zijn dat de rest van de regeringsperiode én tijdens de verkiezingsperiode de huidige oppositie dat keer op keer zal herhalen. Desnoods tot de minister opstapt en/of tot de regering valt (zie bv. Fortis-dossier en regering Leterme).

Plus zal de fout ook rechtgezet moeten worden. M.a.w. schadevergoedingen voor zij die schade hebben geleden door het handelen van de minister. Die schadevergoedingen gaan uiteraard wel naar de betrokken burgers. M.a.w. dus inderdaad naar de mensen wiens gegevens op straat liggen.
Zolang een minister gedekt wordt door een Kamer meerderheid gebeurt er niks natuurlijk.
Bijvoorbeeld in dit geval was onze minister van vreemdelingenzaken zo ver ik weet gedekt door de meerderheid, maar toch moest het vonnis van de rechter uitgevoerd worden (ik heb speciaal het Nederlandse elsevierweekblad.nl genomen, zodat je jullie eigen media erover kan vertrouwen i.p.v. de onze).
En wat gebeurt er als de overheid de boete helemaal niet betaalt?
Een rechter kan in theorie bepaalde zaken afdwingen maar in de praktijk (als het om rijksoverheden gaat) dus niet.

[Reactie gewijzigd door veltnet op 22 augustus 2017 16:16]

Die boete moet betaald worden of de overheid wordt opnieuw veroordeeld. Dit kan gaan tot in Straatsburg. Als je als land ook maar een beetje serieus genomen wil worden door de andere EU lidstaten, betaal je zulke boetes echt wel.
In theorie heb je helemaal gelijk. In de praktijk gebeurt dat vaak niet. Ik heb veel voor overheden gewerkt en weet dit uit ervaring.

[Reactie gewijzigd door veltnet op 22 augustus 2017 12:32]

Nu goed, dat betekent dat de ontvangers (deurwaarde) of rechthebbenden de veroordeelde (de overheid) hadden moeten opnieuw laten voorkomen of aanklagen. Dus dan loopt het daar fout misschien?

Wat ik weet is dat het zowel in de praktijk als theoretisch bijna of zelfs geheel letterlijk zo is dat de (aangestelde) deurwaarde naar de Wetstraat trekt om desnoods daar de boete te innen.
En dan? Beslag laten leggen op alle bezittingen van de overheid? De overheid failliet laten verklaren?

De aangestelde deurwaarder zal vast en zeker bij de overheid aankloppen, maar als deze dan alsnog niet betaalt... De rechter kan een dwangsom opleggen...maar wat als ze dan nog steeds niet willen betalen?

Je komt dan in een Kafka verhaal terecht

Er zit natuurlijk wel verschil in een lokale overheid (die zullen uiteindelijk wel betalen) en rijksoverheid (daar trek je uiteindelijk altijd aan het kortste eind indien er sprake is van onwil bij diezelfde rijksoverheid)
Dat zijn veel alsjes. In werkelijkheid betaalt de overheid wel. Want wanneer heel dat verhaal van die deurwaarder die zijn geld niet krijgt van de verantwoordelijke minister in het breed in de media wordt uitgesmeerd, zal het een dusdanig groot schandaal zijn dat er sprake is van een regeringscrisis met bovendien heel wat buitenlandse media die lekker sarcastisch je land aan het uitlachen zijn.
https://en.m.wikipedia.or...ata_Protection_Regulation
It is the responsibility and liability of the data controller to implement effective measures and be able to demonstrate the compliance of processing activities even if the processing is carried out by a data processor on behalf of the controller. (Recital 74).

De EU legt de boete op en zal deze dus ook innen. Niemand is er blij mee, maar wie niet luisteren wil moet maar voelen...

The following sanctions can be imposed:
a warning in writing in cases of first and non-intentional non-compliance,
regular periodic data protection audits,
a fine up to 10000000 EUR or up to 2% of the annual worldwide turnover of the preceding financial year in case of an enterprise, whichever is greater (Article 83, Paragraph 4[18]),
a fine up to 20000000 EUR or up to 4% of the annual worldwide turnover of the preceding financial year in case of an enterprise, whichever is greater (Article 83, Paragraph 5 & 6[18]).
Ja, dat kan wel: Belastingdienst moet zichzelf miljoenenheffing opleggen

Dat het nergens op slaat, is weer wat anders...
Het is geen bedrijf, het is de overheid. Burgers staan hier voorop in het belang.
Volgens mij is dat toch precies wat ik zeg. Je stelt zelf de regels op waarop. De aanbesteding moet hier aan voldoen.

Een van de regels is dat data nooit in buitenlandse handen mag komen via het bedrijf. (via de overheid mogelijk wel het is hun data).

Kan je aan zo'n eis niet voldoen kan je de aanbesteding niet winnen of überhaupt niet doen.
Ja, misschien was ik niet heel duidelijk hierin. Wat ik bedoelde te stellen is dat de overheid (of ieder ander bedrijf) het wel kan uitbesteden maar dat de verantwoordelijkheid altijd bij de overheid (klant) blijft. Deze gooit het over de boeg en kijkt er nooit meer naar om. Wanneer het mis gaat verschuild men zich achter een contract of SLA.

