Nederlandse overheid publiceert op website hoe overheidsdiensten data verwerken

De Nederlandse Rijksoverheid heeft een website online gezet waarop staat hoe de diverse overheidsdiensten omgaan met data van burgers. De overheid wil daarmee meer openheid geven over de gegevens die van burgers verzameld worden.

AVG-register overheid, voorbeeld
Voorbeeld van een register

Op de website www.avgregisterrijksoverheid.nl staan de 'verwerkingsregisters' van alle twaalf ministeries. Ook komt er volgens de overheid informatie van zelfstandige bestuursorganen te staan en die van Hoge Colleges van Staat, zoals de Raad van State en de Algemene Rekenkamer. Op dit moment is de Autoriteit Consument en Markt nog het enige zbo dat op de site staat. Per minister kunnen burgers ook per organisatieonderdeel bekijken welke data ze verzamelen en hoe ze die verwerken. Zo staan organisaties als het Planbureau voor de Leefomgeving onder het ministerie van Infrastructuur en Waterstaat. Er staat ook een sectie met veelgestelde vragen op de website rondom privacy, de AVG, en de website zelf.

Onder de AVG is het voor veel bedrijven en instanties verplicht een verwerkingsregister bij te houden. Daarin moet staan welke gegevens worden verzameld, voor welk doel, en hoe die bijvoorbeeld beveiligd zijn of worden opgeslagen. Het is niet verplicht om zo'n register aan te melden bij de Autoriteit Persoonsgegevens, of publiek te maken. Toch zegt de overheid met de site 'haar transparantie over gegevensverwerking te willen laten zien'.

Update: Aanvankelijk stond er in dit stuk dat het aanmelden van een verwerkingsregister bij de AP verplicht was. Dat is niet zo.

Door Tijs Hofmans

Nieuwscoördinator

11-12-2019 • 15:54

56

Submitter: Echt niet.

Reacties (56)

56
48
15
1
0
24
Wijzig sortering

Sorteer op:

Weergave:

Ook vreemd: Rijkswaterstaat staat niet onder het ministerie van Infrastructuur, terwijl het wél een onderdeel ervan is. En de grootste cameraboer van Nederland.
Je kunt ook een groot vraagteken zetten bij de betrouwbaarheid van wat er gepubliceerd wordt aangezien de overheid zo verrot is als een mispel, zie de toeslagen affaire.
Alles wat wettelijk niet door de beugel kan wordt afgelakt, verzwegen of op een andere manier onder het kleed geschoven.Men behandelt de burger nog steeds als "dom" en heeft de mond vol over landen als Bulgarije en Hongarije maar de NL overheid is minstens zo corrupt.
Mag ik je leesvoer aanleveren betreffende het onderwerp "Corruptie"
Nederland
Bulgarije
Hongarije

Ondanks dat het hier "zo slecht is" weet ik wel waar ik wil wonen :)
Dat weet ik ook wel maar dat heeft andere redenen ( gezondheidszorg etc ) dan corruptie.
Het lijkt erop dat iedereen vandaag de dag boter op z'n hoofd heeft, alles moet maatschappelijk geaccepteerd en politiek correct zijn, anders wordt je tot de grond afgebrand door de hele wereld aan stemmingmakers op die fijne social media en andere media-platforms.
Ik zou echt de rapporten van Transparency International eens lezen wat hun ,meet methode is.
We zitten gewoon in de top 10 van "de beste landen*"

* Het is natuurlijk maar wat je definitie is van beste. Maar ik vind hem prima
Dit gaat over de departementen. De agentschappen dienen hun eigen register goed op orde te hebben.
Hoewel waar, staat er ook een ZBO bij, en wordt in het artikel gesteld dat er meer ZBO's zullen volgen. Nu staan die zelfstandige bestuursorganen nóg verder van de minister dan agentschappen, dus valt niet in te zien waarom zij wel en agentschappen niet op de site staan.
Dat valt wel mee. Ik vermoed dat de NS er op de stations meer heeft hangen. Want, de camera’s gebruikt voor trajectcontroles zijn niet van Rijkswaterstaat. De ANPR camera’s bij bijvoorbeeld grensovergangen zijn niet van Rijkswaterstaat. Camera’s voor het onderzoeken van vervoersstromen staan er maar tijdelijk. Houdt je de camera’s voor verkeersdrukte, spitsstrook openstellingen en bijvoorbeeld op bruggen en sluizen over. De NS heeft er soms wel 6 op 2 vierkante meter hangen.
Ondertussen staat er ook een tracker van www.rijksoverheid.nl op de site:
Welke informatie wordt hier verwerkt, en had dit niet opt-in moeten zijn?

