Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

UWV gaat verzenden van Excel-bestanden blokkeren in verband met datalek

In het eerste kwartaal van 2019 gaat het UWV een technische maatregel invoeren die het verzenden van bepaalde bestanden, zoals Excel-bestanden, onmogelijk maakt. De aanleiding hiervoor was het datalek van 3 augustus, waarbij het verkeerde bestand was verzonden.

Minister Koolmees, van Sociale Zaken en Werkgelegenheid, noemt de maatregel in een van de antwoorden op vragen van SP-Kamerlid Van Kent over het datalek. De maatregel moet menselijke fouten minimaliseren door het verzenden van bepaalde bestanden te blokkeren. De minister geeft Excel-bestanden als voorbeeld. Minister Koolmees gaat in overleg met het UWV welke maatregelen nog meer mogelijk zijn, zoals extra verificatiestappen, automatische waarschuwingen of technische blokkades.

Omdat de grote veranderingen in het systeem tijd kosten, richt het UWV zich nu voornamelijk op bewustwording onder werknemers en het beter naleven van het zogenoemde 'vier-ogenprincipe', volgens Koolmees. Dit betekent dat minimaal twee personen een taak moeten overzien voordat zij wordt uitgevoerd, om fouten en misbruik van de situatie te voorkomen.

Begin augustus kwamen de privégegevens van 2400 UWV-cliënten bij de verkeerde personen terecht, doordat het verkeerde bestand was verzonden naar verschillende cliënten. Daarnaast werd de zender niet gecontroleerd, zoals het vier-ogenprincipe vereist. Het UWV maakt gebruik van bulkberichten als men hetzelfde bericht naar meerdere mensen moet verzenden. Bulkberichten mochten voorheen niet gebruikt worden, maar in 2016 werd het verbod binnen de organisatie opgeheven. De reden hierachter was toen dat het verzenden van individuele berichten te veel tijd kost en tot meer fouten kan leiden. "Bulkberichten zijn veilig, mits de procedures gevolgd worden", aldus Koolmees.

De UWV-berichten komen in de werkmap van cliënten terecht. In deze map kan de cliënt zijn cv plaatsen, contact opnemen met het UWV en solliciteren op vacatures. Er had een uitnodiging voor een bijeenkomst in de werkmap van 97 cliënten moeten staan, maar in plaats daarvan kregen zij een bestand met de privégegevens van 2400 cliënten.

Hier stond onder andere het bsn-nummer van die cliënten in. Normaliter worden die nummers in ieder geval voor een deel onleesbaar gemaakt. In dit geval was dat niet gebeurd. Het datalek vond plaats op 3 augustus. Binnen 72 uur was het lek gemeld bij de Autoriteit Persoonsgegevens. De getroffen cliënten kregen thuis een brief waarin het UWV zijn excuses aanbiedt en belooft dat dit in de toekomst niet nog een keer zal gebeuren.

In september 2016 was er een soortgelijk datalek bij het UWV. Daarbij werd tevens het verkeerde bestand naar diverse cliënten verzonden, waardoor elfduizend privégegevens op straat kwamen te liggen.

Door Loïs Franx

Stagiair nieuwsredactie

24-09-2018 • 15:12

144 Linkedin Google+

Reacties (144)

Wijzig sortering
Blijkbaar is het versturen van Excel bestanden een onderdeel van de workflow van het UWV. Dus hoe gaan ze dan nu hun werk doen?

Op de lange termijn moet er natuurlijk een systeem komen dat de medewerkers ondersteund bij hun werk ipv een houtje-touwtje oplossing waarbij Excel files met de hand moeten worden heen en weer gemaild. Maar zo ver zijn ze nog niet (en daar kan wel paar jaar overheen gaan ook, als het uberhaupt al lukt).
Blijkbaar is het versturen van Excel bestanden een onderdeel van de workflow van het UWV. Dus hoe gaan ze dan nu hun werk doen?
Dat vragen die medewerkers zich natuurlijk ook af. Vervolgens komt er eentje achter dat je het excel documentje eerst even moet zippen en dat het dan wel weer werkt met alle gevolgen van dien.
En als dat niet werkt wordt een zip hernoemd naar piz om vervolgens toch verstuurd te worden. Er zijn geregeld gemeente die gegevens naar het bedrijf waar ik werk toe sturen (niet gevoelige zaken) die op deze manier om een interne blokkade heen werken. Notitie in de mail erbij en klaar. Misschien dat ze het nu ook nog via een externe partij gaan versturen(WeTransfer, Google Drive)?
En dan blokkeren ze die ook en zit er wel weer een 'handige harrie' die zijn eigen fileservertje wel even aanslingert om via zijn onbeveiligde thuisnetwerk de Synology gebruikt als cloudopslag. Compleet met 'Admin/Admin' user en pass :).

Hoe lastiger je het maakt voor de eindgebruiker, hoe creatiever de oplossingen. Tot op het punt dat men zijn eigen laptop/tablet meeneemt om via het openbare wifi, of desnoods een eigen hotspot op de telefoon, de bestanden gaat versturen.

Als men toevlucht zoekt in creatieve oplossingen dan is er gewoon wat mis met het beleid. Mensen tikken elkaar niet meer op de vingers, want ze hebben er zelf ook last van. Het management is doof voor de klachten (want kost geld om op te lossen) en zo krijg je dit soort situaties.

Gezien dit onderwerp spreekt over een exceldocument twijfel ik sowieso aan de gebruiksvriendelijkheid van het systeem. Als je met zoveel gegevens werkt als het UWV doet, en met zo veel individuen mag ik hopen dat er wel een iets praktischer systeem is dan een exceldatabase...
Uit eigen ervaring gesproken: Er is al tijden niet meer in de IT geïnvesteerd bij het UWV. Als er iets gebeurt is het uit absolute levensbedreigende noodzaak als het ware.

Ze geven liever enkele miljoenen uit om MS support op Windows XP te houden om het probleem een paar jaar vooruit te schuiven dan hun omgeving goed up to date en veilig te houden. Het is geen verrassing dat men ook graag geld spaart op de verwerking van zulke gegevens.