Onze overheid heeft de standaard alles maar uit te besteden zodat ze zelf nooit verantwoordelijk zijn. Terwijl dat natuurlijk van de zotten is. Ze hebben de controlerende functie of de data veilig is en veilig blijft. Nu is er eindelijk duidelijkheid dat het standaard excus van tafel is en moeten ze zich echt verantwoordelijk gaan gedragen en controles uitvoeren of de leverancier zich wel aan de beloften houdt.
Een boetebeding werkt slecht. Je kan de winnaar van de aanbesteding wel contractueel boeteplichtig maken maar de Amerikaanse diensten en het bedrijf gaan niet vertellen dat er is opgevraagd.
En kom er dan maar eens achter.
Helaas gaat de wet altijd boven regels in contracten. Daar de VS alle servers van in Amerika gevestigde bedrijven als Amerikaans aanmerkt, vallen alle servers van IBM (zelfs als die in Nederland staan) onder de Amerikaanse wet. Met andere woorden: de VS kan met een gerechtelijk bevel gewoon onze privacy gevoelige gegevens opvragen. Plasterk kan dat niet tegenhouden!
Microsoft heeft ooit wel een rechtszaak gewonnen omdat de Ierse (Europese) vestiging niet direct op bestuursniveau verbonden is met Microsoft Internationaal. Microsoft Europa is een zelfstandig, in Ierland geregistreerd bedrijf met afspraken met Microsoft Internationaal. Bij Google is Google US de hoofdvestiging, waar alle vestigingen in het buitenland direct onder vallen.
Dat software in 'de cloud' draait betekent niet meteen dat die extra kwetsbaar is. Je kan het spul ook op een private cloud hosten, niet ongebruikelijk voor gevoelige toepassingen. Geen idee of UWV dat doet, maar ik weet wel dat het serverpark van de UWV groot genoeg is om een private cloud haalbaar en zinvol te maken.
Een private cloud gehost door IBM buiten de USA valt gewoon onder de FISA omdat men in Amerika het complete werkterrein van en bedrijf tot hun jurisdictie rekent. Dus de locatie en de beheerder moeten zorgvuldig gekozen worden. Lees dit https://www.cbsnews.com/n...n-europe-researchers-say/ anders even.
Dat zou heel goed kunnen, maar dan vraag ik mij af hoe dit bij andere overheidspartijen is opgelost.

Kofax wordt meer binnen de overheid gebruikt net als Microsoft en Oracle, maar dat wordt dan wel gehost in Nederland op omgevingen die beheert worden door de Nederlandse overheid. De software leveranciers (en dat is vaak gewoon ATOS, Getronics, Cap Gemini of één van de andere grote levarnciers) doen alleen applicatief beheer op die omgevingen.
Leuke aanname maar verder raakt het kant noch wal.

Logischer is dat Kofax wordt gebruikt als "scanstraat". De fysieke facturen die ontvangen worden door middel van Kofax worden dan geOCRt (Optical recognition software). Tenzij de ontvangst van fysieke facturen geoutsourced is, is het voor de handliggend dat Kofax of lokaal draait of bij de service provider iCreative (Nederlandse partij). Verder wordt Basware waarschijnlijk gebruikt voor de ontvangst van e-invoices, pdf-facturen en de gescande Kofax facturen. In Basware zelf wordt dan ook de verder factuurverwerking gedaan zoals het goed of afkeuren van de factuur. Basware is ook een cloud product. Grappig dat je in jouw post niet even vermeld hebt dat de servers van Basware allemaal in Europa staan.
/edit spelling

[Reactie gewijzigd door dormamu op 22 augustus 2017 08:22]

Kofax Total Agility (KTA) _kan_ op Azure gedraaid worden, maar dat is geen verplichting. Het merendeel van de installaties is gewoon 'on premise'. Het UWV zou dus net zo goed zelf kunnen hosten, of een Nederlandse partij kunnen inhuren en hen verplichten om het te hosten op een server in Nederland.

Wij hostten ook zaken voor Nederlandse gemeentes in onze (Nederlandse) cloud, maar toen we overgenomen werden door een Amerikaans bedrijf, is alles netjes gemigreerd naar een cloud van onze ISV-partner, op servers uitsluitend in Nederland.
In dit artikel van Computable wat meer informatie over de inhoud (technisch + juridisch) van de aanbesteding en de gang van zaken tot dusver. Opvallend is dat dit de tweede aanbesteding is: de eerste keer bleek de documentatie teveel naar het bod van kandidaat IBM toegeschreven te zijn. Verder interessant: UWV mikt op een kostenbesparing van 25-30% t.o.v. het huidige exploitatiebedrag van jaarlijks 60 miljoen euro. En tenslotte blijkt dat het UWV geen overheidsdatacentra wil gebruiken ondanks het daartoe strekkende advies van de onafhankelijk overheids ICT-adviseur, Bureau ICTtoetsing (BIT).

[Reactie gewijzigd door arnovos op 21 augustus 2017 22:34]

Verbaast me eerlijk gezegd allemaal niets meer.

UWV en belastingdienst zijn al sinds jaar en dag de grootste zorgenkindjes op gebied van overheid en ICT. En elke keer als er naast de pot gepist wordt, wordt er gewoon weer een leger aan schoonmaak ingehuurd wat aan mag komen treden om het toilet weer enigzins bruikbaar te maken. Dat die stank op een gegeven moment dus nooit echt meer weg gaat; ja, jammer dan. Het kan het haagse clubje hand-boven-het-hoofd-houders allemaal geen klap schelen, want zij krijgen toch niet met de gevolgen te maken.

Wordt tijd dat het een keer mis gaat op zo'n manier dat het niet meer gedownplayed kan worden en de doofpot in kan gaan. De beleidsmakers publiekelijk aan de schandpaal nagelen en ze op persoonlijke titel aansprakelijk houden voor alle nog tot in lengte van dagen voortvloeiende schade.

Pijn lijden in de portomonnee, maar vooral ook het aanzien. Zo erg besmet raken dat geen enkel grootbedrijf je nog voor een erebaantje zal willen hebben na je afgefikte politieke loopbaan. Dat is jammer genoeg de enige combinatie die bij zo'n omhoog gevallen clubje nog enigzins zal werken, ben ik bang.

Treurig.

[Reactie gewijzigd door R4gnax op 21 augustus 2017 22:21]

Mooi gezegd en inderdaad diep treurig!
Mmm die kostenbesparing gaan ze waarschijnlijk te niet doen omdat de aanbesteding niet goed wordt geschreven, verandering van inzicht ten tijde van een migratie met daaruitkomend meerwerk en vertragingen, meer wensen dan op papier stond, etc.
En gebruik maken van IBM die dit spel al jaren op top niveau spelen. De kleuters in de UWV directie denken mee te kunnen spelen op dit niveau. Ik zie de berichten over ict kosten over 3 jaar wel verschijnen.
Het vervelende is is dat IBM een groot contract heeft voor meerdere instanties binnen de overheid. Hier door dreigt IBM het contract op te zeggen voor elk onderdeel als 1 instantie hun ICT weg haalt bij IBM en door een andere partij te laten doen (en wijzen ze ook op de boete in het contract). Binnen de overheid moet men als een collectief iets verzinnen voor de gehele ICT om onder (ook het dure) contract van IBM uit te komen.