[Reactie gewijzigd door Eonfge op 23 juli 2024 08:18]

Piwik houd allerlei statistieken bij over de rijksoverheids websites. Deze zijn geanonimiseerd en niet te herleiden naar personen. Maar word bijvoorbeeld gebruik om inzicht te krijgen welke artikelen populair zijn en vaak geraadpleegd worden.

Op deze pagina https://www.rijksoverheid.nl/cookies staat ook nog eens vermeld welke gegevens worden verzameld en waar het voor gebruikt word.

[Reactie gewijzigd door Ozzie op 23 juli 2024 08:18]

"Deze zijn geanonimiseerd". Dat vertrouw ik al niet.
Is piwik inmiddels niet vergaan in ander project? }> Benieuwd of we daarbij kunnen :+
Klopt, Piwik is vervangen door Matomo. Het zou dus best kunnen dat hier dus een verouderde instantie van die data analytics software draait. Nu wil ik natuurlijk niet aanzetten tot criminaliteit, maar als jij naam wilt maken als onderzoeksjournalist op het gebied van overheid en beveiliging, dan is dit natuurlijk wel een mooie hint.
AuteurTijsZonderH Nieuwscoördinator @Eonfge11 december 2019 16:19
Goh dat zou inderdaad mooi zijn zeg.
De Rijksoverheid gebruikt Piwik.pro, niet Matomo. En wat is een tracker kun je je afvragen? Ze loggen bijvoorbeeld de laatste twee octetten van het ip-adres niet wat ervoor zorgt dat een bezoeker op de website praktisch niet herleidbaar is tot een individu. Dat maakt ook dat de statistieken 'on visit' gezet mogen worden.

[Reactie gewijzigd door MAZZA op 23 juli 2024 08:18]

Zolang dat word gedeeld met de gebruiker en intern word gebruikt is daar geen opt in voor nodig.
Er staat een fout op die site. Er staat: "Deze website gebruikt cookies voor onderzoek en webstatistieken om te begrijpen hoe bezoekers de website gebruiken. Deze informatie helpt de website te verbeteren. Bijvoorbeeld door informatie aan te vullen of door het gebruikersgemak te vergroten.
Hiertoe verzamelt deze website, net als elke website, IP-adressen van bezoekers."

Da's natuurlijk onzin; niet elke website verzamelt IP-adressen van bezoekers. Het is op zijn minst een misleidende bewering.

Dit is ook feitelijk onjuist:
"Het ministerie van Algemene Zaken heeft maatregelen getroffen om de herleidbaarheid van bezoekers aan de website zo veel mogelijk te beperken. Dit doen we door onmiddellijk na het importeren van de logfiles in Piwik de laatste 2 octetten (cijfergroepen) van elk IP-adres weg te gooien."
Als je de herleidbaarheid zoveel mogelijk wil beperken, dan gooi je natuurlijk alle octetten weg.

Dit doet natuurlijk meteen al vermoeden dat er meer fouten zijn op/door die website/Nederlandse Overheid.

Verder: de site plaats deze cookie:
"_pk_ref Vanaf welke site is de bezoeker gekomen?"
Wat gaat het de overheid aan vanaf welke webserver je komt? Hebben ze niks mee te maken.

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 08:18]

"Elke" is natuurlijk niet te bewijzen, maar mijn inschatting is dat vrijwel alle websites een vorm van logging zullen hebben waarin IP-adressen van bezoekers terecht komen.
Ik heb jarenlang een website gehost, die niks logde.
Ben ik de enige? Lijkt me stug.
"Elke" is natuurlijk niet te bewijzen,"
Het is wel (eenvoudig) te bewijzen dat niet elke website IP-adressen logt.

