UWV maakte in 2019 606 keer melding van datalek

Uitkeringsinstantie UWV heeft vorig jaar 606 keer melding gedaan van een datalek. Volgens het UWV komt dat vooral doordat er meer bewustzijn is onder werknemers, waardoor zij incidenten sneller ontdekken. De Autoriteit Persoonsgegevens doet onderzoek naar de instantie.

Het Uitvoeringsinstituut Werknemersverzekeringen kreeg in 2019 1657 signalen over mogelijke datalekken, schrijft de instantie in zijn jaarverslag. Van die signalen waren er volgens de instantie 606 'meldenswaardig'. Dat betekent dat het UWV onder de AVG verplicht is om ze als zodanig aan te melden bij de Autoriteit Persoonsgegevens.

In de meeste gevallen hadden de datalekken betrekking op een individueel persoon. Het ging bijvoorbeeld om post die aan de verkeerde persoon is gestuurd. Dat gebeurde in de helft van de gevallen. Volgens het UWV kan de ernst daarvan wisselen. Soms gaat het om bijvoorbeeld een uitnodiging voor een gesprek, maar in andere gevallen om bijvoorbeeld een medisch rapport. In het jaarverslag wordt dat onderscheid niet gespecificeerd.

Het aantal meldingen van datalekken is gestegen ten opzichte van het jaar ervoor. In 2018 meldde de instantie nog 342 lekken. Volgens het UWV komt die stijging niet zozeer omdat er meer datalekken zijn, maar vooral omdat ze meer opvallen. Zo wordt 'geopende retourpost' vaker onderschept, waardoor brieven minder snel bij de verkeerde ontvanger terechtkomen. Ook zijn medewerkers beter op de hoogte van wanneer een incident potentieel een datalek is. Daarom melden ze die vaker.

Het UWV kreeg vorig jaar te maken met twee grote incidenten. Bij een daarvan werden gegevens van veel klanten via e-mail naar andere klanten gestuurd. Bij het andere geval werden 117.000 cv's gestolen door een inbraak op het netwerk van het UWV. Later bleek dat het UWV geen tweestapsverificatie op die accounts had staan. Het UWV schrijft in het jaarverslag dat de Autoriteit Persoonsgegevens momenteel twee onderzoeken heeft lopen naar de werkwijze van het instituut. Bij een onderzoek gaat het om 'een onderzoek naar datalekken van de divisie WERKbedrijf'; bij het andere onderzoek om de manier waarop het UWV datalekken meldt en registreert.

Door Tijs Hofmans

Nieuwscoördinator

27-05-2020 • 14:52

124

Reacties (124)

Sorteer op:

Weergave:

En wat te denken van klanten die na verhuizing niet hun nieuwe adres doorgeven?
De nieuwe bewoner opent de post en denkt: hee dat is niet voor mij en stuurt deze geopend retour.
Dan betreft het dus een datalek waar niet zo heel veel aan te doen is en die elke organisatie kan overkomen.

Daarnaast heb ik liever dat een organisatie de datalekken bekend maakt en daardoor misschien minder goed uit de verf komt, dan een bedrijf die de datalekken onder het tapijt veegt om zo beter voor de dag te komen.

[Reactie gewijzigd door ruftman op 24 juli 2024 15:14]

Pffft, wij krijgen hier nog post van de vorige bewoner/eigenaar.... 8x gebeld hierover minstens al 20 brieven netjes retour afzender en hij/zij staat hier niet ingeschreven....

Dat zijn aardig wat datalekken als ik ze allemaal had geopend (tja soms moet je het toch echt doen als ze vragen om info die alleen in de brief staat)
Krijg nog steeds brieven gericht aan de bewoner die voor de vorige bewoner er woonde... *zucht* Sommige mensen zijn gewoon lui helaas.
Zijn het de mensen (ontvangers) of de instanties die lui zijn? In veel gevallen worden de databases niet bijgewerkt ook al wordt daarom gevraagd. Zelfs instanties die het als primaire taak hebben om adressen bij te houden kunnen er een potje van maken... (Kamer van Koophanel...)
En als de ontvanger niet weet dat hij in systeem X zit zal hij dat natuurlijk ook niet doorgeven.
Al weet de ontvanger het nog, dan nog weet PostNL het soms wel, soms niet.
Ken iemand wiens postcode is veranderd, alleen maar ellende. Postcodeverandering kwam vanuit de gemeente.
Konsekwent terugsturen, eventueel met opmerking op de envelop "overleden". Helaas lelijke methode, maar dan ben jij van het probleem af. Hetzelfde met je 06. Ik had een nummer gekregen van een belastingontduiker. Regelmatig de belastingdienst aan de lijn, na een stuk of 10 telefoontjes "volgens mij is 'tie overleden" en het probleem was opgelost.

Let wel dat als je ergens komt wonen dat het superbelangrijk is om bij je gemeente na te vragen of anderen op je adres nog zijn ingeschreven: anders ben jij de sjaak als een deurwaarder wat komt reclameren van die andere persoenen... Indien onbekend, 'volgens mij is tie overleden, maar ik weet de precieze datum niet helemaal zeker'
net als @ruftman en @Verwijderd krijgen ook wij nog regelmatig post (rekeningen etc) van vorige bewoners. bizar al aantal teruggestuurd maar goed daar ben ik nu wel mee gestopt. Sommigen ook van een ministerie in Belgie, netjes teruggestuurd maar goed ze blijven komen dus die moeite doe ik niet meer.
Hier sluiten de vorige bewoners nog steeds nieuwe abonnementen af op ons adres. De Tina zal best leuk zijn maar ik hoef hem niet, mijn vriendin wist ook van niks trouwens en kinderen hebben we niet. Het knulligste was de aanvraag voor speciaalonderwijs en het bericht van een psychiater.

