Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ict-systemen van Nederlandse politie voldoen vrijwel allemaal niet aan de wet

Vrijwel alle ict-systemen die de Nederlandse politie gebruikt, voldoen niet aan de wet en geen één voldoet aan alle regels rond privacy en informatiebeveiliging. Dat concludeert Bits of Freedom na analyse van rapporten die door de politie zelf zijn gemaakt.

Burgerrechtenorganisatie Bits of Freedom kreeg via een Wob-verzoek toegang tot 35 rapporten van de politie en heeft die allemaal online gezet. De politie gebruikt in totaal 36 'high risk'-applicaties, die als zodanig zijn bestempeld omdat er gevoelige gegevens mee worden verwerkt.

Volgens Bits of Freedom is het vooral slecht gesteld op het gebied van informatiebeveiliging en privacy. Agenten die van functie wisselen behouden bijvoorbeeld toegang tot de database uit hun eerdere functie en gegevens worden vaak te lang bewaard. Het gaat overigens niet om overtredingen op de AVG, maar van de Wet politiegegevens.

Bits of Freedom vat de resultaten uit de rapporten samen in een tabel en concludeert daarin dat slechts 3 van de 35 geanalyseerde systemen aan de wet voldoen. Ook die systemen voldoen overigens niet volledig aan het politiebeleid. Drie onderdelen krijgen een 0-score, daarbij is het met de privacy en beveiliging het slechtst gesteld. Het gaat om AVR voor opname en toegang tot verhoren, TRIS voor forensische opsporing en Kantoorautomatisering, waar basisprogramma's voor alle medewerkers onder vallen zoals e-mail en spreadsheets.

In een statusupdate van de politie, uit december 2019, staat dat er ook 'scores naar beneden zijn gegaan'. Volgens het rapport is het 'een realistische verwachting' dat de helft van de applicaties aan het einde van 2020 voldoet aan de wettelijke eisen.

De politie is naar eigen zeggen streng geweest bij de onderzoeken en stelt dat een applicatie niet voldoet als die op een klein punt niet in orde is. Dat zou echter niet per definitie betekenen dat de opgeslagen gegevens slecht beveiligd zijn. De applicaties krijgen ook een onvoldoende als bijvoorbeeld de verplichte risico-analyse naar de beveiliging ontbreekt, zegt een politiewoordvoerder in een reactie tegen Trouw. Volgens de politie is het risico voor burgers minimaal.

Bits of Freedom wil dat de politie wordt gedwongen om de wet na te leven en roept de Autoriteit Persoonsgegevens op om boetes uit te delen. "Het is te gek voor woorden dat de politie hier al jarenlang mee wegkomt", schrijft de organisatie. Dat is overigens niet helemaal zo, want in 2018 kreeg de politie al een boete van de privacytoezichthouder. Het ging om een last onder dwangsom van 40.000 euro die werd gevorderd nadat de politie geen wijzingen aanbracht aan een systeem terwijl de AP dat wel opdroeg. Het ging om een systeem waarmee personen werden gecontroleerd die het Schengengebied binnenkwamen en verlieten.

De analyse van Bits of Freedom is gebaseerd op 35 rapporten die in totaal zo'n 750 pagina's bevatten. Volgens de organisatie weigerde de politie aanvankelijk de documenten openbaar te maken, omdat de conclusies daarin 'de veiligheid van de samenleving in gevaar zouden brengen'. Via de rechter kreeg Bits of Freedom toegang tot de rapporten. Er is één rapport dat de politie niet heeft vrijgegeven, de privacyorganisatie probeert dat via de rechter alsnog boven tafel te krijgen.

Door Julian Huijbregts

Nieuwsredacteur

19-11-2020 • 08:31

198 Linkedin

Reacties (198)

Wijzig sortering
Ik raad mensen aan echt de rapporten eens te lezen en dan pas conclusies te trekken. De “samenvatting” van BoF is behoorlijk stemmingmakerij en gaat af en toe wel heel kort door de bocht.

BlueView is trouwens de applicatie (zie het 1 grote database waar heel veel systemen aqua vastlegging aan gekoppeld zijn) waar de politiemol Mark B. te lang toegang tot had, zelfs toen hij niet meer een functie had waarvoor die toegang noodzakelijk was.
Dit is nadien helemaal dichtgetimmerd en qua autorisatie is het haast nog makkelijk om een raket naar de maan te sturen dan voor die applicatie. Het is ook te terug te zien dat die applicatie zo’n beetje het beste scoort.

Bij BVI-IB staat geen omschrijving. Dit is een systeem (zie het als een soort indexeerder) waar meerdere zaken (BVH, RDW, GBA (gemeentelijke basisadministratie), signaleringen, etc. in staan. Dit is het systeem waar standaard alle bevragingen in gedaan worden door het overgrote deel van de politiemedewerkers. Omdat BVH opgedeeld is qua politieregio (iemand uit Maastricht kan dus niets vastleggen in BVH van Groningen) is er een noodzaak om eigenlijk alles uit het land te zien; dus iemand die in Groningen rare dingen doet en vaker gecontroleerd is, moet ook duidelijk zijn voor de politie in Maastricht. BVI-IB koppelt dit real-time zodat je het dus kan raadplegen.

Qua wetgeving gaat alles geautomatiseerd volgens de WPG (Wet Politiegegevens) waardoor er dus automatisch bepaalde registraties (afhankelijk van het soort) verdwijnen na 1 jaar, na 5 jaar, etc.

In dat systeem is trouwens niets van rechercheonderzoeken te vinden. Die staan allemaal in Summit en dat is weer niet gekoppeld aan BVI-IB.