Ik werk zelf voor een ICT bedrijf die al eens een bod heeft gedaan voor de ICT overname van het UWV. Ondanks dat we de laatste aanbestedingsronde hadden gehaald zijn we het uiteindelijk niet geworden. (angst voor IBM, en andere CIO).
Precies dit: IBM kan dit veel beter dan de gemiddelde "top" ambtenaar.
IBM zegt een contract op en Nederland moet de boete betalen?
Niet dat ik je niet geloof maar meer verbaast ben over dat zo'n constructie kan.
Ik denk eerder dat IBM dreigt, dat zij bereid zijn om de boete (voor opzeggen) te willen betalen, om zo het contract/hun dienstverlening stop te zetten. Dus IBM stopt met hun dienst en betaalt een boete aan het afnemende bedrijf. Het afnemende bedrijf heeft dan een groot probleem omdat hun systemen dan worden stopgezet en ze dus niets meer kunnen doen.
IBM gaat dat echt niet op die manier oplossen mocht er een conflict ontstaan, ze krijgen dan de naam
onbetrouwbaar en dat zal ze veel klanten gaan kosten.
Kijk naar Apple en Samsung, beiden zijn in oorlog met elkaar maar toch houden beiden zich aan de contracten die ze met elkaar hebben
Dit is onzin, IBM gaat geen winstgevende contracten met de overheid of wie dan ook stopzetten als UWV bij IBM vertrekt.

Alleen met de omvang van de UWV ICT omgeving zullen de kosten aanzienlijk zijn als alles gemigreert moet worden naar een andere partij. Nu weet ik niet of dit een onderdeel is van de keuze in de aanbevelingen, maar zal vast één van de punten zijn waarom UWV bij IBM blijft.

Naast dat ze ook tevreden zijn natuurlijk.... ;-)
Ach DUO heeft jarenlang login sessies van het DigiD zitten omleiden via een amerikaanse "statistieken tracken" dienst. Je kon onmogelijk inloggen op DUO door dat nl.statnogwat.com domein te blokeren.

Misschien nu nog, geen idee, niet meer nodig gehad. Als ik als hobby prutser al zo makkelijk zoiets kan vinden(of naja, overheenstruikelen). Zal er vast een heel stuk meer te vinden zijn.

Die data ligt al lang in de VS, het "niet kunnen garanderen" is gewoon politiek gebrabbel.
Ik zeg niet dat de gegevens niet allang daar zijn om welke domme reden dan ook maar het feit dat een buitenlandse site inlog/hits telt betekent ZEKER niet dat alle persoonlijke data over de lijn gaat. Ik denk dat de duo site niet verder ging als ze geen bevestiging kregen van de telling (mogelijk eerder een programmeerfout dan een bewuste blokkade).

Er komen steeds strengere regels m.b.t. privacy in (semi)overheidsdiensten en de regels die wel of geen toegang geven tot persoonsgegevens worden (in onze software) per gebruiker/functiegroep toegepast.

Zelfs berichten die vóór jou verstuurd worden zodat je krijgt waar je recht op hebt gaan over beveiligde gecertificeerde verbindingen, waarbij de inhoud van de berichten zelf zo slecht mogelijk direct herleidbaar zijn naar jou of de status van jou t.a.v. het bericht.

Uiteindelijk wordt je als maker van de software de sjaak als er een gegevenslek zich voor doet. Je kijkt dus wel uit wat je oplevert.

Reacties als "politiek gebrabbel" vind ik nogal vaak "volks geblaat".

[Reactie gewijzigd door MASiR op 22 augustus 2017 09:52]

Ik zeg niet dat de gegevens niet allang daar zijn om welke domme reden dan ook maar het feit dat een buitenlandse site inlog/hits telt betekent ZEKER niet dat alle persoonlijke data over de lijn gaat. Ik denk dat de duo site niet verder ging als ze geen bevestiging kregen van de telling (mogelijk eerder een programmeerfout dan een bewuste blokkade).
Nadat ik niet kon inloggen op mijn DUO, en toen ik mijn hosts tijdelijk leeg had... ineens wel. Ben ik gaan wiresharken.

De GEHELE sessie werd (of wordt?) omgeleidt via nl.sitestat.com. Enkel direct na het inloggen, voor en na het inloggen was de Site met nl.sitestat.com geblokkeerd gewoon te gebruiken.


Ik heb dit bij verscheidene mensen in mijn omgeving uitgetest, ik heb zelf op een tiental systemen in een handvol verschillende netwerken en verschillende OSen uitgetest.

DE GEHELE FUCKING INLOG SESSIE WERD OMGELEIDT NAAR AMERIKAANSE SERVERS.

Ik heb hier destijds melding van gemaakt bij DUO zelf, dat ik dit gewoon niet vond kunnen. "doorgestuurd naar technische dienst", jaar later was het probleem er nog. Nu al een paar jaar niet nodig gehad. Maar het interesseert ook vrijwel niemand. Dus geen moeite meer ingestopt.

Nu ineens een +3, jaar of wat geleden bij een soortgelijk nieuwsbericht hetzelfde verhaaltje neergekwakt... -1. Dat was voor mij ook het moment "het boeit Tweakers al niet, waar de fuck maak ik me druk om".

De laatste jaren is het allemaal ineens een hot item. Maar voordat die NSA bullshit "publiekelijk bekend" was... Was dat al vele jaren geen geheim meer. Dat de Amerikaanse overheid hun kennis/macht/invloed misbruikten was al jaren... vele jaren ervoor bekend.

Snowden vertelde de wereld eigenlijk niets wat al niet bekend was.

En de prive data van een boel Nederlanders (zo niet alle), is gewoon in handen van de VS.

Leuk al die regels, protocollen e.d. Heb je dit nieuws bericht wel gelezen? Maakt geen fuck uit hoe goed je de boel opzet, als je dan de servers fysiek in de VS plaatst... Tja, game over.
"Die data ligt al lang in de VS,"
en dat is het meest vervelende wat de politiek totaal niet wil inzien, data hoeft maar 1x gekopieerd te worden, het bederft als het ware niet, een verstandig persoon zou zeggen, beter voorkomen dan genezen en het op alle mogelijke manieren streng gaan beveiligen, maar op de een of andere manier deelt onze regering zo vreselijk graag al onze informatie

[Reactie gewijzigd door gumkop op 22 augustus 2017 12:14]

Niet alleen de politiek, het volk zelf intereseert het gewoon geen zier. Als het volk het zou interesseren, kan de politiek er niet meer om heen.