On tipic: de Rabobank moest ook melding maken van een datalek omdat mijn moeder mijn lopende rekening nog kon zien. Dat hebben we destijds gedaan toen ik nog kind was en omdat ik op mijn 18de nog financieel afhankelijk van haar was. Toen ik met haar naar de dichtstbijzijnde bank ben gegaan was het grote paniek omdat er melding gemaakt moest worden. Dus een datalek is niet direct iets ernstigs maar kan ook zo iets knulligs zijn.
Ja, wij ook, uiterst irritant.
Het UWV gebruikt automatisch de adressen van de basisregistratie personen die door alle gemeentes wordt bijgehouden.
Helaas zijn er nog nog veel alternatieve adressen die een rol kunnen spelen zoals verpleegadressen en blijf van mijn lijf huizen buitenlandse adressen en penitentiaire inrichtingen.
Hierbij ga je ervan uit dat iedereen daadwerkelijk bij de gemeente staat ingeschreven, hetgeen helaas niet zo is.
Het is toch sinds een paar jaar zo dat je geen uitkering meer krijgt als je niet staat ingeschreven.
Ben je dakloos dan moet je een briefadres regelen via een maatschappelijke instelling
Het is toch sinds een paar jaar zo dat je geen uitkering meer krijgt als je niet staat ingeschreven.
Geregistreerd op een adres, verkrijg uitkering, verhuizen zonder op te geven.

Situatie:
• Geregistreerd op oude (incorrecte) adres.
• Ontvangt uitkering.
Kan wel even maar als een deurwaarder meldt dat je er niet woont wordt je hopelijk snel VOW verklaart en dan wordt je uitkering gewoon gestopt.
https://financieel.infonu...en-onbekend-waarheen.html
Kan wel even maar als een deurwaarder meldt
Zie hier waarom reactief niet werkt voor de 80%. 'Als', 'hopelijk'...
Inderdaad. Plus gemeenten kunnen wel eens achterlopen. Weet niet meer welk programma het was, maar eerder dit jaar in een tv-programma nog gezien dat de politie iemand zocht die volgens de BAG op een adres in hun gemeente zou wonen, maar die persoon bleek uiteindelijk verhuisd en ingeschreven naar/in een andere gemeente, dus de BAG van de 'oude' gemeente liep achter.
Dat zal dan de BRP zijn geweest, de BAG bevat alleen de panden, standplaatsen en ligplaatsen met de daarbij horende adressen. Wie er op dat adres woont is niet opgenomen in de BAG
Je hebt gelijk, ik bedoelde inderdaad de BRP. Dank voor de correctie! :)
Open je dan blindelings post, zonder te kijken of het voor jou is? Hoe vaak een postbode niet een brief op het verkeerde adres in de bus gooit...

Dat is dan feitelijk ook al een datalek te noemen, maar iemand die dat meld?
Yep, een buurman had mijn post hier per ongeluk geopend. Het grappige was dat een paar dagen later mij bijna hetzelfde overkwam. Kennelijk is het een automatisme om niet naar je eigen adres te kijken. Een nieuwe sorteerder/postbode en je spreekt je buren een paar deuren verderop weer eens. Eerder positief ?
Zolang je het poststuk nog niet opengemaakt hebt is het te overzien. Maar wanneer je dat al wel gedaan hebt is het vervelend.

Ik moet ook zeggen dat ik niet standaard direct naar naam / adressering kijk, zeker wanneer het post is van een afzender waar je iets van verwacht c.q. regelmatig iets van ontvangt.

Toch is het mij maar één keer gebeurd dat ik de envelop al open had. De rest van de keren zag ik het tijdig.

Wanneer je buren hebt waarmee te praten is, is het ook makkelijker op te lossen dan wanneer je minder plezierige buren hebt.
Wanneer je buren hebt waarmee te praten is, is het ook makkelijker op te lossen dan wanneer je minder plezierige buren hebt.
Tja, in het uiterste geval is er altijd nog de anonieme brievenbusdropping of als je rancuneus bent een shredder. Ooit zo eens een oud buurman betrapt op het ingepikt hebben van een kerstpakket. Nu was die gepensioneerde psycholoog naast die diefstal ook meerdere malen betrapt in zijn adamskostuum op zijn balkom aan straatzijde (balustrade met spijltjes, geen betonrand), kortom die fles wijn heb ik maar afgeschreven toen ik was verhuisd ... Een beweging waarbij ik een virtueel glaasje wijn achterover sla is hem slechts een paar keer ten deel gevallen, die blijft 'ie krijgen tot in de lengte der dagen van mij (ik ben niet ver weg verhuisd ... Gelukkig wel een paar straten ver weg ihkv balkonscene's....). Eerlijk duurt het langst !
Die brievenbusdropping gebeurd ook. Voor post althans.

Anonieme dropping m.b.t. overlast en de pleuris breekt hier in het appartementengebouw pas echt uit.
AuteurTijsZonderH Nieuwscoördinator 27 mei 2020 15:41
Het stuk over datalekken staat op pagina 64 van het jaarverslag, onder hoofdstuk 4.3. For what it's worth :)
Inderdaad, for what it's worth.... het is een stuk met een hoog inkopgehalte, wat op de borstklopperij die nergens voor nodig is, want eigenlijk zeggen ze dat ze zaken helemaal niet voor elkaar hadden op de momenten dat het al lang moest, en daaroverheen een sausje van bagatellisering.

Ik was 1 van de 117.000 personen wiens CV geharvest was in april. De mail die ze toen stuurden had dezelfde bagatelliserende houding; nergens "sorry" of wat dan ook, terwijl het gewoon een fout geweest is van de inrichting van de UWV systemen dat het mogelijk was. En dat terwijl een CV vaak veel gegevens bevat die erg interessant zijn voor kwaadwillenden. En die eruit laten? Nee, dat mocht niet van het UWV...
For what it's worth, zelfs als je een 'sorry' had gekregen, er is niemand binnen het UWV die enige verantwoording heeft dus had een 'sorry' ook geen enkele inhoud gehad.