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 08:18]

Als het in het reglement staat dat IP adressen niet logt dan wil ik dat geloven, want dan kan men zich later nooit beroepen op wat ik gestuurd heb.
Dat je niet weet dat het gelogd word betekent niet dat het niet gelogd word. Een linux server logt gewoon inkomende connecties. Apache logt ook alle inkomende verbindingen.
Dus tenzij je al die logs naar /dev/null laat schrijven log je gewoon ip-adressen. Daarnaast heeft de hostingpartij ook nog infrastructuur (routers, switches, etc) waar mogelijk ip-adressen in gelogd worden. Dus aan ip-adressen loggen is bijna niet te ontkomen.
Bovendien, als je fouten vind op een van de overheidssites kan je die melden via https://www.rijksoverheid...rd/responsible-disclosure en dan krijg je ook nog eens beloning. Geloof mij maar dat rijksoverheid.nl en de andere Platform Rijksoverheid Online sites (https://www.communicatier...form-rijksoverheid-online), waar bovengenoemde er één van is, dagelijks worden onderworpen aan allerlei security checks en externe aanvallen en er nooit noemenswaardige issues uit zijn gekomen.
Je kan dus veel zeggen over de rijksoverheid, maar deze websites zitten gewoon goed in elkaar.
Daarnaast heeft de hostingpartij ook nog infrastructuur (routers, switches, etc) waar mogelijk ip-adressen in gelogd worden.
Dat mag toch niet? Er moet toch een maatschappelijk belang zijn voor het verzamelen van persoonsgegevens, én het moet aangegeven zijn (c.q. toestemming gevraagd) bij de AP?
Jouw persoonsgegevens worden niet gelogd. Een referrer is geen persoonsgegeven. Een geanonimiseerd ip-adres is geen persoonsgegeven. Beiden zijn niet herleidbaar naar een individueel persoon.
"Een referrer is geen persoonsgegeven."
Het hangt van de referrer af, of dat een privacy-gegeven is.
"Een geanonimiseerd ip-adres is geen persoonsgegeven."
We hadden het over IP-adressen. Niet over geanonimiseerde IP-adressen ;).
Zolang het gehele IP-adres wordt opgeslagen (daar waar dat eventueel het geval zou zijn), kan dat wel degelijk een persoonsgegeven zijn.
los van of een referrer een persoonsgegeven is of niet, het gaat ze geen hol aan.
Ik heb een vast ip adres, en dan gaan zij loggen dat ik altijd vanaf uporn naar die site browse ?
Nu zal uporn niet zo snel een link hebben naar een overheidssite (alhoewel... misschien wel naar overheidsregels omtrent het moeten loggen van IP-adressen??), maar ik ben het met je eens. Een referrer kan zeker handig zijn voor een bedrijf achter een website, maar wat mij betreft wordt het detecteren en/of loggen van referrers verboden.
Omdat de beweringen ook niet onjuist zijn, maar wat ik daarover schrijf sla je voor het gemak over.
Ik denk dat het eenvoudig te bewijzen is dat de bewering 'Hiertoe verzamelt deze website, net als elke website, IP-adressen van bezoekers.' onjuist is.
Correcter zou zijn geweest:
'Hiertoe verzamelt deze website, net als elke andere website voor zover zij cookies gebruiken, IP-adressen van bezoekers.'
Maar zelfs dat is niet 100% zeker; want als een website cookies plaatst aan de kant van de bezoeker, wil het (in theorie) nog niet zeggen dat de webserver er ook iets mee doet of ook IP-adressen verzamelt. (Toch?)

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 08:18]

Bewijs dan maar? Ik denk dat niet lukt.
Bewijs dan maar? Ik denk dat niet lukt.
Zet een webserver met website op je eigen PC, zet alle logging uit, publiceer de website, en klaar!
Dat je niet weet dat het gelogd word betekent niet dat het niet gelogd word. Een linux server logt gewoon inkomende connecties. Apache logt ook alle inkomende verbindingen. Dus tenzij je al die logs naar /dev/null laat schrijven log je gewoon ip-adressen. Daarnaast heeft de hostingpartij ook nog infrastructuur (routers, switches, etc) waar mogelijk ip-adressen in gelogd worden. Dus aan ip-adressen loggen is bijna niet te ontkomen.
Van Ozzie