Voor een instantie die werkzoekenden geregeld als criminelen behandelt vind ik het nogal hypocriet dat ze dusdanig crimineel onbewust zijn van hun brakke interne situatie en procedures. Helaas is dit echter de realiteit.

[Reactie gewijzigd door ChromeBallz op 24 september 2018 16:15]

Betalen voor langere XP support ipv over te stappen op een nieuwere versie van Windows kan best de meest rendabele/voordeligste optie zijn voor een organisatie. Door het weglaten van het NETBEUI protocol >XP, is het aansturen van bepaalde types hardware zoals industriële apparaten als CNC-machines, complexe sluis-besturingen bij RWS, of zeg MRI-scanners in ziekenhuizen niet meer mogelijk. Dan is betalen voor extended XP support een stuk goedkoper dan een vleugel van een ziekenhuis slopen om er een nieuwe MRI-scanner in te plaatsen, of om de meerjaren onderhoudsinterval van een sluizencomplex over de kop te halen. ;)
Hoeveel CNC machines of MRI scanners denk je dat er bij het UWV staan? 8)7

Het UWV is een data-fabriek. Je wil daar standaard applicaties hebben. Java is prima, maar zelfs een pure WIn32 applicatie is geen probleem. Als het alleen schermpjes zijn, dan draait het ook nog wel op Wine, en zéker op Win10.
Dat waren slechts voorbeelden, een ander voorbeeld kan een print-en-frankeerstraat zijn om zeg een paar honderdduizend brieven te kunnen versturen, iets wat ze wel regelmatig moeten doen. En dat zijn ook vaak apparaten met custom "controllers" lees, windows machines met een stuk custom software om zo'n apparaat te besturen. Zo draaide onze "controller" van de groot formaat Océ TDS-400 printer ook op een windows XP (embedded) versie. ;)
Op de lange termijn is een zon legacy systeem onderhouden no way rendabel. Het is beter om als organisatie flexibel te zijn, zodat het doen van kleine upgrades gewoon weinig impact hebben.
Rijkswaterstaat kan niet even het groot onderhoud van zeg de Oosterscheldedam een paar jaar naar voren halen om zoiets als dit op te lossen, in dat soort gevallen is het miljoenen goedkoper om dat support aan Microsoft te betalen. Let's face it, in elk geval waar de bouw van een kunstwerk wat bestuurd moet worden met computers járen duurt, is de software al "legacy" bij de opening ervan.
Als zo’n machine afhankelijk is van antieke meuk die eigenlijk vroeger al obscuur was wordt het tijd om die machine te vervangen. Wellicht kun je zelfs de fabrikant nog aansprakelijk stellen voor de gemaakte kosten als ze iets leveren dat vele decennia mee hoort te gaan maar afhankelijk is van een protocol die die levensduur niet heeft. Zelfs in de tijd van XP kon je al op je klompen aanvoelen dat jezelf afhankelijk maken van een specifiek OS geen goed idee was. Zelfs als je wat kortzichtig bent en niet verder kijkt dan de Microsoft-wereld: toen kwam zowat ieder jaar een nieuwe versie uit van Windows. XP was qua levensduur echt een uitzondering.

Blijven trekken aan een dood paard is dus helemaal geen goede optie. Ik hoop dat ze er iets van geleerd hebben en nooit meer apparaten kopen die alleen werken met 1 OS. Alles op basis van algemeen gebruikte open standaarden. Je weet tenslotte nooit hoe de IT wereld er over 10 jaar uit ziet.
De miljoenen worden uitgegeven aan externe dienstverleners en wat allema geoutsourced is.
De vraag is of er nog een eigen ict is die sterk genoeg is.
En daarom bieden we diensten aan zoals een SOC (Security operations centre), om dit soort zaken op te sporen. Vaak moeten mensen gewoon wennen aan een andere manier van werken, maar zijn ze gewoon ontzettend vast geroest in wat ze kennen. Kwestie van opvoeden en controleren (en uiteraard zorgen voor fatsoenlijke systemen).
Als je met zoveel gegevens werkt als het UWV doet, en met zo veel individuen mag ik hopen dat er wel een iets praktischer systeem is dan een exceldatabase...
UWV is (semi)overheid. Als ze custom software gebruiken dan is dat gemaakt door de goedkoopste aanbieder en vrijwel zeker niet praktischer dan Excel. Integendeel.
nou over het algemeen niet de goedkoopste waar het de overheid betreft. De IT-verspilling bij de overheid is legendarisch.
Dat is hetzelfde. De overheid besteed regelmatig projecten uit aan de goedkoopste aanbieder. Dat mislukt dan, waarna de overheid niets heeft. Voor een paar miljoen extra hadden ze een aanbieder gekozen met een bewezen track record van succesvolle opleveringen. Is dat dan duurder of toch goedkoper?
nou over het algemeen niet de goedkoopste waar het de overheid betreft. De IT-verspilling bij de overheid is legendarisch.
Dat beeld bestaat alleen maar omdat je de flaters bij bedrijven niet in chocoladeletters op de voorpagina van de Telegraaf terugziet.

Betekent niet dat je het maar moet 'laten zitten', dan, maar de missers bij bedrijven zijn in mijn ervaring nog legendarischer dan bij de overheid.
Zou wel slecht zijn als ze de ZIP file niet op inhoud checken.
Password protected ZIP's moet je in zo'n organisatie sowieso blocken.
Email is uberhaupt niet bedoeld voor het uitwisselen van vertrouwelijke gegevens, dus een password protected ZIP is bij voorbaat niet juist.
Neem aan dat ze bij het UWV toch wel een security officer hebben.
Ach er is altijd een oplossing zoals het embedden van files in powerpoint of dubbel archiveren met vreemde extensies.
Vast wel, maar of er ook naar die persoon geluisterd wordt, is heul wat anders. Vaak worden die als lastpakken gezien, waar men liever omheen werkt. Aan de andere kant, sommige van die personen mogen zich wel eens realiseren dat alles maar verbieden zonder alternatieven te geven, ook te kort door de bocht is. Een bedrijf moet blijven werken, en het UWV moet wel door kunnen gaan met hun werkzaamheden. Een goede security officer kan door dat mijnenveld navigeren, de mindere gaan alleen maar overal vóór liggen.
Los van dat het hier in dit geval sowieso fout was van het UWV, maar door je vertrouwelijke content eerst te encrypten met een password maak je het toch juist veilig om via email te versturen? Of via welk kanaal dan ook dat van zichzelf niet veilig is.