Zo wordt door de politie echt wel onderscheid gemaakt in de “belangrijkheid” van systemen en mijn ervaring is dat het echt lastig is om voor bepaalde systemen autorisatie te krijgen (moet langs meerdere personen) en ook de autorisatie te behouden als het niet meer noodzakelijk is voor je functie.
Uiteraard glipt er wel eens iets door en wordt er iets vergeten (bij intrekken van autorisatie), maar Dat alles een stuk strakker en strenger is geworden (zeker sinds de Nationale Politie) staat als een paal boven water!
Ik raad mensen aan echt de rapporten eens te lezen en dan pas conclusies te trekken.
Heb ik gedaan.
Qua wetgeving gaat alles geautomatiseerd volgens de WPG (Wet Politiegegevens) waardoor er dus automatisch bepaalde registraties (afhankelijk van het soort) verdwijnen na 1 jaar, na 5 jaar, etc.
Waarom staat er dan op pagina 6 van het rapport over BVH:
Er kan binnen BVH handmatig vemietigd worden. Automatisch vernietigen is gebouwd, maar is niet getest en ook niet in productie.
Op 12/09/2017 heeft de Stuurgroep BVH besloten dat alle capaciteit naar OPP gaat en daarmee (vooralsnog) geen aandacht besteed zal worden aan het automatisch vernietigen.
?
@Djordjo het is nog erger: ze kunnen dat met primary keyvelden, bv. Dossiernummer. Volgens mij zelfs zonder opgave van reden.

Vraag eens aan iemand van de belastingdienst wat die er van vindt als een ondernemer zijn factuurnummer kan wijzigen. Nog grappiger, vraag het aan Merkel, die zo Griekenland denkt op te voeden.

[Reactie gewijzigd door Bulkzooi op 19 november 2020 18:23]

jammer dat ik zo ver naar beneden moet scrollen voor jouw reactie. ben het helemaal met je eens!
zoveel keyboardwarriors hebben meteen hun mening klaar, terwijl in het artikel van Tweakers zelfs specifiek gemeld staat dat de politie streng op zichzelf is geweest bij deze analyse.
persoonlijk heb ik liever dit, dan die rapportages die zichzelf de hemel in prijzen omdat dat toevallig beter uitkomt.
daarnaast denken dat bij de politie alles perfect geregeld is, omdat het een overheidsorgaan is... tsja lost for words.

ontopic:
goed dat de politie deze analyses intern zo streng uitvoert en vervolgens netjes het WOB-verzoek behandeld. beetje stemmingmakerij van BoF, zullen wel te lang uit het nieuws zijn geweest.
je ziet bijv. dat item kantoorautomatisering (email, spreadsheets) een 0 score krijgt, terwijl doelbinding en informatiebeveiliging de maximale score krijgen. PDCA en verantwoording hebben dan 0 scores. wat het totaal meteen op 0 brengt, omdat de politie streng voor zichzelf is geweest.
ik heb liever deze verhouding dan andersom.

[Reactie gewijzigd door antonvdijk op 19 november 2020 09:39]

Zelf vinden dat ze streng zijn is leuk, maar zolang je met enige regelmaat nieuws leest over afluisteren an advocaten, persoonsgegevens die verwijderd hadden moeten worden maar dan toch perongeluk nog in de backups zaten of dat er ineens een handig data gedeeld word met de belastingdienst om de bewaartermijn te ontduiken dan heb ik toch mijn twijfels.

Er zullen ongetwijfeld dingen over tijd verbeterd worden en ongetwijfeld ook dingen goed gaan, maar zolang er meer dan een keer per jaar zulk soort nieuws over serieuze ict problemen naar buiten komt is het gewoon niet goed genoeg.

Aan de andere kant, dat kun je van een hele hoop overheidsinstanties zeggen, dus wellicht is de betere vraag om te stellen: doet de politie het beter of slechter dan die andere instanties?
persoonsgegevens die verwijderd hadden moeten worden maar dan toch perongeluk nog in de backups zaten
Per ongeluk? Lijkt me ontzettend expres, en dat zonder een greintje kwade opzet. Ik sluit niet uit dat er mensen zijn die het wel doen, maar ik ken niemand die na het verwijderen van data alle oude backups gaat restoren, de data daar ook uit haalt, en de backup opnieuw doet. Dat is zo'n beetje het omgekeerde van het doel van backups; als je dat moet gaan doen dan kun je beter geen backups meer maken...

Aan de ene kant moet je zorgen dat je bedrijf blijft draaien na een calamiteit / ransomware / iemand die per ongeluk iets verwijderd (en zeker bij die laatste twee kan het erg lang duren voordat je er achter bent, soms komen gebruikers er pas na maanden achter dat ze iets hebben weggegooid, en in Maastricht zaten de hackers maanden in het netwerk van de universiteit), aan de andere kant heb je dit soort vraagstukken. Ik ben benieuwd hoe men beide op een praktische manier kan verenigen?
Je hebt als ex verdachte gewoon recht op vernietiging van persoonsgegevens zoals vingerafdrukken. En daar doet de politie wel eens moeilijk over. En trucjes als deleten en dan de week erna uit de backup restoren zijn gewoon smerig.

Snap wel dat het verleidelijk voor ze is de regels te buigen, maar daarom moeten de technische oplossingen juist goed zijn zodat die verleidingen weggenomen worden.

[Reactie gewijzigd door KSU4reqY op 19 november 2020 13:33]

En trucjes als deleten en dan de week erna uit de backup restoren zijn gewoon smerig.
dat verzin je nu ook zelf dat iemand dit zou doen. Dat heb ik in ieder geval nog nooit eerder gehoord dat de politie dit zou doen om onder de regels uit te komen.

Ik ben het met Paul eens dat data zeer waarschijnlijk zonder enige kwade opzet in backups komt. Gewoon omdat je goede backups wil maken.
Of het met opzet gebeurt of niet maakt niet eens uit, het zou ook per ongeluk niet moeten kunnen gebeuren.