Het gaat de laatste jaren een beetje de goede kant op. Maar persoonlijk heb ik er nog maar 0 vertrouwen in. Ik vul mijn belasting online in, voor de rest gebruik ik dat digid zo weinig mogelijk.

Mijn gemeente die rustig google inlaad voor de statistieken. Het gaat verdorie Google geen fuck aan of ik wel of niet op de site van mijn gemeente kom, en wat ik daar uitspook.

DUO die amerikaanse sites include... Noscript geeft zelfs een http://undefined/ aan.... Eng.

En tadá, ook vandaag de dag, ligt informatie die ENKEL EN UITSLUITEND tussen mij en mijn overheid bestemd is, bij Amerikanen op de stoep.

Er dient helemaal niets, noppes, NADA op overheids sites geinclude te worden, of op te staan. Wat niet van de overheid zelf is. Maakt me wat dat betreft weinig uit of het een bedrijf van onze bodem is, of uit Kameroen.
Ik ben serieus verbaasd dat dergelijke informatie van een instantie als het UWV niet bij één van de overheidsdatacenters wordt opgeslagen. Deze staan in nederland en voldoen aan alle (beveiligings) eisen die voor persoonsgegevens gevraagd worden. Verder is het al overheid dus hoef je niet aan te besteden.

Denk hierbij aan de datacenters van de belastingdienst, ODC-noord, ODC haaglanden en ik meen dat er in amsterdam ook één staat.
Ik ben serieus verbaasd dat dergelijke informatie van een instantie als het UWV niet bij één van de overheidsdatacenters wordt opgeslagen. Deze staan in nederland en voldoen aan alle (beveiligings) eisen die voor persoonsgegevens gevraagd worden. Verder is het al overheid dus hoef je niet aan te besteden.
De overheid maakt ook gebruik van aanbestedingen voor deze datacentra. Helaas is de gedachte altijd de outsourcing het beste is wat ooit bedacht is. Het is wel duidelijk dat dit niet (altijd) het geval is. Zie bijvoorbeeld de zeperd die men in Zweden gemaakt heeft.
Dat zou leuk zijn als het Nederlandse probleem "dat komt uit een ander potje" niet bestond.
Nee, dat komt omdat het UWV een uitvoeringsorganisatie is met een zelfstandige bestuursstructuur, een zogenaamde baten lasten dienst. Als het onderdeel was van één van de departementen dan hebben ze een pas toe of leg uit verplichting, waarbij de leg uit een einddatum heeft.

Binnen de rijksoverheid is "geld" geen geaccepteerde uitleg voor het niet toepassen.
De vrije markt is voor alles efficiënter (lees beter en goedkoper tegelijkertijd). Heb je de memo van de VVD niet gekregen?
Lees ik hier enig sarcasme? ;)
Natuurlijk niet.
Er is immers nooit een plan van de VVD op gebied van privatisering gefaald.

De VVD weet namelijk wat echt goed werkt voor Nederland(se ondernemingen)
Je hebt nog gelijk ook! What was In thinking!? 8)7

:P :9 :*)
Gisteren op het nieuws; voormalig VVD politicus veroordeeld wegens belastingontduiking. Nee, met de VVD zitten we goed. Enige tijd geleden was al in het nieuws (geen nep nieuws, respectabele bron) dat VVD de meest corrupte partij van Nederland is...
Greed, for lack of a better word, is good- VVD mantra.
Je bent niet verdachte als je niks gedaan hebt. Waar het om gaat is dat het weer om een VVD-er gaat...
Wat dacht je van DICTU, speciaal neergezet om Nedrlandse ministeries te dienen.
De DICTU heeft geen eigen datacenter. Ze zijn wel bezig met een cloudoplossing, maar dat is meer een PaaS dan een IaaS. DICTU neemt datacenter capaciteit af bij ODC-N, onderdeel van OCW.
Grappig. In het software bedrijf waar ik voor werk, moeten we alles maar dan ook echt alles aan doen om te voorkomen dat data in VS (potentieel) kan belanden. Zat goeie software partners/pakketten die daardoor afgeschoten werden.

En terecht ook. En dan voorkomen wij dat deze data bij NSA op het bureau ligt. En dan komt overheid vrolijk langs, en ligt alles alsnog bij onze vriendelijke peeping tom.

Voelt een beetje als een chirurg die eerst zijn handen wast voor een operatie, en dat de verpleegster vervolgens emmer vol goor water over patient gooit.

Kan je op het einde van de dag zeggen dat je handen schoon waren, maar of de patient daar blij van wordt......
Dan kan ik niet garanderen dat ik mee wil werken met de overheid.
Mijn eerste gedachte ook.
What the f...

Echt ronduit belachelijk dit.

......
Mogelijk betekent dat dat de persoonsgegevens bij een nieuwe aanbesteding enkel nog mogen worden opgeslagen op servers die staan in EU-landen of Liechtenstein, Noorwegen of IJsland.
......

Nee stelletje idioten..
De privé data van Nederlanders mort je in Nederland opslaan ..
Ze snappen het echt niet he...

[Reactie gewijzigd door Marty007 op 21 augustus 2017 21:20]

Als je het artikel had gelezen dan had je gezien dat het allemaal begonnen is omdat Google van de rechter data uit een ander land (lees: niet Amerika) moest kunnen overhandigen. Dus had het geen .. uitgemaakt of dat die data in Amerika, Friesland of Nepal stond. Als het om een Amerikaans bedrijf gaat dan is dat bedrijf vanaf nu mogelijk verplicht om die data op te vissen.