Mits het encrypted is met een fatsoenlijk password wat alleen de verzender en ontvanger kennen, kunnen ze het zelfs public op twitter en facebook gooien. Maakt voor de veiligheid niet uit.
Wat als daar een ZIP in ziet, met daarin weer een ZIP, met daarin weer een ZIP?

Een tijdje terug hoorde ik het volgende van iemand van onze ICT-afdeling: Ze waren aantal email filters aan het bekijken, die o.a. moesten kunnen filteren op type bestanden. Het filter van één aanbieder kon Zip bestanden bekijken die tot 25 maal gezipt waren (dus 25 lagen gezipt). Op de vraag wat er gebeurde wanneer het bestand meer dan 25 maal gezipt was werd geantwoord dat dat doorgelaten werd. Het mag duidelijk zijn dat die aanbieder is afgevallen.
Ik geloof dat de huidige instelling is dat een bestand da meer dan drie keer gezipt is automatisch wordt geblokkeerd.
Misschien zit die limiet er op vanwege zip bombs.
Het probleem is niet de limiet; het probleem is de whitelisting van 26 keer gezipte content. Die hoort per definitie op de blacklist; er is geen redelijk denkbare reden voor 26 nivo's zip file.
De vraag is ook of ze encrypted zip files blokkeren. Je kan hierbij trouwens nog steeds zien wat de filenames in de zip zijn.
> Je kan hierbij trouwens nog steeds zien wat de filenames in de zip zijn.

Ja, maar de truc is dus dat je de Excel zipt, en die zip weer zipt maar nu met een password. De passworded zip laat dan zien dat er een zip in zit, maar niet wát er in die zip zit. Zipception.
Juist. Het lijkt me dat sites als dropbox en wetransfer en soortgelijke diensten wel geblokkeerd zullen zijn. Maar zippen of hernoemen en het wordt alsnog gewoon gemaild. Al moet ik zeggen dat onze filters ook kijken of er leipe zooi in archieven zoals zips zit. Wij hebben dan ook de mogelijkheid om bv Excel files in zips alsnog te blokkeren. Tenzij er een wachtwoord op zit...
Dropbox, WeTransfer... Allemaal hetzelfde probleem, je raakt controle over het bestand kwijt: je weet niet wie wat inziet of krijgt.

Wat nodig is, is dat data in een Workspace wordt verwerkt en dat de toegang tot de Workspace goed geregeld is; inclusief voor mensen buiten de eigen organisatie.
Dropbox, WeTransfer... Allemaal hetzelfde probleem, je raakt controle over het bestand kwijt: je weet niet wie wat inziet of krijgt.
Daarom client side encrypten, dan kun je alles veilig op DropBox gooien.
verander de extensie van zip naar doc, en veel filters die alleen maar naar de extensie (en niet naar mime type) kijken laten ze door...
Mime type? Dat zit toch alleen in metadata, zoals http headers bij een download, of een content header bij usenet posts. En niet bij een normaal bestand, en dus ook niet in een zip archive.
Als er een wachtwoord opzit kun je hem alsnog blokkeren, als je een beetje fatsoenlijk mailfiter gebruikt.
Het systeem wat er nu moet komen, zou makkelijker moeten zijn dan het zippen van bestanden. Juist om dit soort praktijken te voorkomen.
In de meeste gevallen zal de eindgebruiker de makkelijkste oplossing gebruiken, of dit nu veilig is of niet.
Hahaha. Sorry ik zag de situatie al helemaal voor me :).
Die oplossingen zijn er al, maar die snappen ze niet.
Samenwerken in een document kan binnen de organisatie gewoon binnen office365.

Dit gaat over een onoplettende medewerker die het verkeerde bestand verzend. En waarom pas vanaf begin 2019? Is de afdeling MAIL-ict dan zo traag?
dat met office 365 werkt alleen als je het via onedrive doet. ik kan me voorstellen dat het uwv daar niet aan begint maar alles gewoon op eigen servers heeft staan.
en de afdeling mail-ict zal niet traag zijn, maar de managers en andere personen die de beslissingen nemen. die zijn vaak de vertragende factor.

[Reactie gewijzigd door mjz2cool op 24 september 2018 15:33]

Zo't beetje alles via 4-ogen principe haalt de snelheid er ook wel uit.
Dat OneDrive werkt K. Also je serieus iets wil doen, moet je het in Excel programma LOKAAL doen. Buiten dat het dan gelokt staat voor anderen, staat ook de data lokaal.

Als je toch zoiets wel gebruiken, google spreadsheet binnen een gsuite abbo.
ik zeg ook niet dat het goed werkt, ik zeg dat ik het me kan voorstellen dat het uwv dat niet gaat doen, omdat ze dan niet zelf de controle over de data hebben, maar ook omdat het gewoon niet handig werkt.
bij ons gebruiken we het ook niet, en ik kan me niet indenken dat veel bedrijven dat wel doen. google zou ik dan al helemaal niet gebruiken, dan parkeer je je data bij een bedrijv dat hun inkomsten uit data haalt.
Gsuite = betaald en dus Handsoft voor Google.