Is net zoiets als dat toegang tot je oude werkperk blijven houden, dat zou ook niet moeten kunnen of je het nou met opzet wilt houden of dat iemand vergeet een vinkje te zetten.

Maar denk dat big picture veel weldegelijk met opzet gebeurd. Je moet maar eens aan een agent vragen of je beveiligingscamera de openbare weg mag opnemen, dan krijg je een antwoord als "eigenlijk niet, maar het is wel heel handig voor ons als die toevallig een misdaad op straat opnemen wink wink nudge nudge". Men zegt veel te snel baat het niet dan schaad het niet en juist de politie zou beter moeten weten.
Er was wel degelijk een issue met bv. kentekenlezers. De data moest daar op korte termijn vernietigd worden, maar door een stream door te geven aan de belasting dienst met een bewaarplicht van een jaar of 7 was er in ieder geval een overheid instantie waar later data alsnog opgevraagd kon worden.

En van de belastingdiesnt dachten we te weten dat die in iedergeval WEL volgens de regels zou werken... ow.dat is waar ook die hebben redelijk uitgebreid aangetoond dat ze dat ook niet doen. En alle data die nodig was om zaken recht te zetten zijn "kwijt" .. of staan op compleet zwartgemaakte bladzijden in via Wob opgeeiste documenten. (sorry voor de side track).

edit: typos

[Reactie gewijzigd door tweaknico op 20 november 2020 15:46]

Er zijn dus geen "vieze trucjes" uitgehaald door data die verwijderd moet worden te verwijderen en dan weer terug te zetten uit backups. Wat overduidelijk niet mag.

Of data doorgeven aan de belastingdienst juridisch op het randje, of over het randje is, dat weet ik niet, daar heb ik geen verstand van, daar moet je jurist met specialisatie op politiewet voor zijn. Ik weet wel dat de wetgeving niet altijd zwart/wit duidelijk is met dit soort dingen. Als ik dan moet kiezen tussen een ineffectieve politie die nooit iets in het schemergebied van de wetgeving doet, of een effectievere politie die wel eens in het schemergebied van de wetgeving opereert, dan heb ik liever dat laatste. Veel van de criminelen die ze moeten oppakken opereren meestal ook in dat schemergebied.
Als ik dan moet kiezen tussen een ineffectieve politie die nooit iets in het schemergebied van de wetgeving doet, of een effectievere politie die wel eens in het schemergebied van de wetgeving opereert, dan heb ik liever dat laatste.
Dus je hebt liever een politie die als het zo uitkomt wat bewijs fabriceert, of ontlastend bewijs verduistert zodat er in ieder geval een dader gevonden wordt. ... immers een hoger oplossingspercentage = effectievere politie.

M.i. moet de politie data juist onbetwistbaar zijn..., als je een deel niet kan vertrouwen hoe groot is dat deel dan? Welk deel mag wel per ongeluk gelekt worden?
ik geloof niet dat bewijs fabriceren in het schemergebied van de wetgeving is. Dat is overduidelijk buiten de wet. Ontlastend bewijs verduisteren is ook overduidelijk buiten de wet. Dus je voorbeelden zijn niet eens in de buurt van wat ik bedoel.

Misschien is dit een voorbeeld wat in het schemergebied zit: gegevens uit een commercieel verkrijgbare dataset (bijvoorbeeld van Facebook) gebruiken in de opsporing, terwijl de politie die gegevens niet zelf zou mogen verzamelen zonder tap die eerst door de rechter wordt goedgekeurd.

(nogmaals, ik ben geen jurist met kennis van de politiewet, dus ik weet niet wat er precies in het grijze gebied zit - dus misschien is ook dit voorbeeld helemaal geen schemergebied)
En dit het nadeel van mens zijn. Een mens kun je nooit voor de volle 100% vertrouwen, hoe graag men dit ook wilt.. Ook al ben je uit het beste hout gesneden.. Er liggen altijd verleidingen op de loer, op elk niveau.
Inderdaad - uit alles blijkt dat blind vertrouwen niet verstandig is. Gelukkig lijkt wel meer bewustzijn te ontstaan (bij burgers en diensten) en worden ook acties ondernomen om privacy beter te waarborgen.
Overheidsinstanties? Bedoel je niet organisaties in het algemeen?
@KSU4reqY je vergeet de heftigste: het kraken door politie van Encrochat en daar op corrupte politie stuiten.
en vervolgens netjes het WOB-verzoek behandeld.
Ze waren niet van plan de rapporten te delen een het moest via de rechter afgedwongen worden...
Klopt, en dat is niet zoals het zou moeten zijn, maar in elk geval wordt binnen de politie de boel goed scherp gehouden. Ze zitten niet te wachten tot de toezichthouder langskomt.
Slechter dan Minfin kan ook haast niet ;)
dat mes snijd natuurlijk aan 2 kanten, alsin het nieuwsbericht had gestaan dat de politie direct de rapporten hadden opgestuurd, dan hadden hier nu comments gestaan met vragen waarom de politie zo snel die rapporten deelt.

Lijkt mij dus goed om dit soort aanvragen door een rechter te laten toetsen, mits die rechter wel onpartijdig kan oordelen natuurlijk, maar dat is een beetje de definitie van een rechter.
In geval van direct opsturen - omdat de rapporten de juiste dataclassificatie hadden en dus gewoon snel gedeeld konden worden? Of zeg ik nu iets geks?

[Reactie gewijzigd door AntiSocial op 23 november 2020 15:45]

Ze waren niet van plan de rapporten te delen een het moest via de rechter afgedwongen worden...
duh.. welke organisatie gaat nou graag kritische interne rapporten publiek rapporteren.