Ik moet altijd denken aan southpark als ik dit zie.
Ik vind dat je je woede hier toch het beste kan richten op de partij die de gegevens geharvest heeft.
Een belachelijke actie om met de login van een werkgever de CV gegeven te rippen.
Het gaat in de helft van de gevallen om briefpost naar een foute ontvanger. Heeft dus niet noodzakelijk met internet te maken. Een ander voorbeeld dat hier niet van toepassing is is een diefstal van een harde schijf met persoonsgegevens. Een datalek is dus niet altijd gerelateerd met een internetverbinding.
ik vraag me dan af hoe je een brief verkeerd kan posten?
Moeten ze handmatig het adres en de naam in een brief zetten? Je zou verwachten dat alles via dossiers loopt en een adres van een persoon dus automatisch in een brief gezet wordt?

Ik ben wel benieuwd hoe dit mis kan gaan..
Oude data in informatiesystemen, mutaties die niet overal goed worden verwerkt, verhuizingen die niet zijn doorgegeven, een postbode die een brief in de verkeerde bus gooit..
Een postbode die een brief in de verkeerde brievenbus doet, is een datalek van postnl. Niet van het uwv.
AVG technisch niet juist. PostNL is een verwerker van gegevens, maar de gegevens van de verantwoordelijkheid van het UWV.
Hoe kan het uwv voorkomen dat een postbode een brief met het juiste adres in de verkeerde brievenbus stopt?

Dat is toch niet iets wat het uwv kan voorkomen of maatregelen op nemen? Puur iets van postnl waarmee ze het briefgeheim schenden.
In die redenatie, is KPN dan verantwoordelijk voor alle digitale datalekken? Zij leveren immers het internet aan de overheidsinstantie.
Hoe kan het uwv voorkomen dat een postbode een brief met het juiste adres in de verkeerde brievenbus stopt?
Niet.
Door het zelf te bezorgen.
Dat je data/gegevens uithanden geeft, betekent niet dat je de verantwoordelijkheid overdraagt.

Het blijft en zijn gegevens van de UWV en niet van PostNL.

Dat PostNL de veroorzaker is, is een ander verhaal. De data komt vanuit UWV.
Het gaat automatisch, maar dat gebeurd met systemen beheerd door mensen... dus.....
Veel klanten van het UWV wonen in het buitenland of kunnen regelmatig tijdelijk in een verpleeglocatie verblijven.
Dergelijke locaties worden niet automatische aan het UWV doorgegeven maar moeten via een melding worden doorgegeven en verwerkt.
Daarbij kunnen zowel de klant als het UWV fouten maken.
Er zijn ook andere speciale adressen zoals blijf van mijn lijf huizen, TBS klinieken of (jeugd)gevangenissen.
Als je aan een een paar miljoen adressen communiceert dan is er veel kans op issues en relatief veel cliënten van het UWV zitten in risico categorieën
Heb jij nog nooit een brief in je brievenbus gehad die gewoon op het verkeerde adres werd bezorgd? Goede huisnummer maar verkeerde straat bijvoorbeeld...
UWV pakt die brief uiteraard niet handmatig in. Daar zijn machine's voor. Die soms, in plaats van één vel, twee vellen in een envelop stoppen. Krijg jij opeens post voor jezelf en voor mij.
Voorbeeld dat we hier hebben voorgehad: per ongeluk 2 brieven in zelfde envelop, waardoor ons adres vooraan zat maar iemand anders' brief er ook bij zat. Beide brieven waren correct geaddresseerd, gewoon door de verzender per ongeluk samen gestoken.
Het gaat in de helft van de gevallen om briefpost naar een foute ontvanger. Heeft dus niet noodzakelijk met internet te maken. Een ander voorbeeld dat hier niet van toepassing is is een diefstal van een harde schijf met persoonsgegevens. Een datalek is dus niet altijd gerelateerd met een internetverbinding.
Dan ben ik wel benieuwd hoeveel datalekken PostNL / andere postbedrijven zouden melden. Heb paar keer gehad dat mijn pakket een halve straat verderop was bezorgd zonder briefje door de deur. Maar heb ook meegemaakt dat brieven verkeerd gesorteerd werden(lees: andere straat / wijk) en alsnog bij ons bezorgd werden. De laatste controle is toch echter wel de bezorger, die kan kijken of alleen de adres wel klopt met de straat waarin de bezorger zich bevindt.

Ik vraag mij dan wel af waarom mensen dan een brief van iemand anders openen, je ziet al aan de voorkant voor wie die brief bestemd is, dus waarom dan open maken? Natuurlijk is het stukje nieuwsgierigheid, maar het is dan ook wel privacy schending als je iemand anders zijn brief openmaakt, gezien je ook gevoelige informatie voor je ogen kan krijgen; denk hierbij aan logins voor accounts, bankgegevens, pasjes, evt. uitslagen van onderzoeken, etc. Ben benieuwd of je iemand kan aanklagen als diegene jouw brief heeft opengemaakt, ondanks dat het verkeerd gesorteerd zou zijn geweest.

Natuurlijk is het altijd goed om een lijstje te maken van bedrijven / instanties / etc. waarbij je adres bij hun bekend is, zodat je je adres kan wijzigen als je bent verhuisd. Zo voorkom je dat je belangrijkste dingen doorgezet zijn naar een ander bedrijf. Zou bijv. wel zonde zijn als je je nieuwe simkaart geleverd krijgt op je oude adres en iemand anders gaat er gebruik van maken.
Maar goed, tijd leert bij welke bedrijven je nieuwe adres bent vergeten door te geven :P
Ik vraag mij dan wel af waarom mensen dan een brief van iemand anders openen, je ziet al aan de voorkant voor wie die brief bestemd is, dus waarom dan open maken?
Ik kijk echt niet altijd welke naam erop staat...
Ik vraag mij dan wel af waarom mensen dan een brief van iemand anders openen, je ziet al aan de voorkant voor wie die brief bestemd is, dus waarom dan open maken?
Aan veel brieven kun je aan de buitenkant niet zien waar het vandaan komt. Die zul je dus echt open moeten maken om er van af te komen.
Het ging bijvoorbeeld om post die aan de verkeerde persoon is gestuurd. Dat gebeurde in de helft van de gevallen.
Hier gaat het afsluiten van het internet natuurlijk niet bij helpen. Dit zijn denk ik vooral menselijke fouten, en dat kan een fout zijn als het selecteren van de verkeerde persoon als ontvanger in het systeem van het UWV, maar ook het niet (juist) doorgeven van een adreswijziging waardoor post wel op het 'juiste bekende adres' terecht komt maar inmiddels iemand anders op dat adres woont.