Alle gratis varianten ongeacht aanbieder daar moet je oppassen.
oke dan trek ik dat terug, ik ben niet bekend met betaalde apps van google.
Tegenwoordig kan je via O365 ook prima gezamenlijk in files werken met je lokale Office vermits je W10 clients redelijk bij zijn qua updates.
Als het 2014 was, dan zou ik ook zeggen: niet verkeerd.
Hoezo snappen ze dat niet? Het zou zo maar kunnen dat ze office 365 hebben. Maar dat zou niet kunnen /moeten betekenen dat al hun klanten dat dan ook willen en kunnen. Daarbij kan er bij sharen (dat vaak ook via email gaat) net zo goed verkeerde bestanden worden gebruikt. Binnen de organisatie kunnen er ook gewoon lokale shares gemaakt zijn.
356 Lost in dit geval niets op, en heeft mijn inziens er ook niets mee te maken.
356 Lost in dit geval niets op
Dan is het niet correct ingericht of de interne processen lopen niet goed. Als data de organisatie niet mag verlaten, dan kan Office 365 zo ingericht worden dat dit niet kan. Echter zou het zomaar kunnen dat deze data wel de organisatie mag verlaten, maar niet naar ontvanger X, alleen naar ontvanger Y. Je kan instellen met welke domains data gedeeld mag worden op global niveau in SPO of op site niveau, maar dan zou je voor elke partner een aparte site moeten aanmaken. Ik denk dat de UWV er extreem veel heeft en dat dit mogelijk niet werkbaar is voor de organisatie.

Bij een organisatie ter grote van de UWV zou ik mogen verwachten dat er gewoon geen gevoelige data de deur uit gaat via (onversleutelde) email gemaakt door mede werkers. Een foutje maken we immers allemaal. Je zou daar een apart systeem voor kunnen hebben die dit automatisch doet op basis van het type document en de ontvanger. Als je vervolgens meerdere mensen er naar laat kijken voordat iemand er daadwerkelijk toegang tot krijgt is het meteen al een stuk minder foutgevoelig.

@pookie79 Dat kan voor een groot deel geautomatiseerd gebeuren en het goedkeuren door verschillende mensen gebeurd al decennia bij de banken voor het goedkeuren van leningen. Dat hoeft echt niet enorm veel tijd in beslag te nemen...

[Reactie gewijzigd door Cergorach op 26 september 2018 16:21]

Als data de organisatie niet mag verlaten, dan kan Office 365 zo ingericht worden dat dit niet kan
Lekker banen creeren om dat bij te houden.. Het spijt me maar om eerlijk te zijn vind ik het niet een reeele werkbare oplossing.
Als je vervolgens meerdere mensen er naar laat kijken voordat iemand er daadwerkelijk toegang tot krijgt is het meteen al een stuk minder foutgevoelig.
ssssst straks horen ze je, dan gebeurd er helemaal niets meer bij het UWV
Ze zitten momenteel in een migratie van hun gehele infra. Dat zal mogelijk een reden kunnen zijn.
Je zet in alle Excell docs die de deur niet uit mogen gaan een watermerk. In je IPS firewall zet je dit watermerk in een regel met als actie reject of drop. Probleem opgelost?

Watermerk kan gewoon een verborgen tekst zijn ergens in het document. Maakt al niet uit waar.

Als je deze documenten genereerd met een export functie. Laat bij gevoelige kolommen automatisch het watermerk meenemen.

Je kan als sysadmin hierdoor op de hoogte gesteld worden. Wie wel zo'n bestanden probeerd te verzenden. Deze personen kan je dan een extra opleiding geven inzake privacy.

[Reactie gewijzigd door BlaDeKke op 24 september 2018 15:54]

Dus maken ze er een CSV van een sturen het alsnog.

Mensen moeten goed kunnen samenwerken. Geef ze dan die mogelijkheid, anders zoeken ze wel iets om de boel te omzeilen.

Alle andere oplossingen zijn leuk voor consultants, frustrerend voor beheerders en gebruikers, duur voor iedereen met alleen maar negatieve waarde.
Niet als die CSV dat watermerk meeneemt.
Blijkbaar is het versturen van Excel bestanden een onderdeel van de workflow van het UWV. Dus hoe gaan ze dan nu hun werk doen?

Op de lange termijn moet er natuurlijk een systeem komen dat de medewerkers ondersteund bij hun werk ipv een houtje-touwtje oplossing waarbij Excel files met de hand moeten worden heen en weer gemaild. Maar zo ver zijn ze nog niet (en daar kan wel paar jaar overheen gaan ook, als het uberhaupt al lukt).
100% eens - dit is echt een typisch voorbeeld van een slecht doordachte 'oplossing'. Tegenwoordig zijn er gewoon goede oplossingen op de markt om daadwerkelijk veilig en privacy verantwoord te kunnen mailen (en bestanden delen) mét behoud van gebruiksgemak voor de medewerker (bijv. ZIVVER).

Ongelofelijk dat een organisatie als het UWV na een dergelijk datalek niet dat soort oplossingen overweegt/gaat gebruiken.
Als ik Microsoft was zou ik meteen iemand sturen om ze daar wat bij te brengen ivm azure information protection.

https://azure.microsoft.c...s/information-protection/
Het zou zo maar kunnen dat de Excel workflow is afgedwongen door een externe relatie.

Het bedrijf waar ik werk is redelijk modern en kan op verschillende manieren data ontvangen van externen relatie's. Maar sommige van die relatie's (vaak de kleine instellingen) leven nog in het jaar 0 en hebben helemaal niet de infrastructuur en kennis om op een moderne en veilige manier gegevens aan te leveren.

En dus zitten we vast aan een verouderde manier van data aanleveren. Gewoon een dvdtje branden en versturen met de post. :+ Zijn wij geen voorstander van, maarja, zo'n instelling kan vaak niet beter...
In een zipfile stoppen en dan versturen, zoals in de 90s? Het is wel duidelijk dat er dingen mis zijn bij het UWV..

@R.di.Giovanni thanks :)

[Reactie gewijzigd door CopyCatz op 24 september 2018 15:48]

Daar noem je er nog een maar dit gaat over het UWV. ;)

Bij de Belastingdienst lijken ze een strategie te hebben om gewoon alles op ict-gebied te verkloten.
Als dat 'de standaard' is, valt het ook niet zoveel meer op.

Beetje gechargeerd natuurlijk, maar het zal nog wel even duren voordat onze overheid van hun ict-imago afkomt.
Je verbaast je er al bijna niet meer over....
De overheid zal nooit van zijn ICT-imago afkomen.
En elk groot bedrijf dat zijn ICT-missers aan de grote klok zou moeten hangen zou hetzelfde imago krijgen. ICT-blunders is echt niet enkel voorbehouden aan de overheid. bedrijven kunnen het allen veel beter onder de pet houden.
Het probleem is dat als je als ICT-dienst bij een bedrijf het zo verklooit dat je dan binnen de kortste keren bij het UWV staat, terwijl de ICT afdeling van het UWV gewoon kan blijven zitten.