Je weet vantevoren dat er een heel mediacircus op af komt, kamervragen, extra toezicht etc. Daar ben je dan weer twee maanden mee kwijt en al die energie heeft geen enkele verbetering aan je systemen opgeleverd. Ik zou mijn energie ook liever steken in het verbeteren van zaken in plaats van de hele wereld de nuance van rapporten uitleggen.
Het WOB verzoek is door een rechter toegekend. Niet direct door de politie op verzoek geleverd.
Dus meewerkstand valt wel tegen.

Hoe streng keurt een slager z'n eigen vlees? Het zou goed gedaan kunnen zijn, maar evengoed ook niet voldoende. Daarom is controle door derden meerzeggend.

Als je een boekhouding voert maar niet kan aantonen waar de cijfers vandan komen is het een onbetrouwbare boekhouding. Waarom zou verantwoording afleggen in een ander systeem dan niet nodig zijn? Zonder verantwoording over inhoud is de inhoud verder niets zeggend... (Het kan correct zijn, maar dat hoeft niet). Als er inhoudelijk wel goede zaken worden aangetroffen zegt dat dan weer niets over hoe dat in toekomst of in het verleden is geweest.
Vreemd dat Verona hier niet bij staat. Nog steeds in gebruik, en al in 2011 vastgesteld dat het absoluut niet voldoet voor waar het voor bedoeld is.
Voor wat betreft Blueview is de vraag of deze veelgebruikte applicatie wel zou mogen werken zoals het nu werkt.
Thnx, vuurwapens.
Da's alles wat ik wilde weten.

Focus ik me nu weer op de betreffende rechtzaken en laat ik die politici maar blaten en consultants zoeken om zich achter te verschuilen.
Ik mis wel meer systemen in dit overzicht. Is echt niet compleet.
Verona staat er wel bij: In de lijst staat deze als PSH-VM...
Ik kan jouw samenvatting beamen. Maar ik heb er nog een toevoeging aan. De politie is (niet lullig bedoeld) hoofdzakelijk een MBO-organisatie met mensen die vanuit vroeger met name op straat werkten, of nog doen. De drempel om goed (digitaal) gedrag aan te leren is lastiger dan bij menig ander bedrijf, omdat de demografie nou eenmaal niet digitaal onderlegd is.
Wat ik wel merk dat veiligheid veel belangrijker wordt gevonden en dat men hier serieus mee bezig is.
:-)
Niet lullig bedoeld, maar je zegt het wel en bekrachtigt het daarna ook nog |:(
@ArnoutV hij bedoelt dat de inhoud van zijn boodschap bepaalde groeperingen raakt en verschuldigd zich hiervoor netjes en noemt verder ook geen namen.

Wat is het probleem? Hij hoeft zich niet eens te verontschuldigen want hij mag gewoon zijn mening uiten. Of simpele kritiek concreet maken.

[Reactie gewijzigd door Bulkzooi op 19 november 2020 12:24]

Maar het feit kan kloppen. Moet je dan het feit weglaten? Het kan immers een belangrijke oorzaak zijn.

[Reactie gewijzigd door mgizmo op 19 november 2020 10:35]

Het 'niet lullig bedoeld' had hij dan weg kunnen laten. Dat is het punt
het 'niet lullig bedoeld' is natuurlijk erg ongelukkig gekozen, maar feit is wel, er inderdaad heel erg veel mbo'ers bij de politie werken, je zou bijna kunnen zeggen dat dat heel erg verkeerd is.

om een vergelijk te maken, in het leger staan alle MBO-soldaten onder direct en volledig bevel ... (even iets gechargeerd) van een Hoger geschoolde Oficier. je zou kunnen zeggen dat het bevel tot schieten dus gedaan wordt door iemand met een hogere opleiding en wellicht zelfs een hogere inteligentie.

hoe kan het dan dat in vredestijd wanneer de noodzaak dus kleiner is, er lager geschoolden worden uitgerust met dodelijke wapens.

Je hoort ze vaak genoeg: van die straatpraatjes dat agenten mislukte mariniers zijn, jongens die kicken op geweld en haantjesgedrag maar die niet goed genoeg bevonden zijn.

Als in al het bovenstaande ook maar het kleinste beetje waarheid zou KUNNEN schuilen, (en dat doet het) dan horen die systemen POTDICHT te zitten. Hoort elk van die personen jaarlijks gescreend te worden, en hoort misbruik bestraft te worden niet met ontslag en een kleine boete maar met 10+ jaar gevangenis en levenslange ontzegging van ambtelijke beroepen (of beroepen die daarmee in aanraking komen)
het 'niet lullig bedoeld' is natuurlijk erg ongelukkig gekozen, maar feit is wel, er inderdaad heel erg veel mbo'ers bij de politie werken, je zou bijna kunnen zeggen dat dat heel erg verkeerd is.
Waarom zou dat verkeerd zijn? Als die persoon, zover als dat noodzakelijk is in die functie (ze zijn geen advocaat of rechter) de wet kent, is het prima, echter als daar ook een MBO-salaris aanhangt zonder risicotoeslag (je weet wel, achtervolgingen, wapens enzo), zonder aanzien (want gebleken is dat er in de organisatie corruptie is, vooral naar de top o.a. bij de aanschaf van politieauto's bij Pon terwijl er al zeker 30 jaar vooral aandacht is voor hardrijders en de politieman in de straat wordt daarop aangekeken dus is er de laatste 10-15-20 jaar steeds minder respect voor de politie.