Uit dit artikel kan ik zo niet opmaken dat het UWV echt gehackt is (ik heb het jaarverslag zelf niet gelezen). Het afsluiten van internet gaat dan natuurlijk maar voor beperkte mate helpen. Daarnaast is het afsluiten van het internet natuurlijk in deze tijd niet een erg realistische optie.
UWV is een overheidsinstantie. Die hoef je niet door te geven dat je bent verhuist omdat ze dit automatisch krijgen als je de verhuizing aan je gemeente door geeft.

Een verkeerd adres selecteren lijkt me ook bijna niet kunnen. Ze werken met dossiers. Die zijn gekoppeld aan je eigen BSN. Als je zelf iets wil doorgeven doe je dat met je DigiD zodat alles automatisch gekoppeld wordt.
Dan moet je je adreswijziging wel doorgeven bij de gemeente, anders krijgt het UWV een datalek op zijn naam.

Bovendien zijn dit miljoenen adressen, daarvan zijn er een flink aantal onder curatele, met zaakwaarnemers etc. Die adressen gaan weer boven de GBA-data.

En dat laatste is dus wel handwerk.
UWV werkt niet uitsluitend met dossiers? Daarnaast is ook niet alles gekoppeld aan een BSN omdat je ook met werkgevers te maken hebt waar loonheffingennummers voor worden gebruikt.

Daarnaast denk je ten onrechte dat wijzigingen in bijvoorbeeld het adres niet doorgegeven hoeven te worden. Jij denkt dat iedereen netjes ingeschreven staat bij een gemeente? En je houdt er totaal geen rekening mee dat mensen niet altijd in Nederland wonen.

Ja, je moet wel degelijk jouw eigen gegevens doorgeven want je kan namelijk tijdelijk op een ander adres wonen dan waarop je staat ingeschreven.

En als laatste, het DigID is niet in alle gevallen benodigd. Je krijgt een +2 terwijl er wel heel veel mis is met wat je schrijft.
Hoe kan je dan een uitkering vragen, activiteiten, sollicitaties, enz. doorgeven?

Misschien voor sommige mensen met de fiets, maar sommige mensen die in een dorp wonen moeten meer dan tientallen kilometers heen en weer rijden (brandstofkosten).

[Reactie gewijzigd door Dutchredgaming op 24 juli 2024 15:14]

Net als voorheen; werkbriefjes en formulieren met de post. :)
Niet naar het verkeerde adres sturen, want dan heb je al een datalek ;)
In feite in de post al een risico op lekken. Je blijft afhankelijk van iemend anders.
Gewoon aan het einde van de werkweek aan je medewerkers uitdelen.
Wel aan de juiste medewerker het juiste briefje geven, anders heb je daar ook weer een datalek.
Hoe kan je dan een uitkering vragen, activiteiten, sollicitaties, enz. doorgeven?

Misschien voor sommige mensen met de fiets, maar sommige mensen die in een dorp wonen moeten meer dan tientallen kilometers heen en weer rijden (brandstofkosten).
Wellicht anders een UWV loket in het Gemeentehuis?

Alhoewel ik het wel heel drastisch vindt dat we opeens weer via de oude manier moeten doen... de beveiliging moet gewoon beter onder de loep genomen worden. Het UWV zal zeker de komende jaren weer veel belangrijker worden en velen malen meer invloed gaan krijgen op de burgers vanwege de crisis.
Gelukkig vergoed het uwv gewoon deze kosten voor je. :o

Overigens, voor het internet vonden mensen het al vervelend om voor wat data ergens heen te gaan, toen wisten ze data op papier te zetten en te versturen per post. ;) Om nog maar te zwijgen over de fax :P
Ach, moeten we op dergelijke onzinnige reacties nog serieus op ingaan?

Datalekken zoals dat tegenwoordig gedefinieerd is kwamen altijd al voor, verkeerde gegevens per post verstuurd, verkeerde document afgegeven. Deur van archief hok niet op slot... Etc.

Aan de ene kant ernstig dat zaken niet op orde zijn, maar als we heel eerlijk zijn, dat zijn ze niet bij het gros van de bedrijven/personen. En ik hoor de eerste "Ja, maar..." al aankomen. Dit is gewoon de realiteit, zelfs super goede mensen kijken soms over zaken heen, doen aannames en/of nemen de woorden van een andere collega over. Pas als er iemand alles, maar dan ook alles gaat doorlichten en een groot genoeg brein heeft om alles aan elkaar te koppelen zie je van alles en nog wat naar bovenkomen. Ja, processen helpen enorm veel, maar vaak weten de procesmakers niet altijd de daadwerkelijke technische details of is de kennis van die details verspreid over zoveel mensen dat weer een beeld vormen om de zwakheden te ontdekken. Constante veranderingen in techniek, functionaliteit, wetgeving, personeel, etc. helpt ook niet.

Het punt is niet dat er nooit wat fout gaat, maar wat je ermee doet als het wel fout gaat. Waar gewerkt wordt worden fouten gemaakt, computersytemen zijn ook inelkaargezet door mensen, dus fouten gaan voorkomen. Alleen een UWV als overheidsinstantie zal dat eerder aan de grote klok gaan hangen dan een commerciële instelling die daar alleen maar schade aan ondervind ipv. een groter IT budget van de staat...
Ja dat kunnen we zeker. Toen het arbeidsbureau(!) nog in elk dorp zat bijvoorbeeld, net als de bank. Herinner je nog een bankgebouw ergens waar je heen kon gaan? Ook uit heel veel dorpen weggegaan.