(Doordenkertje ;)
Even lost van het feit dat er ook bij de belastingdienst dingen mis zijn; bedoel je hier niet het UWV?
email system>Could not send message due to .xlsx restrictions
Ambtenaar> ok dan copy paste ik de inhoud van sheet 1tm3 wel rechtstreeks in de email
result> same
Dit dus. Dit soort beveiligingen zijn altijd wel te omzeilen, en dan heb je het risico dat het op een nog onveiligere methode wordt verspreid.

Ik denk dat het distribueren van bestanden het beste is door middel van een CMS of een DMS. Wanneer ik een officieel document moet aanvragen in Noorwegen, dan kan ik dat niet (gemakkelijk) downloaden maar alleen online bekijken/printen en/of doorsturen, bijvoorbeeld. Je kunt natuurlijk altijd op de een of andere manier de gegevens kopieren, of een screenshot nemen, maar het is wat makkelijker om de controle behouden over het verspreiden van data. En is er per ongeluk een link naar een document verstuurd, kun je het document gelijk offline halen.
Omdat de grote veranderingen in het systeem tijd kosten, richt het UWV zich nu voornamelijk op bewustwording onder werknemers en het beter naleven van het zogenoemde 'vier-ogenprincipe', volgens Koolmees. Dit betekent dat minimaal twee personen een taak moeten overzien voordat het wordt uitgevoerd, om fouten en misbruik van de situatie te voorkomen
Dus, omdat het een tijdrovend werk is om het systeem te veranderen, bezetten we de tijd van onze werknemers met extra taken? :+ (ik snap het wel hoor, maar het klink een beetje krom)
Precies dit.. je kan alles dichttimmeren maar gebruikers vinden altijd wel een "workaround"...

mensen bewust maken van de gevolgen is de enige en de beste manier om dit te voorkomen...
Nee, nu klik je niet perongeluk het verkeerde bestand aan.
Nu zie je de inhoud voordat je op verzenden drukt.

Maar dit is natuurlijk niet de oplossing, er wordt omheen gewerkt door bijvoorbeeld er een .zip van te maken. en dan maken we weer dezelfde fouten.
Kopiëren van de inhoud van een Excelfile met al die persoonsgegevens en dat per ongeluk? Dat lijkt me niet een heel erg waarschijnlijk scenario...
Ik begrijp trouwens niet wat dergelijke gegevens (BSN!!! en andere misbruikbare gegevens) EN van zoveel mensen tegelijkertijd in één Excelfile doen. Ook dat dit dan zo maar beschikbaar is als Excelfile aan degenen die dergelijke mails rondsturen.
Gelukkig heb ik geen 'abonnement' daar, al kunnen ze denk ik wel bij een ieders gegevens.
Je begrijpt dat het BSN het klantnummer bij de overheid is?

Ik kan tal van van redenen verzinnen waarom NAWTE+BSN in een excel zitten. Denk aan export naar bedrijf artsen (ter controle of een werknemer echt ziek is), profiel selecties voor een bepaald leer/opleidings traject, etc. Ik las vanochtend dat men in de regio Den Haag werkelozen wouden gaan opleiden tot vrachtwagen chauffeur. Dan neemt zo'n gemeente contact op met het UWV en vragen zij een selectie van werkelozen met rijbewijs B. En die zal de gemeente dan in de regel per excel ontvangen. Excel is bij uitstek zeer geschikt voor tabel data welke zowel door mensen is te lezen en te bewerken en kan daarna ook eenvoudig automatisch worden verwerkt.

Iedere Nederlander met een baan heeft een dossier bij het UWV. Werkgevers zijn verplicht om je gewerkte uren door te geven. Dat ik ook de reden waarom het UWV precies weet hoeveel dienstjaren je hebt en daarmee kan bepalen hoeveel maanden je recht hebt op WW.. Ook moeten werkgevers diverse sociale premies betalen naast hetgeen wat jij betaald van je bruto salaris..
Je begrijpt de uitroeptekens achter dat BSN, neem ik aan?
De gegevensverwerking kan ook op veel veiligere wijze. Sorry, maar een Excelfile, hoe handig (toverwoord) ook vind ik bijzonder naief.
Of pas de extensie aan en zeg tegen de ontvanger dat ze hem aanpassen naar .xls of .xlsx, zelfde principe.
Maar dat verzinnen de meeste gebruikers niet.. copy paste kennen ze allemaal ;)

dat je de extensie kan aanpassen weten (gelukkig) de meeste niet.
Of ze moeten bij afdeling ICT een scanner inbouwen die niet kijkt naar de extensie, maar de inhoud en opbouw van de bestanden. Dan kan het weer niet.
zal de beveiliging daar zo geavanceerd zijn?
Deze is meestal ook nog eens verborgen, en daardoor weer iets lastiger aan te passen. Maar het is een kleine hobbel in de weg naar het doel.
of maak een screenshot/printscreen, om die jpeg vervolgens verkleind in een doc te plakken :+
Je wil niet weten hoe vaak ik op die manier screenshots heb ontvangen |:( 8)7 :'( :'( :'(
Dan maar bestanden naar elkaar verplaatsen middels USB stick? Dit lijkt me niet een volledige oplossing op het probleem..
Waarschijnlijk wordt de extentie van een Excel bestand geblokkeerd.
Vroeger werden bij veel mail providers ZIP bestanden geblokkeerd. Dit kon je gemakkelijk omzeilen door de extentie te veranderen naar bijvoorbeeld .doc. In de e-mail Kon je dan ook weer neerzetten voor de ander dat het bestand een .zip is.

Ik vraag me af wat het alternatief gaat worden. USB gaat per post en dat wil je niet (duurt ook lang en USB sticks kosten geld. Ik verwacht eerder dat het of via Word gaat of via een gedeeld bestand (Microsoft Cloud).
Het voorkomt in ieder geval dat er per ongeluk een Excelbestand gemaild wordt.
Opzet is lastig te blokkeren. Wanneer naar de structuur van het bestand gekeken wordt, kun je er altijd een PDF van maken, dat zullen ze niet snel blokkeren.