We weten trouwens niet eens precies over welke data het gaat, welk systeem het gaat en hoe dat systeem omgaat met data. En nee daarmee probeer ik het niet te bagatelliseren alleen iets minder OH WTF NEE CLOUD AAAAAAAH over te laten komen.
US cloud providers krijgen regelmatig gag orders, waardoor ze weinig tot niets mogen zeggen over verzoeken om data over te dragen, aldus
http://techgenix.com/cloud-providers-gag-orders/
https://en.wikipedia.org/wiki/Gag_order#United_States
Dit betreft ook de recente Privacy Shield constructie, die de Safe Harbour vervangt sinds Max Scherms dit succesvol heeft aangekaart bij de EU.
Daarmee lijkt mij een secure European cloud nog steeds een mythe, tenminste, als een EU overheid (c.q. Plasterk) zou willen of moeten garanderen dat data NOOIT in handen van de VS kan komen (zelfs niet de FBI).
http://www.zdnet.com/article/usa-patriot-act-the-myth-of-a-secure-european-cloud/

Ik vraag me af: kan de FBI ook een gag order opleggen aan een burger van de VS die bij een EU cloud provider werkt met servers en data die alleen in de EU staan? In dat geval komen alleen cloud providers die kunnen garanderen dat medewerkers die VS burgers zijn géén clearance hebben tot de data, in aanmerking voor een EU overheid (c.q. Plasterk)...
Of zie ik nou spoken?
Euh niet lastiger.

Google had data uit een ander land, toch in Amerika opgeslagen omdat dat efficienter was volgens het alchorimte. (iig dat is wat ik lees).

En daardoor moesten ze toch de data overhandigen.

In mijn ogen is zowel de uitspraak van de rechter zeer dubieus wanneer je internationaal samen wil werken en elkaar wil vertrouwen. Maar ook google is hier schuldig doordat ze dit konden weten en hier duidelijk een fout hebben gemaakt.
In mijn ogen is zowel de uitspraak van de rechter zeer dubieus wanneer je internationaal samen wil werken en elkaar wil vertrouwen. Maar ook google is hier schuldig doordat ze dit konden weten en hier duidelijk een fout hebben gemaakt.

Merk tenslotte op dat Nederland zelf ook nogal hypocriet is. Of eigenlijk ook niet: het valt wellicht namelijk op dat de Nederlandse overheid zich totaal niet inspant tegen deze uitwisselen. Dat is zo, omdat Nederland exact hetzelfde doet. Nederland stelt zich ook op het standpunt dat indien zijn bij een Nederlandse vestiging data opvraagt, deze verstrelt moet worden confirm de Nederlandse wet, ongeacht waar deze Nederlandse vestiging de data fysiek opgeslagen heeft.

Concreet, Nederland die data wil hebben van Google Nederland, krijgt deze ook al staat deze fysiek in Californie of Brazilie. Vandaar ook dat verzet tegen dit soort uitwisseleingen weinig zin heeft, omdat de thuislanden van de klagers zelf ook niets willen opgeven.
Nee die rechter heeft ook expliciet aangegeven dat dit kwam doordat die dat niet express in het buitenland was neergezet. Dit kwam alleen doordat het systeem vond dat het ergens anders beter stond dan in de us ivm benidigde capaciteit daar.

Microsoft azure data in duitsland of NL is daarmee gewoon veilig als er expliciet voor die locatie is gekozen (doordat ms dit hard forceert en dit als USp gebruikt bijvoorbeeld). Dan gaat een rechter hier ws niet zomaar tegenin zeker als het okk om een niet amerikaan gaat.
De Azure data in duitsland is sowieso een stuk veiliger. Deze losse instantie van Azure en O365 worden niet door Microsoft zelf verzorgd, maar dat doet (ik dacht) T-Systems voor Microsoft.
Privédata van Nederlanders moet je encrypted opslaan. Dan maakt het niet uit waar het fysiek staat.
Dit is echt regelrechte onzin. Je hebt meerdere veiligheidsbarrières nodig, ook bij data at rest.

De UWV heeft die data omdat ze er iets mee willen doen. Je kunt alleen zo bar weinig berekeningen uitvoeren met versleutelde data (zelfs als je homomorfe encryptie toepast). Dan zijn er twee opties:

1) De UWV gaat voor elke bewerking de data downloaden, decrypten, transformeren, encrypten, en uploaden. Dat is nogal inefficiënt. Bedenk wel dat je niet zomaar even een BSN kunt opzoeken; die kolom is namelijk encrypted. Oh, en zeg trouwens maar dag tegen de integriteit van de data, want hoe garandeert de server dat het transactielog correct is als het encrypted is? Natuurlijk kun je hier een complex systeem van bakken tot het soort van mogelijk is, maar het blijft best onwerkbaar.

2) De server die de data opslaat kent de encryptiesleutel. Dan wil je zeker niet die server in, zeg, Turkije hebben staan, voor het geval dat Erdogan z'n knokploeg die server uit dat rack laat trekken en met een cold boot attack de sleutel laat achterhalen.
Bedenk wel dat je niet zomaar even een BSN kunt opzoeken; die kolom is namelijk encrypted.
Oh daarom duurt het zolang voordat tweakers mijn password verwerkt heeft.

Precies. Kul argument dus. Je moet hashen wat je opslaat als het identificeerbaar is. Een havker heeft niets aan tig duizenden hashes, maar jij kunt met het algoritme wel opzoeken welke hash bij een bsn hoort. Standaard sha-256 met een salt en een onbekende volgorde van prepending/appending en je hebt een berg random gibberish die voor buitenlandse hackers niet zomaar te herleiden valt naar een persoon van wie de gegevens zijn. Encryptie en hashing is er niet voor niets. Gebruik het.
Een havker heeft niets aan tig duizenden hashes, maar jij kunt met het algoritme wel opzoeken welke hash bij een bsn hoort.
Ook complete onzin. Even afgezien van het feit dat BSN's te kort en voorspelbaar zijn om ze te "beveiligen" met hashes (er zijn maar 91 miljoen verschillende BSN's) heb je ze, als UWV zijnde, gewoonweg nodig als identifier. Je kletst uit je nek als je denk dat het zin heeft om ze te hashen.

Ik weerspreek verder niet dat cryptografie is een cruciaal middel is voor informatiebeveiliging, maar je kunt op basis van alléén cryptografische middelen nog geen veilig systeem bouwen.