Bestellen via internet ook maar meteen afschieten? Ongetwijfeld ook lekken geweest bij Amazon, Wehkamp, eBay, Marktplaats etc.
Bestellen via internet ook maar meteen afschieten? Ongetwijfeld ook lekken geweest bij Amazon, Wehkamp, eBay, Marktplaats etc.
Zijn ze recent nog in het nieuws geweest? Ik weet dat Amazon een keer gegevens gelekt heeft en eBay er een tijdje lang een hobby van leek te maken, maar van Wehkamp heb ik nog nooit iets van een lek vernomen en Marktplaats zelf heeft voor zover ik weet nog geen lekken gehad (wel zijn ze natuurlijk een bron van oplichting).

Ik weet dat o.a. de Hema een enorm lek heeft gehad, dat Albert Heijn inloggegevens lekte, dat de Phone House, Media Markt en meer hun klantgegevens wijd open hadden staan. Het lokale uitzendbureau heeft ook allerlei gegevens verloren en de Autoriteit Persoonsgegevens zelf heeft ook een datalek gemeld.

Alles offline gaan doel helpt ook niet als je medewerkers achterlijke dingen met papiertjes gaan doen, en dat doen ze bij elk groot bedrijf wel ooit eens een keer.

Ik zou zeggen, laat de "vroeger was alles beter" mentaliteit maar los als het aankomt op privacy want ieder bedrijf heeft wel een keer ergens een lek.

Dat het bankkantoor weg is, is inderdaad heel lastig, dat heb ik zelf meegemaakt. Gelukkig heb je dat tegenwoordig alleen maar nodig als je een rekening opent. Desondanks had ik graag wat meer postkantoren en bankkantoren willen zien in Nederland, maar dat heeft niet meer genoeg waarde voor de meeste mensen om er de kosten nog voor te maken.

[Reactie gewijzigd door GertMenkel op 24 juli 2024 15:14]

Ik haalde even willekeurig internetbedrijven aan uit m'n hoofd zonder bronvermelding, maar mijn strekking komt wel overeen met die van jou.

Wehkamp heeft mij ook wel eens een verkeerde broek gestuurd. Is niet helemaal te vergelijken met een verkeerde brief van het UWV, maar telt dat dan ook als "datalek"?
Het zou een datalek zijn als de naam van iemand anders op de factuur zou staan. Je zou dan namelijk persoonlijke gegevens (naam, maat, mogelijk zelfs adres) van iemand te weten zijn gekomen die Wehkamp niet aan jou hoort te verstrekken.

Als ze de verkeerde doos uit het schap halen dan is het geen datalek. Daar kun je hooguit de modepolitie op af sturen :+
Toen kon je nog zaken doen met die mensen.
Nu kunnen ze amper voor zich zelf nadenken.

Daarnaast maar klagen over de middenstand dat die verdwijnen en natuurlijk evil China.
Maar uiteindelijk doen we het zelf.
Zolang je maar niet met je luie flikker van de bank af hoeft.
Want internet is ow zo gemakkelijk.
Er staat in het artikel letterlijk onderstaand:
In de meeste gevallen hadden de datalekken betrekking op een individueel persoon. Het ging bijvoorbeeld om post die aan de verkeerde persoon is gestuurd
Hoe helpt het van het internet afsluiten met post die verkeerd geadresseerd wordt. Niet alle data lekken hebben met digitale systemen te maken. En bij UWV blijkbaar de helft ervan niet.
Het artikel al eens gelezen?
In de meeste gevallen hadden de datalekken betrekking op een individueel persoon. Het ging bijvoorbeeld om post die aan de verkeerde persoon is gestuurd. Dat gebeurde in de helft van de gevallen. Volgens het UWV kan de ernst daarvan wisselen. Soms gaat het om bijvoorbeeld een uitnodiging voor een gesprek, maar in andere gevallen om bijvoorbeeld een medisch rapport. In het jaarverslag wordt dat onderscheid niet gespecificeerd.
Een datalek is niet beperkt tot gehackt worden. Als je een dossier kwijt raakt (kan prima per ongeluk in de shredder zijn gegaan), als je een brief verkeerd stuurt, als er een versleutelde USB-stick in de trein blijft liggen, het zijn allemaal datalekken. Een datalek dat in de meeste bedrijven geregeld voorkomt is bijvoorbeeld een lijst van ontvanger in het To-veld van je emailprogramma zetten in plaats van in het BCC-veld.

Er zijn twee grote gevallen gemeld en er loopt nog een onderzoek van de Autoriteit Persoongegevens naar wat er moet worden veranderd. Ik denk niet dat "afsluiten van het internet" erg goed werkt, want dan zal de post nog steeds naar de verkeerde adressen worden verstuurd (alleen veel langzamer).
Wij hebben eens een vertrouwelijk dossier naar ons opgestuurd gekregen. Verkeerde brief in een envelop gestopt. Dat heeft allemaal niks met internet te maken. Waar gewerkt wordt worden fouten gemaakt.
Hoewel het voorstel van Zynth nogal extreem is kun je het UWV niet vergelijken met een bedrijf. Immers sommige mensen zijn er van afhankelijk en er is geen alternatief indien je een uitkering krijgt.
F_J_K Forummoderator @Zynth27 mei 2020 15:03
1657 lekken zelfs, waarvan 606 het melden waard. Maar: zodra ik een typefout maak ik mijn mailadres en jij vervolgens iets naar mij denkt te sturen heb jij een datalek. En als de buurman morgen een typefout maakt in zijn postadres heb je een tweede datalek.

Bij de enorme hoeveelheden van het UWV hoeft dat aantal dus niet veel te zijn. Als het zou gaan om 606 keer (of 6x) honderdduizend CV's gestolen zien worden of USB sticks met dossiers bleven slingeren, dan is dat een heel ander geval.

Sowieso goed (en nodig?) dat er onderzoek plaatsvindt maar het aantal meldingen zegt op zichzelf dus niet veel. De inhoud van de lekken wel.
Eens - ik heb al 10+ jaren last van dat sommige organisaties zelf de oorzaak zijn van datalekken aangezien de naam van onze jeugdvereniging ook een veelvoorkomende naam van o.a. basisscholen is...

In de domeinnamen van die basisscholen hebben ze dan toevoegsels als de, obs, <plaatsnaam> voor / achter de naam staan.