Wanneer ik het artikel goed begrijp gaat het om een berichtenbox op een website. Dan is het veel eenvoudiger (qua idee, niet per se qua implementatie) om enkel berichten in PDF formaat te accepteren. Dat houdt het voor de rest van de organisatie mogelijk om Excelbestanden te mailen die gemaild moeten worden.
In het antwoord van de minister staat niet letterlijk terug te vinden of het alleen om Mijn UWV / Berichtenbox gaat, maar ik maak het er wel uit op:
"Het UWV zal in het tweede kwartaal 2019 een technische maatregel invoeren die het verzenden van bepaalde bestanden, zoals xcel [sic] bestanden, onmogelijk maakt. Deze maatregel beperkt het risico op een vergelijkbaar incident aangezien dit soort bestanden dan niet in de werkmap geplaatst kunnen worden."

Ik hoop in ieder geval dat per e-mail excel uitwisselen nog mogelijk is, omdat ik juist met UWV medewerkers, Excel-sheets met informatiebeveiligingsmaatregelen uitwissel :+

Een betere maatregel dan bestandstypen blokkeren, is het tekstueel scannen op vertrouwelijke gegevens. BSN's, systeemconfiguratie zoals IP-adressen? Rood lampje! :)
Hoewel Excel en andere proprietaire bestandsformaten verbieden natuurlijk een hele goede is ihkv Nederland Open in Verbinding :X
Tekstueel scannen heeft geen zin. Brieven van UWV aan uitkeringsgerechtigden staan bol van vertrouwelijke gegevens. Beoordelen of de vertrouwelijke gegevens enkel de ontvanger betreffen gaat elke scanner te ver.
Goed punt; het is (misschien) te veel gevraagd om te scannen op vertrouwelijke gegevens minus die van de geadresseerde. Maar op het moment dat via een werkstroom 'groep mailen' gebeurt, lijkt het me wel zo handig.
Kan me goed voorstellen dat er zelfs OTS software voor is als soort firewall die je zonder al te veel werk in een systeem kan bouwen.
Een OTS oplossing zou zijn om een berichtenbox-systeem zodanig in te richten dat je er alleen Pdf's in kan plaatsen. Ik ben verbaasd dat dat blijkbaar niet standaard is.
Dropbox upload met een linkje? Wetransfer, OneDrive, Google Spreadsheet aanmaken... Lijkt me inderdaad niet de meest sterke beveiliging.
Eigenlijk is dat een perfecte oplossing. Wanneer heb jij voor het laatst per ongeluk je USB stick naar 50 mensen gestuurd?

Men wil voorkomen dat medewerkers per ongeluk excel bestanden naar personen buiten de whitelist sturen. Een excel blokkade voor iedereen welke niet op de whitelist staat, is een eenvoudig oplossing en kan zeker een eerste drempel zijn.

Als jij bestanden gaat hernoemen om het filter te omzeilen, kun je niet meer spreken van een ongeluk als de data uitlekt. Als je vervolgens in de gedragscode opneemt dat het filter omzeilen kan worden gezien als hacken (omzeilen beveiliging) en dat je daarvoor kunt worden ontslagen en men jouw strafrechtelijk zal vervolgen is zo'n excel blokkade in de meeste gevallen effectief genoeg.

Ik dat iedereen weleens een mail verstuurd hebt met een verwijzing naar een attachment, maar vervolgens vergeten is om de attachment daadwerkelijk aan de mail te hangen..
Er gaat hier zo ontzettend veel mis dat het niet meer leuk is. Dit is niet één klein foutje, maar een opeenstapeling van gebreken.

Ten eerste is het gebruik van Excel al een rode vlag. Het wordt namelijk vooral gebruikt als middel om lijstjes en tabellen te maken en niet om mee te rekenen. Eigenlijk zijn die gebruikers op zoek naar een eenvoudige database of een manier om lijstjes en tabellen op te maken en doorzoekbaar te maken.

Ik zeg niet dat het altijd verkeerd gebruikt wordt of dat er iets fundamenteel mis is met de software zelf. Het punt is dat mensen vaak Excel gebruiken bij gebrek aan een tool die is gemaakt voor hun probleem. Dat Excel op deze manier gebruikt wordt is een aanwijzing dat het proces door de gebruikers zelf is bedacht en niet door de IT-afdeling.

Het tweede probleem is dat we nog steeds bestanden via e-mail versturen. E-mail is daar eigenlijk niet echt geschikt voor, maar we hebben geen alternatief dat net zo makkelijk en universeel is.

Het derde probleem is dat we data nog onveilig opslaan. Het zou mooier zijn als dit soort data zo veel mogelijk versleuteld is en blijft. In praktijk werkt het echter meestal zo dat er een centrale database is die beveiligd is, maar iedereen kan er data uit halen die dan niet langer beveiligd is.

Het vierde probleem is dat we email nog altijd onveilig versturen. Encryptie en digitale handtekeningen zijn nog altijd een zeldzaamheid.
Mensen enkel nog laten werken met tools die zijn gemaakt voor specifieke problemen en niets anders is natuurlijk wel een leuk streven..

Maar dat hele idee van eerst eens mensen veranderen in robots zodat we daarna robots alles kunnen laten doen is mijns inziens nogal een combinatie van paard achter de wagen spannen terwijl men hardop denkt: Doel. Middelen. Mmm.., DOEL!
Want wat men meestal eigenlijk wil is productiever medemensen/-werkers die zich afdoende verantwoordelijk voelen (dus minder fouten maken) voor hun werkproduct. En dan ga je tòch nat gaan met een legertje geest-vernauwden.