[Reactie gewijzigd door RobbertTafels op 21 augustus 2017 22:03]

Je kunt de hash ook gewoon als identifier gebruiken hoor. Het maken van de hash aan de hand van bsn is heel eenvoudig, maar het i niet meer te herleiden naar persoonsgebonden data. De hacker heeft immers geen weet van het bsn nummer en zal dus iig veel moeite moeten doen voor het vinden van het juiste algoritme. Dit kan een combinatie zijn van verschillende hash algoritmes en in place substituties. Het hoeft ook niet onkraakbaar te zijn zolang het maar niet plain text is. Dan is er tenminste nog een kans om ze te vinden voor de data helemaal gelekt is.
Ik denk niet dat je een realistisch aanvalsscenario kunt aanwijzen waarin je suggestie ook echt een oplossing biedt. Je bent je echt aan het blindstaren op het fancy aan elkaar knutselen van cryptografische primitieven zonder te bedenken wat er precies mee bereikt moet worden (en, om eerlijk te zijn, zonder te weten waar je mee bezig bent; voor password hashing kun je al niet meer aankomen met minder dan bcrypt/scrypt/PBKDF2).

Lees m'n eerste post nog even goed door. Wat ik aanduidde als onzin was niet de eerste zin van Jace/TBL, maar de tweede zin. Natuurlijk is crypto belangrijk. Het is alleen pure flauwekul dat dat voldoende is voor het beveiligen van het soort data dat de UWV, of welk ander overheidsorgaan dan ook, in handen heeft. Een aanzetje voor een aanvalsscenario is inbegrepen.

Verder was de kolom voor BSN's maar een van de vele voorbeelden. Neem een ander voorbeeld: stel, UWV wordt verstandig en gaat machine learning toepassen om effectiever te worden in het signaleren van uitkeringsfraude. Voor zowel het bouwen van een statistisch model als het toepassen ervan op een dataset zul je echter tóch de data, bijvoorbeeld de uitgekeerde bedragen of de burgerlijke staat, in plaintext moeten voorhanden hebben. Waar ga je die data ontsleutelen? Voor een hoop soorten modellen is het een stuk efficiënter om de nodige statistieken te laten berekenen door een SQL-server die transparante encryptie gebruikt dan al die data te willen downloaden en het op de crappy hardware in het UWV-kantoor te doen.

Maar om terug te komen op BSN's: in het geval van het UWV is de BSN het referentienummer voor een natuurlijk persoon. Je gebruikersnaam staat toch ook gewoon lekker in plaintext in de gebruikersdatabase van Tweakers?

[Reactie gewijzigd door RobbertTafels op 21 augustus 2017 22:42]

Voor een hoop soorten modellen is het een stuk efficiënter om de nodige statistieken te laten berekenen door een SQL-server die transparante encryptie gebruikt dan al die data te willen downloaden en het op de crappy hardware in het UWV-kantoor te doen.
Oh dat valt wel mee hoor. Als men in de bio informatica tekstanalyse kan doen over 80TB aan data in enkele weken dan kan dat kleine beetje geordende data makkelijk op een xeon workstation in een week. Zoveel data hebben ze nu ook weer niet. Daarnaast is het helemaal niet slim om dit op live data te doen die mutable is. Een aanpassing van een collega uit klazienaveen kan dan zo je hele model onderuit schoppen.
De bsn van iedere zzp staat als BTW nummer publiek op het internet via dezelfde overheid. Onze overheid is namelijk apendom als het op beveiliging aankomt. Gashendel is om deze (en nog tig redenen) niet relevant. Als ik via de hash andere records kan relateren kun je vrij aardig een profiel opbouwen. Dan even 90 miljoen hashes berekenen en klaar is Kees.
Klopt. Het kost alleen tijd. En in die tijd zou men nog wat aan damage control kunnen doen met mogelijk het gevolg dat de data nog niet "gekraakt" is voor de hacker wordt opgepakt.

Helemaal niets doen is nog erger.
Of het transactielog correct is? Ik zou zeggen, blockchain...
Te traag. Doe gewoon een hash van de logregel met de hash van de vorige regel. Dan heb je ook geen hipster blockchain nodig.
Vraag me af of het een hipsterdingetje zal blijven.
Zeker weten dat het geen hipster ding blijft. Maar blockchain zit nu vooraan in de hype cycle. Duurt nog een jaar of 3-4 en dan weten we echt hoe we blockchain effectief in kunnen zetten (tamperproof maken van logfiles iig. niet).
Privédata van Nederlanders moet je encrypted opslaan. Dan maakt het niet uit waar het fysiek staat.

Je mist de strekking. Het gaat hier niet om de USA die zonder toestemming van Nederland data gaan inzien. Het gaat hier om gevallen waar de Nederlandse overheid de gegevens - onversleuteld en geheel vrijwillig - overdraagd aan de USA ivm verdragen. Andersom is dat overigens ook het geval.

Denk aan verdragen betreft belastingheffing. Zo geven Nederlandse banken gegevens over spaargeld van Amerikaanse rechtspersonen af aan het Amerikaanse ministerie van financien, zodat deze rechtspersonen geen belasting kunnen ontwijken in de USA. Denk aan de Nederlander die bij Shell werkt en uitgezonden wordt naar de USA. Niet anders dan de honderden belastingverdragen warmee Nederland gegevens uit het buitenland krijgt.

Maar ook gegevens betreffende pensioenen. Nederland en de VS respecteren bijvoorbeeld elkaars AOW en pensioenregelingen. Maar dan moeten ze wel kunnen uitwisselen hoeveel pensioen iemand daadwerkelijk krijgt.

En zo zijn er ook honderden andere verdragen.
Privédata van Nederlanders moet je encrypted opslaan. Dan maakt het niet uit waar het fysiek staat.

Je mist de strekking. Het gaat hier niet om de USA die zonder toestemming van Nederland data gaan inzien. Het gaat hier om gevallen waar de Nederlandse overheid de gegevens - onversleuteld en geheel vrijwillig - overdraagd aan de USA ivm verdragen. Andersom is dat overigens ook het geval.
Nope, daar gaat het niet om, dat is de draai de Plasterk er aan geeft. Het gaat om de "gewone" data van het UWV die niet vrijwillig is overgedragen. Plasterk een technisch correct antwoord dat het doel van de vraag ontwijkt. De vrager wil weten of de Amerikaanse overheid in onze data kan snuffelen. Dat er ook gegevens zijn die we vrijwillig afstaan weet de vrager ook wel, daar gaat het niet om.
Nope, daar gaat het niet om, dat is de draai de Plasterk er aan geeft

Het is maar wat je een draai geven noemt. Et zijn kamervragen gesteld die enkel vragen of er gegevens van het UWV bij de Amerikaanse overheid kunnen komen. Plasterk geeft antwoord dat hij dat niet kan garanderen om deze reden.