Je moet dus logging uit zetten voordat je kan zeggen dat je niet logt. Zodra ik een website wil hosten op welke platform dan ook denk ik daar echt niet aan. Ik neem aan dat de overheid hier ook wel rekening mee houd. Heb je nou liever dat ze voor iedere website even gaan kijken of ze loggen en dat er lief bij vermelden of gewoon makkelijk alles over een kam scheren want het is toch maar een melding?
Ok. De server logt dus niks meer. Zoals hierboven ook benoemd wordt zit je dan nog met routers/modems/switches noem maar op die ook logs wegschrijven. Waar wij gebruikers dan 0 controle op hebben.

Ik denk persoonlijk dat de stelling voor 99% van de websites echt wel op gaat.
Ik denk persoonlijk dat de stelling voor 99% van de websites echt wel op gaat.
Maar niet 100%.
De overheidssite doet nu alsof logging technisch gezien onvermijdelijk is, wat niet zo is. Misleiding.
Maar in de praktijk zet je nooit alle logging uit. Je wilt immers kunnen troubleshooten.
Precies. Tenzij je het expliciet uitzet, wordt dat gewoon bijgehouden. Net als op elk netwerk. Als je anoniem wilt zijn op internet, moet je maar een VPN en TOR gebruiken, en er het beste van hopen. Anonimiteit op een computernetwerk is een illusie.
TOR exit nodes worden ook gewoon gemonitord. Daarmee haalt de politie nogal eens wat dark web marktplaatsen offline.
Daarom zeg ik ook dat je er het beste van moet hopen. Je kunt altijd getraceerd worden, tenzij je echt heel erg slim bent. Want ze moeten wel zo'n beetje weten waar je zit en waar je heen wilt. Maar goed, dat vertroebelt de discussie alleen maar. Mijn opmerking was hopelijk duidelijk.
Klopt helemaal. De crux is “hopen”. Er zijn nog teveel mensen die denken dat TOR veilig is..
Aan de _pk_ref cookie te zien zullen ze waarschijnlijk Matomo (Piwik) gebruiken, en dat haalt inderdaad staan daar de laatste 2 octetten weg, maar dit valt te veranderen naar 3 of alles. Dus als ze willen is dit zeker uit te zetten.
Welke website slaat dan geen IP adressen op in hun server log files?
Vrijwel noodzakelijk bij het vinden van problemen of detecteren van aanvallen.
Da's natuurlijk onzin; niet elke website verzamelt IP-adressen van bezoekers.
Denk aan server logs, access logs etc.
Word dan niet bewust voor tracking of whatever dan ook gebruikt, maar inprincipe word het wel opgeslagen.
... maar inprincipe word het wel opgeslagen.
Op de meeste webservers. Maar... niet alle.
Dan maar hopen dat het nooit fout gaat en dat je de oorzaak moet vinden zonder logs.
Kan ik nu ook mijn gegevens volledig opvragen volgens de AVG (hallo AIVD), naast uiteraard het verzoek om mijn gegevens te verwijderen.
Er zijn teveel aluhoedjes op dit forum. Wellicht heel veel gevalletjes "zoals de waard is... ." Ervan uitgaande dat op dit forum een dwarsdoorsnede van de NL IT-ers zit, moeten er onder de reageerders veel mensen zitten die het niet zo nauw nemen met de regeltjes.
Daar heb je dan ongetwijfeld bewijs van. Of maak je er op je eigen werk zo'n zooitje van dat je denkt dat iedereen dat doet?
We hebben het hier over de overheid en IT.....

Denk even aan het gezeik bij de Belastingdienst momenteel + dat die zelf al aangegeven hebben nog niet aan de AVG te kunnen voldoen. Het gedoe bij de SVB. Het prutswerk van diverse andere grote projecten.

En ik zeg niet dat álles mis gaat, ik zeg alleen dat er op papier vaak iets mooier omschreven staat dan wat er in werkelijkheid gebeurd. En als je dat in het echt nog niet meegemaakt hebt ben je gewoon te naïef om het te zien.

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 08:18]

Op dit item kan niet meer gereageerd worden.