Anyway -mijn mening- lekker knutselen dus met tools die veel kunnen wat je eigenlijk (nog) niet nodig hebt. En als een klein ongelukje grote gevolgen heeft.. werk ook eens met Small Data. Dat bestaat (jawel) en mag best, dan heeft je buurman ook nog wat te doen. Toch goed van, en voor, het UWV ;) :+

[Reactie gewijzigd door BStorm op 25 september 2018 00:55]

Wat een onzin. Het gaat niet om het type bestand, maar de inhoud. Als je een verkeerd.bestand veilig stuurd dan heb je nog een probleem.
Tis daar gewoon een zooitje.
Kijk eens naar Gsuite van Google. Die hebben "office" als werkomgeving opnieuw uitgedacht. Het lost niet ieder probleem op maar bijlages worden bijvoorbeeld niet aangmaakt. Er wordt enkel een link gemaakt naar het originele bestand waardoor toegang ook direct weer in te trekken is.

Beheerders hebben daarnaast ook goed inzicht in wie data extern deelt en met welke organisaties.
Dus exact hetzelfde als wat mogelijk tijden aanwezig in 365. Dus zo opnieuw uitgedacht is het niet
Ik wil ook niet zeggen dat dat specifieke onderdeel is uitgevonden door Google maar de werkwijze van de algehele oplossing (volledig webbased vs hybride).
Waarom zouden er excel documenten gestuurd moeten worden? Een CMS zou toch veel beter zijn, hoef je alleen nog maar linkjes te sturen. Wel zorgen dat niet iedereen overal bij kan, maar dat is logisch...
maar dat is logisch... "dan gaan we dat sowieso niet doen" :+

ookal zijn er goede afspraken, procedures en richtlijnen; deze worden vaak als vervelend en irritant gezien. Met gevolg dat men 'om het systeem heen' gaat werken, zoals hierboven; een dropbox, clouddienstx, usb etc.

precies dit; NightFox89 in 'nieuws: UWV gaat verzenden van Excel-bestanden blokkeren in ve...

[Reactie gewijzigd door himlims_ op 24 september 2018 15:23]

CloudDienstX kun je blokkeren via firewalls, en USB poorten kun je ook blokkeren. Persoonlijk heb ik een bloedhekel aan CMS'en (werken nooit lekker), maar ik vind ze nog steeds prettiger dan documenten in m'n mailbox (wanneer heb ik dat mailtje ook alweer gehad, en is dat nog wel de laatste versie?)

Maar ja, het lijkt er soms op dat het niet gedaan wordt, omdat het logisch is...
Vaak duurt het te lang, ingewikkeld, of is 't te kostbaar om extra licenties te gebruiken voor tijdelijke gebruikers => werken onder iemands anders account. Vaak genoeg meegemaakt.
Even de orginele posting gelezen:

De instantie zegt dat het de bedoeling was om 97 werkzoekenden informatie te geven over de opzet van een netwerkcafé, maar bij 96 personen werd een verkeerde bijlage meegestuurd

Het UWV heeft dus een verkeerd bestand in hun mailing meegestuurd naar eindklanten, zelfs als je er niet vanuit kunt gaan dat iedereen excel of een compatible programma thuis geïnstalleerd heeft, is het imho geen goede zaak ook maar wat voor bestand al is het een beveiligde PDF mee te sturen denk aan kwaadwillige macro's e.d.
Voorbeeld van een oplossing:
Men had de werkzoekenden middels hun DIGI-D kunnen laten inloggen op de UWV site om de informatie te zien, minder laagdrempelig, maar wel veiliger.
Het blokeren van welke vorm van attachments heeft over het algemeen wel zin, maar het moet eerder een bedrijfspolicy zijn om dit op een integrale manier op te lossen.
Wat ik uit het artikel begrepen heb ging het hier om de persoonlijke werkmap van de werkzoekenden. Dus om hun persoonlijke inbox op de UWV-site. Dáár zijn die Excelbestanden in terecht gekomen.
Waarom die inbox andere bestanden accepteert dan PDF bestanden is mij een raadsel.
Kan mij ook weinig indenken bij dat versturen van Excel bestanden. Heb de afgelopen tien jaar veel met ze te maken gehad en diverse brieven met complexe berekeningen ontvangen via de portal, maar nooit iets met een Excel bestand erbij. Het enige dat ik mij in kan denken is dat deze functionaliteit gebruikt wordt voor het uitwisselen van informatie met bedrijven die ook klant zijn bij het UWV.
Ik ben jaren geleden eens door het UWV uitgenodigd de Amsterdamse Banenmarkt te bezoeken. Samen met een paar honderd andere UWV klanten die gewoon leesbaar in de CC stonden. Toen ik de slimmerik die de mail verstuurd had belde om hem te vertellen waar de BCC voor is, antwoorde hij dat hij niet van dergelijke kritiek gediend was. Zijn superieur gebeld, die begon een verhaal met als boodschap dat het geen schande is om werkzoekende te zijn. Ik maakte me druk om niets. Volkomen kansloos.
Tegenwoordig zou je ze kunnen wijzen op de AVG/GDPR en een melding doen bij de Autoriteit Persoonsgegevens.
De getroffen cliënten kregen thuis een brief waarin het UWV zijn excuses aanbiedt en belooft dat dit in de toekomst niet nog een keer zal gebeuren.
Gelukkig. Zo kwam alles toch nog goed. 8)7
Vreemd dat dit zo hoog geplust wordt (werd inmiddels). Heb je ook een constructief alternatief naast excuses aanbieden en verbetering beloven in zo een geval?

[Reactie gewijzigd door Hoijong op 24 september 2018 15:30]

Het was gewoon een grappig bedoelde reactie. Niets meer, niets minder. Max. +1 waard, maar eerder +0, wegens irrelevant/off-topic. Het gebeurt vaak dat reacties die als eerste zijn geplaatst, zo hoog geplust worden. Dat wordt na verloop gecorrigeerd door andere Tweakers en anders door een moderator.

Om serieus antwoord te geven op je vraag:
Nee, ik heb niet echt een alternatief. Mijn frustratie zit 'm vooral in het feit dat zo'n belangrijke organisatie na al die jaren (15+ jaar aan digitalisering), een paar basis beveiligingsvoorwaarden nog steeds niet op orde heeft.
Je kunt als burger niet echt om het UWV heen als je werkloos wordt. Dus je verwacht dat ze serieus om gaan met je gegevens. Ik zou dus niet blij worden als dat niet zo is en een briefje ontvang met de tekst 'sorry'.