Dat dat wellicht - dat weet jij en ik niet - niet de achterliggende reden voor de vraag is, kan zijn, maar dan moet de steller de vraag beter formuleren. Persoonlijk denk ik echter dat het antwoord verhelderend werkt, omdat deze vorm van gegevens verstrekking veel waarschijnlijker is. De kans dat de Amerikaanse overheid via een Amerikaanse rechter deze UWV gaat opvragen is gewoonweg heel erg klein. De kans dat men gewoon via de voordeur de gewenste gegevens krijgt via de talloze verdragen die er zijn is namelijk veel groter.

Het theoretische snuffellen kan uiteraard, en de brief geeft daar ook antwoord op. En het antwoord is even eerllijk als voorspelbaar: als een gerechterlijk bevel IBM dat verplicht. Net zoals de Nederlandse overheid dwingt gegevens opgeslagen in Californie af te staan via bijvoorbeeld IBM Nederland. Dat is vragen naar de bekende weg.

Aangezien Nederland echter geen middelen en kennis heeft om het volledig in eigen hand te doen, is er overigens weinig alternatief. Om emotionele redenen kun je wellicht kiezen voor of tegen een ander juridisch thuis land van je provider (Siemens/Duitsland vs IBM/USA), maar echt veel maakt dat niet uit.
Laten we, als dat echt zo is, die middelen en kennis dan heel snel ontwikkelen!

Volgens mij is het gebruik van Azure en S3 en al die systemen in 90% van de gevallen gewoon gemakszucht, ondoordachtheid of kuddegedrag.

Het is tijd om Europese alternatieven te bouwen. Met de GDPR zullen 'slimme' Europese producten en diensten een concurrentievoordeel krijgen in een wereld die zich langzaam bewust wordt van het belang van privacy.
Net alsof encryption nog iets uitmaakt tegenwoordig...

Het enige wat je daarmee bereikt is dat straks het uwv het zelf niet meer snapt terwijl die sleutels natuurlijk al lang en breed bij de intelligentie diensten bekend zijn.

Het uwv zou een offline netwerk moeten hebben en alleen een goede vpn tussen de locaties.
Het UWV is aangesloten op het diginetwerk, dat volgens de specificaties een onafhankelijk netwerk is. De rijksdatacenters zijn dat ook, dus daar kan het probleem niet zitten.

Ik vraag me echt af waarom ze europees aan het aanbesteden zijn voor de datacenter dienstverlening. Weet iemand dat?
Europees aanbesteden is een verplichting omdat het om UWV een overheidsdienst is, alle publieke diensten zijn verplicht Europees aan te besteden
Nee, dat hoeft niet als de overheid de dienst zelf ook aanbied. Denk hierbij bijvoorbeeld ook aan ICT dienstverlening, dat gebeurt in Den Haag door SSC ICT. Dat hoeft een ministerie niet aan te besteden, daar geldt gewoon verplichte winkelnering. Niet altijd goedkoper, ook niet altijd beter, maar wel verplicht.

Verder is door de ministerraad in 2010 besloten dat het rijk teruggaat naar 4 a 5 datacenters: " De Ministerraad heeft in 2010 ingestemd met het uitvoeringsprogramma Compacte Rijksdienst (CRD). Project 4 van CRD betreft de 1CT Infrastructuur van het Rijk. Onder deze noemer wordt het Programma Consolidatie Data- centers (PCDC), dat op 3 januari 2011 van start is gegaan, uitgevoerd.
Het Programma Consolidatie Datacenters (PCDC) heeft als doelstelling het aantal datacenters binnen de Rijksoverheid te reduceren van nu ruim 60 naar 4 á 5 locaties die in samenwerking één voorziening vormen."
Zie hier
Dan heb je het over ministeries. UWV is geen ministerie en als zij ruimte af zouden nemen in één van de overheidsdatacenters, waar zij dan gewoon huur zouden moeten betalen, zou dat helaas inhouden dat zij op basis van oneerlijke concurrentie resources gebruiken. Vreselijk krom, maar die aanbestedingswet is af en toe vreselijk krom.
Encryptie is nog best prima hoor tegenwoordig, zolang de implementatie maar goed is. Daar gaat het vaak mis. Maar de wiskunde zelf is nog vrij prima.
tja, je kunt dat rustig zeggen, maar als je te maken krijgt met het UWV oid dan heb je gewoon geen keuze hoor.
Dat precies... Je komt daar niet voor niks. Ziekte, werkeloos. Dan zit je al in een kutsituatie en haalt men echt alles uit de kast om je te frustreren, verdacht maken etc etc om maar het liefst geen uitkering uit te hoeven betalen. Terwijl men ten dienste van de burger zou moeten staan...
Maarja, het aantal fraudeurs is behoorlijk hoog, dus dat er streng gecontroleerd wordt heb ik helemaal geen problemen mee.
Ja maar zo werkt dat niet zeggen ze dan.

Stel hypocrieten bij de overheid maar dat was al bekend.
Met die houding zal bij deze, de door overheid reeds vergaarde digitale bewijslasten als volle waarheid worden verklaard, en zal op basis daarvan de uitspraak worden gevoerd.
Dan kom jij niet ver in de maatschappij. Je hebt maar mee te werken :Y)
Volgens mij is het andersom. De overheid (in NL tenminste) moet ten dienste van de burger staan. Maar daar begint het steeds minder op te lijken... Als je aanspraak doet op bijvoorbeeld een uitkering. Dan moet je van alles en moet je meewerken. Andersom mag je niks verwachten, geen bijdehante vragen stellen etc. Ja okay als je aan alle eisen hebt voldaan krijg je wat centjes om van te leven.