Daarbij blijkt de laatste 5-10 jaar ook de politie de wet niet meer te kennen, ja ze doen wat hen opgedragenn word; al jaren is dat handhaven van de openbare orde en tegenwoordig vooral handhaving van coronamaatregelen, want dat is de opdracht die ze vanuit de politietop en de veiligheidsregio's krijgen, en handhaven betekent inmiddels autoritair opleggen wat de regeltjes zijn, ongeacht dat die regels misschien nergens op slaan (mondkapjes helpen niet, ook volgens het RIVM, behalve dan in OV e.d.) of zelfs rechtstreeks ingaan tegen wettelijke en grondwettelijke rechten. (Onze grondwet is trouwens ook een papieren tijger, want de rechter mag verdragen, wetten en overheidsbeleid daar niet aan toetsen, art 120 van die grondwet - uniek in de wereld, gelukkig kun je altijd beroep doen op Europese verdragen)

En dat is mischien wel het grote probleem, de agent wordt inderdaad niet meer geacht zelfstandig beslissingen te nemen.
om een vergelijk te maken, in het leger staan alle MBO-soldaten onder direct en volledig bevel ... (even iets gechargeerd) van een Hoger geschoolde Oficier. je zou kunnen zeggen dat het bevel tot schieten dus gedaan wordt door iemand met een hogere opleiding en wellicht zelfs een hogere inteligentie.
Dat is wel heel kort door de bocht.
Ten eerste hebben opleiding en intelligentie niet veel met elkaar te maken. Heel veel intelligente mensen beginnen nooit aan een hogere opleiding omdat ze
- succesvoller zijn in het zakenwezen of in een andere branche
- hun interesses ergens anders liggen
en bij de meesten die een hogere opleiding niet afmaken ligt ook dat niet aan intelligentie, maar vooral aan (g)een goede start weten te maken, interesse (te veel randzaken in de opleiding), doorzettingsvermogen en zelfvertrouwen.
Je moest eens weten hoeveel mensen er een tekort aan zelfvertrouwen hebben.

De hoogste opleidingen in Nederland, de universitaire, hebben een hoog abstractieniveau maar zelfs dat betekent nog niet dat dit meer intelligentie vereist, hooguit andere intelligentie.
hoe kan het dan dat in vredestijd wanneer de noodzaak dus kleiner is, er lager geschoolden worden uitgerust met dodelijke wapens.
Vroeger was het zelfs zo dat iedereen dodelijke wapens droep om zichzelf te beschermen. De voornaamste reden van het verbod is niet zozeer om in te dammen dat er ongelukken gebeuren of ruzies uit de hand lopen, maar dat de overheid zichzelf dit recht heeft toegeëigend in tijden dat er een risico was dat burgers bij een opstand die overheid zouden afzetten.
Je hoort ze vaak genoeg: van die straatpraatjes dat agenten mislukte mariniers zijn, jongens die kicken op geweld en haantjesgedrag maar die niet goed genoeg bevonden zijn.
Ik ken die verhaaltjes niet. Wel was er een categorie agenten is die kickt op haantjesgedrag en autoriteit, maar de laatste 5-10 jaar heb ik daar weinig meer over gehoord, dit lijkt vrijwel volledig verschoven te zijn naar de handhaving-boa's. Die hebben nog minder opleiding als een politieagent, en gaan we nu uitrusten met een wapenstok, mijn insziens een verkeerd wapen, men had ze beter een vlammenwerper gegeven.
Als in al het bovenstaande ook maar het kleinste beetje waarheid zou KUNNEN schuilen, (en dat doet het) dan horen die systemen POTDICHT te zitten.
Dat horen die systemen zowiezo te zitten.
Hoort elk van die personen jaarlijks gescreend te worden, en hoort misbruik bestraft te worden niet met ontslag en een kleine boete maar met 10+ jaar gevangenis en levenslange ontzegging van ambtelijke beroepen (of beroepen die daarmee in aanraking komen)
Hoe vaak de screening moet plaatsvinden kan ik niet zeggen, en over de strafmaat spreek ik mij al helemaal niet uit. Wel is het belangrijk dat je ervoor zorgt dat de verleiding om de fout in te gaan zo klein mogelijk moet maken. De verleiding is groter als je er veel mee kunt verdienen, maar kleiner als je een fatsoenlijk salaris krijgt als politieman/vrouw en als het vak aanzien heeft. Dat is al jaren niet meer het geval. Op dit moment lijkt het echter vooral diegenen te trekken die inderdaad kicken op autoriteit en mach, en voor wie de politie-opleiding te zwaar is, die wordt boa. En als boa hoef je inderdaad niet te (kunnen) denken, gewoon autoriteir zijn en de regels opleggen. Nu is het op dit moment zo dat een boa ook niet zo heel veel mag (buiten boetes opleggen en hulp inroepen van echte politie - die inmiddels ook is geleerd strikt de kant van de boa te kiezen ongeacht de situatie) maar hoe meer die boa straks mag, hoe meer excessen je zal zien.
Er heerst ook gewoon een verrotte cultuur helaas.
De war-on-drugs maakt meer kapot dan dat het oplost en kost ons jaarlijks miljarden aan capaciteit die er heen gaat.. En daarnaast nog de schade van de door beleid ontstane criminaliteit en misgelopen belastingen als ze zouden legaliseren.
Bij mij staan ze onderaan de sociale ladder nog net boven pedofielen.
Geloof me, dat denken heel veel mensen maar dat is dus echt niet zo. Misschien op straat wel (alhoewel er toch echt steeds meer HBO'ers binnenstromen).

"Binnen" en dan bij beleidsfunctie of bedrijfsvoering (ondersteuning) van een eenheid zitten echt hele slimme koppen van bijna allemaal HBO en universitair niveau. Die echt bewust voor de politie hebben gekozen om het land net een beetje beter te krijgen.

De tijd dat nauwelijks geschoolde mensen de topfuncties binnen de politie kregen ligt al lang lang (lees: 20+ jaar) achter ons. Qua bedrijfsvoering en dan vooral het niveau lijkt het steeds meer op een zeer groot bedrijf, met gewoon zeer hoog opgeleide mensen die aan de teugels trekken.
Ik ben ook zo'n HBO instromer ;-)
Zelf doelde ik meer op de uitvoerende kant van het politiewerk, daar heb je simpelweg te maken met collega's die slecht digitaal onderlegd zijn. Dat is gewoon iets waar we mee moeten leren omgaan en blijven investeren in training.
Helemaal mee eens. Ik ben bekend met de gebruikte systemen en hoe de gebruikers de autorisaties krijgen. Er zijn veel stappen gezet om dit proces beter te laten verlopen.