(En zeer waarschijnlijk op dezelfde voet doorgaan en over een paar maanden/jaren weer excuses moeten aanbieden voor gelekte bestanden. Zoals gemeld in dit bericht is er een soortgelijk geval in 2016 geweest en hebben daar toen ook excuses voor aangeboden..)

[Reactie gewijzigd door Ynst2003 op 24 september 2018 15:37]

Die verwachtingen zijn volkomen terecht en de kritiek ook.
Nu is het UWV waarschijnlijk niet het juiste voorbeeld, maar als er iets mis gaat in een organisatie (die wel serieus omgaat met persoonsgegevens) dan kun je weinig meer doen dan excuseren, verbeteren en hopen dat het daarmee niet weer gebeurt. De menselijke factor blijft altijd een probleempje als het op beveiliging aankomt.
Dus nu gaan ze "4-ogen" toepassen... Dan duurt alles dus nog langer om te regelen.
Is die instantie niet ISO 9001 (etc) gecertificeerd?
ISO9001 is hooguit net zo nuttig als 4 ogen, dus of dat wat toevoegt? Het zegt alleen maar dat je je aan procedures houdt het geeft geen inhoudelijk oordeel over hoe zinnig de procedures zijn.
enige compensatie bij misbruik lijkt me minimaal
Je krijgt bij het UWV al gratis geld. Lijkt mij eigenlijk al compensatie genoeg..
Deze reactie slaat de spijker wel op zijn kop.

Zelf word ik nogal woest omdat ik op dit moment met deze partij te maken heb... het is soms moeilijk geloven dat je zelf in een werkloze situatie zit als je met lui als dit te maken hebt, die dit soort banale fouten maken en vervolgens verantwoordelijkheidsgevoel alleen van jouw zijde verwacht wordt.
Een gratis verzekering tegen identiteitsfraude aanbieden.
Schadeloosstelling?

In deze tijd zijn je persoonlijke gegevens blijkbaar geld waard (zie Google en consorten).
Als men een kras op je auto maakt moeten ze ook lappen, dus waarom eigenlijk in zo'n geval niet?
Mooi zo achter elkaar:
belooft dat dit in de toekomst niet nog een keer zal gebeuren
en dan:
In september 2016 was er een soortgelijk datalek bij het UWV
Was er toen ook 'belooft' dat het niet nog een keertje zou gebeuren?...
Destijds waren degenen die dat bestand ontvangen hadden opgebeld en alle 26 hebben zij 'belooft' er geen misbruik van te maken...

Ik zie vooralsnog niet dat ze destijds hebben 'belooft' dat het niet meer zou gebeuren, is het daar dan mis gegaan? :+
Zijn het dezelfde personen waar de gegevens van gelekt zijn dan? Niks aan de hand zolang het niet bij dezelfde twee keer gebeurt :+
Ik zie een eenvoudige en goedkope oplossing voor de toekomst.... gewoon niet beloven dat het niet nogmaals voorkomt!
Daarom staat het tussen aanhalingsteken ;)
Sorry, die had ik gemist O-)
Plot twist: ODS-bestanden worden niet geblokkeerd :+

Wel goede manier om Microsoft Office gebruikers te pesten zodat ze LibreOffice gaan gebruiken. Op zo'n manier wordt er wel gestimuleerd dat OpenDocument-formaten gebruikt gaan worden binnen instanties van de overheid :)

[Reactie gewijzigd door RoestVrijStaal op 24 september 2018 15:29]

Plot twist: al je gebuikers zijn achter je rug om we-transfer gaan gebruiken
Tja, in zip files kan je ook gewoon scannen. Dus encrypten die zip en password in de mail erbij zetten.

Oh wacht, ik ken hele hordes organisaties die encypted zips blokkeren.

Ik mag uberhaupt alleen encrypted data verzenden, wat een drama is dat bij veel organisaties. Ons wel aanspreken of we ons wel aan de AVG houden. Maar vervolgens vragen of we die bestanden niet zonder password kunnen verzenden anders wordt het geblokkeerd...
Tja, in zip files kan je ook gewoon scannen. Dus encrypten die zip en password in de mail erbij zetten.

Oh wacht, ik ken hele hordes organisaties die encypted zips blokkeren.

Ik mag uberhaupt alleen encrypted data verzenden, wat een drama is dat bij veel organisaties. Ons wel aanspreken of we ons wel aan de AVG houden. Maar vervolgens vragen of we die bestanden niet zonder password kunnen verzenden anders wordt het geblokkeerd...
Encrypted zips zijn ook lekker werkbaar. Zou het logischer vinden gewoon een goede beveiligde mail oplossing te hanteren. Uiteraard met verplichte juiste 2FA (sms, toegangscode) en juiste logging.
Je stipt een goed punt aan, er is gewoon geen goede oplossing.
We hebben tegenstrijdige wensen en eisen, en als het al mogelijk is om een technische oplossing te bedenken dan is die al snel onwerkbaar.

Ik weet ook niet hoe ik een willekeurige persoon op deze aarde een bestand moet sturen op een manier die veilig en makkelijk is. Technisch gezien kan ik een eind komen met tools als PGP, SMIME en DRM, maar dan moet de ontvanger die wel ondersteunen en in praktijk is dat vrij kansloos.

Binnen een organisatie is het beter te doen omdat je dan controle over zowel zender als ontvanger hebt, maar het blijft altijd minder handig dan een gedeelde filestore of een simpele e-mail.


Wat ook niet helpt is dat we elkaar nauwelijks afrekenen op onveilige IT. Mensen voelen heel goed aan dat ze veel gedonder krijgen als hun werk niet op tijd af is terwijl er eigenlijk nooit consequenties zijn voor onveilig werken.
plot twist: ze gebuiken hun prive-gmail
Overigens doet een beetje email scanner ook gewoon de inhoud van zip-bestanden doorzoeken.....
plot twist: een zip met wachtwoord kan niet doorzocht worden
Dat ze niet aan DLP doen (data loss prevention) )7

Als werknemers geen excel bestanden meer mogen doorsturen, proberen ze het wel op een andere manier, het blokeren hiervan is geen goede oplossing.

Een toestemming dat vereist is voor de accountable is veel effectiever.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True