Helaas heeft het me vele jaren gekost om die organisatie te overtuigen dat ze overal het juiste domeinnaam moeten communiceren want dat was eigenlijk altijd wel de oorzaak. Gewoon op de eigen website het adres van je website fout hebben staan, incl in je mail adressen, is toch wel het absolute toppunt geweest van wat ik ben tegen gekomen.

Resultaat is dat ik alles van ziekmeldingen, tot nieuwbouw plannen, tot rapporten van de onderwijsinspectie of de sociaal werker van de gemeente heb langs zien komen. Hier heb ik altijd netjes op gereageerd zodat de verzender het alsnog naar de juiste partij kon versturen. Ook altijd erbij vermeld dat ik de informatie ongelezen en direct uit de mailbox zou verwijderen (dus na het versturen van de reactie).

In de gevallen van de meest gevoelige informatie over kinderen en / of hun thuissituatie heb ik slechts 1x in al die jaren een reactie van de verzendende partij gekregen met excuses dat ze het zelf niet hadden opgemerkt.
Heb de voorbeelden wel gebruikt richting de betreffende scholen waarna ze eindelijk in beweging zijn gekomen toen de AVG er aan zat te komen. Daarvoor vonden ze het kennelijk niet de moeite waard om er naar te kijken en / of het op te lossen. Nu krijg ik gelukkig nog zelden foutieve mail met vertrouwelijke gegevens dus dat is top!

Het is wel een mooi praktijk voorbeeld van hoe je als organisatie / persoon onbedoeld een datalek kan veroorzaken. Als je foutieve informatie aangeleverd krijgt dan komt dat niet altijd op tijd naar boven, dan moet iemand het toevallig opmerken.

[Reactie gewijzigd door gooos op 24 juli 2024 15:14]

Zoals ook in het artikel wordt genoemd zijn niet alle lekken digitaal. Het de helft van de lekken zijn via verkeerd geadresseerde post.
lees je een artikel wel eens voor je opmerkingen gaat plaatsen, of zie je alleen een nummertje en ga je gelijk in de aanval?
In de meeste gevallen hadden de datalekken betrekking op een individueel persoon. Het ging bijvoorbeeld om post die aan de verkeerde persoon is gestuurd.
Het grootste deel van die 606 had dus niks met hacken of internet te maken.

[Reactie gewijzigd door StefanDingenout op 24 juli 2024 15:14]

Waarvan het overgrote deel individuele gevallen betreft waar bijv. een brief naar de verkeerde persoon is gestuurd. Soms kan het UWV hier weinig aan doen, bijvoorbeeld als iemand verhuisd is maar zijn nieuwe adres niet heeft doorgegeven. Toch is er dan sprake van een datalek. Van een "hack" is gelukkig in bijna geen van de gevallen sprake.

Met bovenstaand wil ik overigens niet zeggen dat alles in orde is, maar ik denk dat dit soort berichtgeving ook wel genuanceerder mag worden gelezen. Waarschijnlijk heeft elke organisatie met het aantal klanten en type interactie met klanten van het UWV een vergelijkbaar profiel wat betreft datalekken.

En als we met z'n allen echt van mening zijn dat het zo belangrijk is, dan wordt het misschien tijd dat we voor politici stemmen die informatiebeveiliging op #1 zetten zodat binnen dit soort organisaties de middelen beschikbaar komen om dat ook zo op te pakken. Helaas zie je bij uitvoeringsorganisaties regelmatig dat de politiek druk zet om de uitvoering van een nieuwe wet zo snel mogelijk te realiseren en dan worden er allerlei oplossingen bedacht die later voor problemen zorgen. En tegen de tijd dat die issues misschien eens opgelost kunnen worden staat de volgende wetswijziging waarschijnlijk al weer voor de deur.

Ik kan je adviseren om (oa) dit rapport te lezen wat verder in gaat op de problematiek waar oa het UWV mee kampt: https://www.rijksoverheid...chtingen-en-mogelijkheden
Als je wilt weten waat het UWV op IT gebied mee kampt, en je hebt een dagje de tijd, zou je ook dit Colofon van Rene Veldwijk eens kunnen gaan lezen.
Daar lees je niet alleen waar het UWV technisch mee kampt (en dat is nogal wat), maar ook hoe de interne politiek gaat, waarom juist het opleveren van slechte producten alleen maar in de hand wordt gewerkt en hoe dat enkele bedrijven hier heel erg goed bij varen (let wel: Het UWV vaart hier niet wel bij).
Ben ik inderdaad mee bekend :) Ik vraag het mij wel af tot in hoeverre je "het UWV" de schuld kan geven van de problemen daar. Ik denk dat je daarvoor bij de politiek moet zijn en de manier waarop zij met de uitvoering omgaan. Er wordt niet gedacht in termijnen langer dan tussen nu en de volgende verkiezingen en alles moet goedkoop, snel en kwalitatief goed. Dat gaat natuurlijk niet.
Zoals Rene daar ook duidelijk aangeeft is het deels de politiek (wetgeving doorvoeren terwijl software daar helemaal niet geschikt voor is), maar ook het UWV zelf (het mislukken van een IT project is acceptabel).

Maar ja, de problemen met het UWV (en andere ministeries) worden veroorzaakt door meerdere factoren, waarbij de politiek een van de grotere is.
Ze zijn een keer gehackt. Meerdere datalekken dat wel.
Ach welnee, dit is overheid, werk ik zelf ook bij. Iedere onregelmatigheid die zou gemeld moeten kunnen worden wordt dat dus ook. Anders krijg je misschien wel op je duvel. Waar het bedrijfsleven zich eerder afvraagt hoe belangrijk het nu eigenlijk is en of iemand er eigenlijk wel achter kan komen dat ze iets niet melden en ze dus alleen serieuze zaken melden volgt de overheid stipt de letter van de wet. Feitelijke administraties waar het echte geld in omgaat bij bijvoorbeeld UWV en SVB vinden plaats op zeer goed afgesloten mainframes (het gaat hier letterlijk om tientallen miljarden) waar een leger van veiligheidsdeskundigen omheen staat, die zijn voor zover ik weet nog nooit van buitenaf gekraakt. Wel wat interne fraudes, maar ook dat ging niet om schokkende bedragen.