Het is dat BoF zo te lezen alles doet vanuit een rapport, ik lees zo even niet of ze daadwerkelijk zicht/"toegang" hebben gehad tot dit systeem.

Het enige grote probleem is dat veel applicaties zoals BVH, servicemodule, etc al aardig gedateerd zijn. Daar is de winst te behalen.
BoF heeft natuurlijk geen toegang tot de systemen, dat zou pas een bevinding zijn: "Ongeautoriseerde derden kunnen politie systemen auditen"

Het is een rapport door de politie opgesteld, niet een audit door een onafhankelijke onderzoeksinstelling als TNO oid. (Kortom een rapport van de slager die z'n eigen vlees keurt).

Of een gedateerd systeem werkelijk zoveel slechter is..., het ziet er minder sexy uit, maar dat wil niet zeggen dat het niet aan eisen voldoen. 'Er "sexy" en "modern" uitzien' is niet een van de eisen van een software systeem, behalve voor div. websites.
Meer in de zin van: zo gedateerd (meer dan 10 jaar oud) dat privacy nooit de hoogste prioriteiten heeft gehad tijdens de ontwikkeling. En voorheen waren er 26 verschillende korpsen met elk een eigen ICT. Pas met de samenvoeging tot de Nationale Politie is er werk gemaakt om alle IT systemen weer "bij de tijd" te krijgen.
Letop, de afgelopen 23 jaar is er NIETS aan de privacy REGELS veranderd. Met de AVG is er (voor NL en GB ten minste) een sanctie op gezet, voor de AVG dachten de wetgevers dat zonder sancties het ook wel uitgevoerd zou worden.
De “samenvatting” van BoF is behoorlijk stemmingmakerij en gaat af en toe wel heel kort door de bocht.
Als je wilt dat ik die opmerking serieus neem, zul je toch echt wel enige onderbouwing moeten geven.
Wat zijn dan één a twee voorbeelden van die stemmingmakerij?

Uit de rest van je reactie kan ik dat namelijk niet opmaken
Hoe het met latere versies precies zat weet ik niet, maar met BlueView 1 en BlueView 2 was toegang tot gegevens technisch in de code goed geregeld.

Ik heb dan ook het sterke vermoeden dat de administratieve processen rondom het uitdelen (en intrekken) van rechten minder goed geregeld waren en later zijn dichtgetimmerd.
@leo.mekenkamp dat is idd iets dat in (API) design als volgende probleem naar boven komt.
@MazeWing
De veelheid en diversiteit aan applicaties zegt mij dat de veiligheid sowiezo niet goed zit. Dit was en is helemaal niet raar trouwens maar wel zeer ernstig.

Daarnaast komt er nog een data overdracht en dat maakt de systematiek ronduit lek.

[Reactie gewijzigd door Bulkzooi op 19 november 2020 18:04]

Het probleem is dat er in de loop der jaren meerdere systemen zijn geweest die steeds meer samengevoegd worden en/of met elkaar verbonden zijn. Het is onbegonnen werk om 1 grote nieuwe applicatie te ontwikkelen die alle 30+ applicaties samenvoegt tot 1.

Hele de ontwikkeling van BVH was al een drama en dat is pas 8 jaar na dato een beetje werkbaar geworden qua snelheid, nadat men overgestapt was van JAVA naar webbased.
Ook andere applicaties waren vaak in de beginfase een drama en zijn pas naar verloop van tijd (lees: jaren) werkbaar geworden qua snelheid.

Alhoewel het tegenwoordig stukken beter is gesteld met nieuwe applicaties is 1 grote nieuwe applicatie gewoon een heleboel schoenmaten te groot. Overheid & ICT gaan nooit goed samen en je weet eigenlijk al op voorhand dat het project zal falen, veel te veel geld zal kosten en men er uiteindelijk nauwelijks beter van wordt...
@MazeWing
Da's de tendens geweest door het software landschap. In de Linux wereld zijn er enorme redesigns bezig, verspreidt over meerdere "uitvoeringsinstantie", talen en projecten.

Ik zelf heb genoeg conversies gedaan en ook voldoende implementaties, maar de hoeveelheid applicaties maakt mij niks uit.
Opnieuw beginnen is zeker wel een optie maar momenteel is het nog een kwestie van tekortkomingen onderkennen of zelfs de impact van de problemen overzien.

Je zegt dat BVH is overgegaan naar webtech? Welke dan? Ik neem aan dat de API specs gewoon open source zijn en de message .json zjjn? Zal ook wel veel .php bij zitten, onze overheid kennende, en dat vloekt met Amerika. Da's sowiezo een National Security Threat.

Ik ben vooral benieuwd naar de API zelf, in welke taal die geschreven is bv.

[Reactie gewijzigd door Bulkzooi op 19 november 2020 11:00]

Voor zover ik weet (toen ik een keer de broncode van een webpagina bekeek) is heel veel ASP en javascript. Wat er vervolgens achter zit weet ik niet...
@MazeWing thnx, Visual Studio en Microsoft dus.

Ik zal eens wat beter checken maar de code van die API requests moeten sowiezo open zijn.
De hoeveelheid zegt toch niets? Je kan je autorisatie toch perfect op orde houden met een goed geïmplementeerd RBAC-model. Er zijn genoeg bedrijven die +100 applicaties hebben, zonder dat dit een issue moet zijn.
Nah, hoe meer exposure hoe kwetsbaarder en inefficienter; Meer talen, meer code, meer afhankelijkheden, meer data overdracht, etc.