[Reactie gewijzigd door ManiacsHouse op 21 augustus 2017 23:01]

"Nederlandse regering kan niet garanderen dat UWV-gegevens niet in VS belanden"
Natuurlijk kan de Nederlandse regering dit wel garanderen, dit zijn ze zelfs wettelijk verplicht.
Het lijkt me beter dat er een andere minister daar komt te zitten die het wel kan garanderen.
Als je het artikel had gelezen, had je geweten dat ze dat dus wettelijk niet kunnen garanderen. Dus ze kunnen ook niet tegelijk wettelijk verplicht zijn dat wel te garanderen.
Als je het artikel had gelezen, had je geweten dat ze dat dus wettelijk niet kunnen garanderen. Dus ze kunnen ook niet tegelijk wettelijk verplicht zijn dat wel te garanderen.
Er is nogal een verschil tussen het verlies van garanties omdat gegevens bij Amerikaanse bedrijven staan waardoor de overheidsdiensten van de VS via geheime verzoeken kunnen grijpen en graaien naar wat ze maar willen, en het verlies van garanties omdat bij bilaterale samenwerking van veiligheidsdiensten er bewust gegevens uitgewisseld worden van vooraf bepaalde personen.

Bij het laatste heb je als doorsnee burger een vrij minieme kans dat je gegevens naar de VS doorgegeven worden. Bij het eerste is het gewoon een open buffet: hap, slik.

[Reactie gewijzigd door R4gnax op 21 augustus 2017 22:45]

Het lijkt me beter dat er een andere minister daar komt te zitten die het wel kan garanderen.
Was het maar zo simpel op te lossen als de minister vervangen. Het gaat wss. om veel meer politici, ambtenaren en grote ICT dienstverleners die allemaal onderdeel zijn van een corpus wat als voornaamste doel heeft z'n eigen hachje te redden en de buit binnen te halen of houden.

Een andere minister zal waarschijnlijk na een paar weken tijd ook tot de conclusie komen dat er niets gegarandeerd kan worden, puur omdat er van alle kanten idioot veel tegenwerking zal komen wat het onmogelijk zal maken om tot een andere conclusie te komen.

[Reactie gewijzigd door R4gnax op 21 augustus 2017 22:30]

De overheid is wel verantwoordelijk en verplicht om te garanderen dat onze privacy gegevens veilig binnen Nederland is opgeslagen en niet op Amerikaanse of andere buitenlandse servers.

[Reactie gewijzigd door BoringDay op 22 augustus 2017 18:06]

De learning curve van cloud computing zullen we maar zeggen. Ik geloof toch dat het in mijn bedrijf al heel snel duidelijk was dat we onze data gegarandeerd niet buiten Nederland in de cloud wilden hebben, maar het UWV heeft uiteraard, zoals de overheid betaamd even namens ons allemaal bewezen waarom dat een goed idee was.
Nederland is een van de beste landen met privacy regelingen als je kijkt naar de landen om ons heen, een van de redenen dat Nederland vgm de meeste VPN servers heeft staan van heel europa.
Maar daar schiet je weinig mee op als de data buiten nederland wordt opgeslagen.
Precies de reden dat je die data IN Nederland wil hebben en niet in Amerika of een ander land wat het niet zo nauw neemt met privacy...
Duitsland wint het ruimschoots, maar hosting hier geeft betere connectiviteit.
IBM moet zich aan de Nederlandsr wet houden klinkt leuk. Maar de Amerikaanse wet maakt ze iets meer uit ben ik bang.
Conflict paar jaar terug tussen de Europese afdelingen van twee multinationals. Duitse rechter beslist in voordeel van de een (ik dacht dat het Samsung was of zoiets), maar aangezien het hoofdkantoor van beide in de VS staat en de verliezer de ander in de VS vervolgens aanklaagde, 'overrulede' een lagere rechter in de VS het hooggerechtshof van Duitsland....

En nog meer van dat soort leuke voorbeelden. Voordat de verschillende datarichtlijnen van de EU bestonden, eiste verschillende Europese landen dat een techgigant met het hoofdkantoor in de VS zich aan de lokale regels hield mbt zakendoen met consumenten. Alleen, de Amerikaanse richtlijnen die volgens de Amerikaanse Department of Finance over de wereld gelden voor Amerikaanse bedrijven, waren gedeeltelijk tegenstrijdig daarmee. Wat gebeurde er? Men voldeed niet aan de richtlijnen van de Europese landen aangezien de boete van de VS groter zou zijn...

Op tech gebied (nou ja, ook compleet financieel gebied) is de VS degene die dreigt handelaren in elkaar te timmeren als ze zich niet houden aan zijn voorwaarden om met anderen zaken te doen als ze ook maar ooit 1 stap heb gezet richting zijn tuin.

[Reactie gewijzigd door MicBenSte op 21 augustus 2017 23:15]

Ik vind dit een beetje een onzin discussie. De "amerikaanse cloud" is echt maar een minimale factor in het veilig houden van gegevens. Zorg dat je je data encrypt, zorg dat je beveiliging op orde is, dan is er weinig aan de hand. En toevallig moet je dit toch al doen, cloud of niet. Daarbij kan je ook nog eens bij de meeste aanbieders ervoor kiezen het in een Europees datacenter op te slaan.

[Reactie gewijzigd door shadowsalyer op 21 augustus 2017 22:45]

Ik vind dit een beetje een onzin discussie. De "amerikaanse cloud" is echt maar een minimale factor in het veilig houden van gegevens. Zorg dat je je data encrypt, zorg dat je beveiliging op orde is, dan is er weinig aan de hand. En toevallig moet je dit toch al doen, cloud of niet. Daarbij kan je ook nog eens bij de meeste aanbieders ervoor kiezen het in een Europees datacenter op te slaan.
Lange termijn opslag is niet zo'n probleem. Inderdaad goed te beschermen met encryptie.
Wordt moeilijker als data doorzoekbaar moet zijn, of erger; ter plaatse ook verwerkt moet worden. Wat het UWV tegen het advies van het BIT in ook wil: ze willen de hosting diensten en het applicatiebeheer bij dezelfde aanbieder onder brengen.
Waarom wil BIT hosting en applicatiebeheer apart houden? Dat kan echt niet meer in deze tijd naar mijn mening.

EDIT: tenzij je AWS bijvoorbeeld als hostingdienst ziet, dan kan het wel gescheiden. Maar ik zie nog steeds het nut niet helemaal.

[Reactie gewijzigd door shadowsalyer op 22 augustus 2017 10:27]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*