[Reactie gewijzigd door dura op 24 juli 2024 15:14]

Die wist ik nog niet, ik wist niet beter dat het UWV nog in die clouddienst van MS zat, thnx
Ze komen van IBM, niet van Microsoft.
^^ dit slaat kant noch wal.

1. je bent zelf verantwoordelijk voor wat je in de cloud zet
2. de cloud faciliteert, je dient zelf de regie te voeren over hoe ver je de deur open zet
3. De lijst met certificeringen en audit rapporten van Microsoft's compliancy jegens AVG/GDPR is omvangrijker dan je schoenveter, zwem, basis en middelbare school diploma bij elkaar :+
Je vergeet gemakshalve dat MS daarom DC's in Europa heeft staan die onder Europese wetgeving vallen?!
Microsoft Europe voldoet aan Europese wetten. De kans dat de Amerikaanse overheid ze dwingt tot het overdragen van data is aanwezig, zoals bij alle Amerikaanse bedrijven. Echter kan Microsoft nog steeds de Europese wet overtreden als ze de Amerikaanse gehoorzamen en daar boetes voor ontvangen (zeg eens, 4 miljard euro) als ze data doorgeven.

Microsoft heeft te voldoen aan de Amerikaanse, Nederlandse, Duitse, Australische, Nigeriaanse en Braziliaanse wetten als ze daar verkopen. Het bestuur van MS moet maar zien welke wetten ze liever overtreden als deze in conflict staan, en hetzelfde geldt voor Amazon, Cloudflare, en iedere andere datacenterprovider die internationaal opereert. Als jij servers aan Amerikanen verhuurt zou je ook ineens een telefoontje van de NSA kunnen krijgen en is aan jou ineens de keus of je uitlevering wilt riskeren door niet te antwoorden.

Het Europese hof zal niet snel de maximale GDPR-boete gaan toedelen aan het uitleveren van gegevens over een vermoedde terrorist onder dwang, maar als blijkt dat ze iedere NSA-medewerker een root-wachtwoord hebben opgestuurd is de situatie weer anders.

Overigens is het compleet legaal om persoonsgegevens in de Microsoft-cloud op te slaan maar dat zal bijvoorbeeld niet zo snel gelden voor Russische of Chinese servers. Dit komt onder andere door het privacyschild. Als Microsoft hun registratie zou verliezen omdat ze data doorspelen, zouden ze de Amerikaanse overheid voor alle schulden op kunnen laten draaien.
Ik wist het niet van DXC en dacht nog echt dat het UWV in de cloud bij MS zat. Ik weet ook niet alles, net zoals een ieder.
Het was toen een van de punten waarover gepraat werd qua wetgeving en voldoen eraan.
Maar snap dat het nu in ieder geval beter is geregeld.
Ondertussen ging je wel 'vol op het orgel' in de gedachte dat het bij Microsoft zat en dat dit het stomste was dat ze ooit konden doen. Daarom is het niet handig om zulke harde stellingen neer te zetten. Veel mensen doen dat en achteraf blijkt het allemaal net iets anders te zijn. Best jammer want goede discussies kunnen daardoor ontsporen.

Ik kan je verzekeren dat veel data in 2019 bij IBM was ondergebracht dus het ligt iets complexer dan je al dacht. ;)

Microsoft speelt op softwarevlak wel een grote rol (net als KPN). Als het gaat om data zijn er heel wat mensen binnen UWV die er een behoorlijke dagtaak aan hebben om alles te controleren. Ik ben er bijvoorbeeld één van en heb de voelsprieten in zowel de digitale als de fysieke data.

Er wordt zeer zorgvuldig omgesprongen met klantdata. Er worden vele controles uitgevoerd voordat gegevens permanent worden opgeslagen en zelfs op de archieven worden controles uitgevoerd. Er glipt altijd wel iets tussendoor en vaak is het niet het melden waard. In geval van twijfel worden er altijd meldingen gedaan welke worden onderzocht.

Er is zelfs een afdeling die als één van de taken het controleren van 'misplaatste' poststukken heeft. Er wordt dan wel onderscheid gemaakt in geopende en ongeopende post. Ongeopende post is geen datalek, wanneer het onderweg wel is geopend wordt er een onderzoek op uitgevoerd. Medewerkers die dit veroorzaken worden dan ook steevast aangesproken.

UWV heeft de naam dat het slordig omspringt met gevoelige gegevens terwijl dit helemaal niet zo is. Er zal vast een tijd zijn geweest waarbij dit anders was, dit was echter wel voor mijn tijd.

Tijdens mijn controles kom ik weleens wat tegen en ik spreek daar managers op aan en als dit niet het gewenste effect heeft dan gaat er een melding naar de directie. Hoe dan ook, onderzoeken worden uitgevoerd en daarop wordt ook toegezien dat dit goed verloopt.

De AVG is een groot goed binnen UWV, dat kan ik je verzekeren. ;)
Toch gaat er heel veel fout bij het UWV, daar ga ik het verder niet over hebben(maar 606 is niet mis), maar dat mijn aanname iets was wat ik had gelezen een tijd terug en verder me er toen niet in verdiept, maar de argumenten waren diezelfde als die van mij, wat als de Amerikaanse regering nu die gegevens wil inzien?
Maar goed, dat is dus van de baan en men zit nu bij DXC.
606 is niet mis en iedere fout is er één teveel en dat ben ik roerend met jou eens. :)

Besef wel op welke schaal er wordt gewerkt, wekelijks gaan er talloze poststukken de deur uit en worden er ontvangen. Ook intern wordt er veel post verzonden en ontvangen en dan heb ik het nog niet over de dossiers die een eigen route kennen.