Ook meer leveranciers, partijen, procedures, meer mensen, benodigde vaardigheden..

nah, meer applicaties is meer problemen. Dit is ook de curse of forking vandaar dat het vertrekpunt ook iso standaarden zijn.

[Reactie gewijzigd door Bulkzooi op 19 november 2020 12:20]

Maar 1 super applicatie die alles kan doen is ook niet altijd ideaal. Ik heb zelf liever meerdere kleine applicaties die goed geoptimaliseerd zijn voor specifieke taken dan dat je alles in 1 groot superpakket gaat steken waar een kat haar jongen niet meer in terug kan vinden.
In de realiteit ga jij als IT' je doorgaans moeten aanpassen aan de business, dat is trouwens je taak, diensten aanbieden op maat van de business en niet omgekeerd. Los daarvan ga je nooit één applicatie hebben die alles kan (en is ook niet wenselijk). Het is héél normaal dat verschillende departementen hun eigen software pakketten hebben (intern developed of extern aangekocht) en die met elkaar communiceren.

Een simpel voorbeeld is een HR applicatie dat uren registreert, die dan communiceert met een applicatie die lonen berekent, dat op zijn beurt communiceert met een applicatie van Finance die betaalopdrachten aanmaakt en die uiteindelijk met de bank communiceert. Voor de communicatie zal je al héél snel terugvallen op middelware oplossingen.

Als het gaat over een landelijk bedrijf dan zou het nog kunnen dat de registratie en berekening van lonen door 1 applicatie gebeurt, maar zodra je internationaal gaat is dat al moeilijker door verschillende opzet van BU's of lokale wetgevingen. Zelfde voor banken, elke bank hééft zijn eigen systeem er bestaat geen universele API die kan communiceren met alle banken in de wereld.

En nogmaals, er bestaan modellen en frameworks die er voor kunnen zorgen dat dit allemaal secure kan gebeuren, het is kwestie van ze te kennen en te implementeren.

[Reactie gewijzigd door IStealYourGun op 19 november 2020 12:02]

meer onzin heb ik nog nooit gelezen. Enkel foute aanname op foute aanname, op leugen. Tjeetje wat triest. En dan reageer je niet eens op wat ik zeg. |:(

[Reactie gewijzigd door Bulkzooi op 25 november 2020 19:21]

Inderdaad, alles in 1 groot systeem hebben is veel handiger. Dan heb je alles lekker centraal en hoeft een hacker zich ook maar op 1 systeem te richten.
Die conclusie trok ik ook al zo ongeveer na de matrix te hebben gezien. Lijkt vooral een storm in een glas water. Er zijn tech-giganten waarvan je verwacht dat zij als kennishuis alles beter hebben geregeld die er slechter uit kwamen met soortgelijke audits (Intel-gate?). Beetje off-topic, maar persoonlijke zou ik de headers overigens 45° kantelen voor leesbaarheid.
De “samenvatting” van BoF is behoorlijk stemmingmakerij en gaat af en toe wel heel kort door de bocht.
Dat viel mij inderdaad ook op! Dikke clickbate op deze manier en Tweakers gaat er in mee.
Ik heb een aantal rapporten geopend, niet allemaal. Daar valt mij ook op dat ze uit 2018 en 2019 zijn. Iedereen weet dat de ICT wereld snel veranderd, rapporten van 2 jaar oud heb je op voorhand al weinig aan
Ik heb enkele rapporten gelezen maar ik zit aanzienlijk dichter bij de conclusie van BoF dan bij die van jou.

Voor het functioneren van de rechtsstaat is het van groot belang dat de politie zich aan de wet houdt. 'Het doel heiligt de middelen', waar de redeneringen in de rapporten een subtielere variant van zijn (we zijn niet compliant en dat gaan we verbeteren, maar ondertussen gaan we wel door met het gebruik van de systemen, anders is het niet werkbaar), is een redenering die niet past in een organisatie als de politie of andere overheidsorganen.

Als er een wet van kracht wordt waardoor de politie haar werk niet meer kan doen, dan hebben ze zich daar toch gewoon aan te houden. De correcte weg is onmiddellijk stoppen zodra duidelijk is dat iets illegaal is, en tegelijkertijd aan de bel trekken in de politiek zodat die de wet kan veranderen naar iets wat wel werkbaar is, of accepteert dat er wat minder misdaad wordt opgelost omdat dat onze privacy en andere rechten waard is.
Heel mooi die rode met 0, oranje met 1, gele met 2 en groene met 3 vakjes, maar wat is de maximale score die er gegeven kan worden?
Is dan een 3? Kan dat zelfs een 5 worden?
Wat zijn de criteria waarop de cijfers zijn uitgedeeld? Ik lees dit niet terug in het bericht van BoF. Het eindresultaat van de analyse is duidelijk, maar de methode van de analyse is niet beschreven.

Nu kan ik dit wel grotendeels invullen:
0) Voldoet volledig niet aan wet en politiebeleid
1) Voldoet deels aan wet of politiebeleid
2) Voldoet volledig aan wet of politiebeleid
3) Voldoet volledig aan wet en politiebeleid

Maar dit is dus mijn interpretatie van de excel sheet, wie weet zit ik er volledig naast en moet er nog een optie 4 bij, waarbij opties 1, 2 en 3 dus al minder goed zijn als ik hier schets.
Ook de uitleg van de percentages die in de sheet zijn mis ik, hoe zijn die berekend?

Voetnoot: Ik ben sinds de heroprichting van BoF donateur van ze, ben van mening dat ze erg goed werk doen en dat ze absoluut toegevoegde waarde hebben als organisatie in Nederland, maar ik mis hier gewoon een legenda en uitleg hoe de cijfers precies berekend zijn.