Je kunt er rustig vanuit gaan dat Amerika niet meekijkt alleen is het moeilijk om daar een garantie op te geven. Niet omdat Amerika er met een omweg bij kan maar omdat die garantie simpelweg niet gegeven wordt. De dag dat zoiets gebeurt is de dag dat er grote rellen ontstaan waarbij tot in de politiek aan toe problemen zouden ontstaan. De data is van Nederland en daar komt geen verandering in.

Dat je het mis had is ergens juist goed, dit gaf mij weer de kans om er iets over uit te leggen wat normaal gesproken zelden voorkomt omdat ik niet vaak over mijn werk praat op dit vlak.
Dat is ook een van de nadelen van de afgelopen decennia, er verandert zo veel en zo snel.
En ik ben gelukkig niet de moeilijkste om mijn ongelijk toe te geven, want ik was echt in de veronderstelling dat het in die cloud van MS hing.
En ben het roerend met je eens, de gegevens zijn en horen alleen in de NL thuis.
Stomste wat je kan doen is iemand aanvallen, ondanks dat ik iets mis kan hebben.
Maar goed je bent tweaker en je wil je ook laten gelden
Feiten benoemen is blijkbaar iemand aanvallen tegenwoordig. Ik wilde me niet laten gelden, ik wilde vooral voorkomen dat mensen die er geen bal verstand van hebben hun onzin spuwen op internet (Microsoft cloud... Je hebt geen idee. Zegt Oracle je iets?). Dat is wel mijn fout natuurlijk, want dat is een kansloze missie.
Wie zegt dat er iemand lult? Of praat/typ ik netjes, ondanks dat ik ook iets mis kan hebben, je doet alsof je overal verstand van hebt, maar dat heb jij ook niet.
Ik wist niet beter dan dat het UWV in de cloud bij MS zat, is ook aangepast. En het gaat ook over het onderwerp, maar weer blijkt aan de downmods dat men die misbruikt.
Ik ben vooral benieuwd naar de uitkomst van het 2de onderzoek als je bijvoorbeeld het verlies van een paar miljoen records (bsn, donorkeuze, adres, etc) bij het donorregister niet meld omdat de minister de kans op misbruik "klein" inschat...
Slordig en dient natuurlijk voorkomen te worden. Maar, mensen maken fouten.

Zelf ook iets ervaren met het UWV. Een uitnodiging voor een bijeenkomst. Alleen hadden ze alle mailadressen is Cc. ipv Bcc gezet. Stom natuurlijk en daar melding van gemaakt bij het uwv.
"Zo wordt 'geopende retourpost' vaker onderschept, waardoor brieven minder snel bij de verkeerde ontvanger terechtkomen."

Of dit is heel knullig opgeschreven of het is complete BS.

Geopende post die retour komt is per definitie fout gegaan en hoogstwaarschijnlijk geopende door iemand waaraan het uiteindelijk niet geadresseerd (kloppende naam & adres) was. Per definitie zijn die dus al bij de verkeerde ontvanger geweest.
Daarnaast onderscheppen we sinds 2019 geopende retourpost beter
Dat is de quote uit de bron. Ik gok dat ze bedoelen dat geopende retourpost die op de postafdeling van de UWV terechtkomen sneller bij de juiste eindpersoon belanden en niet van afdeling naar afdeling en persoon naar persoon gaan, waarbij al die mensen de brief moeten lezen om te zien voor welke collega deze bestemd is en dus weer een nieuw incident veroorzaken.

Ter verduidelijking, het deel "waardoor brieven minder snel bij de verkeerde ontvanger terechtkomen" zijn dus geen woorden van de UWV.

[Reactie gewijzigd door twiFight op 24 juli 2024 15:14]

Dank voor deze toevoeging.

Echter, dat binnen het UWV de brief van hand tot hand gaat en door personen gezien / gelezen wordt die niets met dat dossier te maken hebben is één. Maar betreffende mensen hebben daar op de juiste manier mee om te gaan (oftewel, ze kunnen maar beter hun bek dichthouden over wat ze eventueel gezien hebben).

Erger is dat het ergens verkeerd terechtgekomen is bij iemand die er totaal buiten staat maar er nu wel vanaf weet. De verkeerde persoon kan daar mooi "gebruik" van maken in zijn / haar voordeel.
Wie leest wel eens het UWV blog van René Veldwijk op GeenStijl?
(update: mijn excuses dat ik de aandacht vestig op een blog die een waterval aan ICT problemen bespreekt binnen het UWV. Het is mij duidelijk dat dit offtopic was van het onderwerp: datalekken van het UWV)

[Reactie gewijzigd door Vernes op 24 juli 2024 15:14]

Ik lees iedere zondag, iedere keer denk ik dat het niet erger kan, maar toch weet Rene het tegendeel te bewijzen....
Maar ga er maar van uit dat er meer ministeries met soortgelijke systemen willen werken, want efficientere software betekend minder mensen en minder budget.
Rene Veldwijk toont exact aan waarom IT projecten bij de (rijks)overheid mislukken en waarom er niets aan gedaan wordt.
De vraag is natuurlijk, hoe strikt zijn ze bij het UWV met het melden van deze lekken?
Volgens mij gebeuren er bij zoveel bedrijven zowel bewust als onbewust datalekken.
Deze worden dan niet gemeld.
Heel strikt. Er zijn afdelingen opgetuigd voor de afhandeling van datalekken en iedere melding wordt grondig uitgezocht. Als het nodig is wordt er een AP-melding gedaan. Betrokken medewerkers krijgen de voortgang te horen en het kan zelfs tot sancties leiden.

De grap van dit soort cijfers is dat het een vertekend beeld geeft. Veel meldingen laat het voorkomen alsof er zeer veel mis gaat, vooral wanneer je vergelijkingen maakt met bedrijven die juist weinig meldingen maken. Misschien melden de andere bedrijven niet alles zoals het hoort waardoor het lijkt dat zij het beter doen.

Dit soort cijfers zeggen op zichzelf niet zo heel veel. :)
Hadden ze nou echt niet een klein beetje meer lekken kunnen krijgen. Een stuk of 60 of zo ;-)
Iets met dweilen met de kraan open... 8)7

Op dit item kan niet meer gereageerd worden.