Edit 2: BoF heeft me ergens anders al antwoord gegeven, de scores zijn als volgt:
Bij niveau 0 is er geen aandacht voor privacy en security by design. Bij niveau 1 is die aandacht er wel, maar niet voldoende voor wet en politiebeleid. Bij niveau 2 voldoende voor wet, maar niet ook beleid. Bij niveau 3 wordt voldaan aan de wet en het beleid van de politie.
Dit is overigens niet onze methodiek, maar die van de politie. We hebben de 750 pagina's doorlopen en die scores overgenomen in de tabel. En dit is dus in feite alleen de conclusie van het onderzoek bij/door de politie, waarbij BoF de data via een WoB de rapporten heeft verkregen en in een overzicht heeft samengesteld.

[Reactie gewijzigd door walteij op 19 november 2020 09:20]

De politie is naar eigen zeggen streng geweest bij de onderzoeken en stelt dat als een applicatie op een klein punt niet op orde is, niet voldoet. Dat zou echter niet per definitie betekenen dat de opgeslagen gegevens slecht beveiligd zijn.
Belangrijke quote. Je kunt dus niet de data normaliseren op basis van het aantal rode vakjes, en vervolgens zeggen dat het een zooitje is omdat de boel totaal niet op orde is. Het ligt een stuk meer genuanceerd.
Eens. Maar score methodiek (en de scores zelf) zijn door de politie gemaakt, niet door BoF.
Het enige dat BoF heeft gedaan, is via een WOB verzoek (en de rechter) de rapporten opgevraagd en deze in een enkele overzichtelijk pagina geplaatst.

De politie zelf vindt dus dat de applicaties niet voldoen. Bij een rood vakje voldoen ze dus niet aan wetgeving, richtlijnen en algehele aandacht voor security en privacy en is de applicatie dus sowieso zwaar ondermaats. Bij een 1 of een 2 kun je nog de discussie voeren of de bewuste applicatie (in relatie tot de data die in de applicatie wordt gebruikt) goed of niet goed is ingericht, maar principieel zou je als eerste stap iedere applicatie met een score onder de 2 dus moeten gaan verbeteren.
Bij niveau 2 voldoende voor wet, maar niet ook beleid.
Dus is niveau 2 ook een voldoende, want de wet is leidend. Als ze de 2 ook groen maken en de 3 donkergroen ziet het plaatje er ineens héél anders uit dan de clickbait nu.
Ja en nee.
De politie heeft niet voor niets een beleid. Ik geef toe dat de wet leidend moet zijn, maar het interne beleid mag niet opzij geschoven worden als het strenger is dan de wetgeving.
Eens. Al hoop ik dat jij het er mee eens bent dat de 2 dus eigenlijk groen moet zijn, want het voldoet aan de wet. Nu worden de stukken geschreven alsof de ICT aan alle kanten lek is, maar in de praktijk voldoet het merendeel aan de wettelijke eisen.

Natuurlijk is het goed van de politie dat ze, gezien de gevoeligheid van bepaalde gegevens, aan strengere eisen willen voldoen. Dat is een goed streven, maar wettelijk niet noodzakelijk. Vandaar mijn mening dat de 2 al groen zou moeten zijn en dus voldoende.
Ja, wat ik (of jij) ervan vind doet er niet toe.
Deze cijfers zijn door de auditers van de politie zelf gebruikt. Nu zie ik dat BoF de kleurcodering inderdaad heeft aangepast:

AVR scoort een 0 en de politie zet die zelf op Rood (Bron, pagina 8) identiek aan BoF
Agora scoort een 1 en de politie zet die zelf op Oranje (Bron, pagina 8) identiek aan BoF
Blueview 4.0 scoort een 2 en de polite zet die zelf op Groen (Bron, pagina 7) BoF zet deze dus op geel.
Helaas geen software die een 3 scoort, dus we kunnen niet zien welke kleur de politie hier aan zou geven. Donkerblauw zou ik wel een gepaste kleur vinden ;)

Dus BoF geeft in hun rapport inderdaad (waarschijnlijk bewust) een minder rooskleurig beeld dan hetgeen de politierapporten tonen (wat ook een bewuste keuze kan zijn van de politie).

De politie wil aantonen dat 11 van hun core applicaties voldoen aan wetgeving mbt informatiebeveiliging, 18 applicaties aan eenmalige vastlegging, als je de kleurcodering van de politie op de tabel van BoF legt, zie je ineens veel meer groen en dat botst natuurlijk met de (grotendeels terechte) claim van BoF dat de software van de politie niet aan de regelgeving voldoet.

[Reactie gewijzigd door walteij op 19 november 2020 15:14]

Zouden we er een column bij kunnen krijgen, welke externe consultancy tent verantwoordelijk is voor deze applicaties?

MEOS is bijvoorbeeld van Ordina, wie heeft tijd en aandacht om de rest te googlelen?

[Reactie gewijzigd door Eonfge op 19 november 2020 09:13]

Als je alleen al kijkt naar het systeem BVH, waar elke agent zijn dagdagelijkse mutaties en bevindingen in zet: dit systeem is in 2009 beschikbaar gesteld maar was toen eigenlijk al hopeloos ouderwets.

Het was namelijk niet veel meer dan een schil om een nog oudere applicatie, namelijk XPOL.
https://nl.wikipedia.org/wiki/Basisvoorziening_Handhaving

Nu zal het vast in de jaren zijn doorontwikkeld maar de basis blijft hetzelfde.
Dit is dan niet te wijten aan het bedrijf dat destijds Xpol of BVH heeft gemaakt maar meer aan de managers bij de politie die veel te lang aan een oud systeem blijven hangen.
Wacht even hoor, wordt BVH nog steeds gebruikt bij de politie?! Dat systeem waarbij diverse applicaties rechtstreeks in de database van XPOL prikken? Ongelofelijk..
(Zie paragraaf 2.2.1 van https://zoek.officielebekendmakingen.nl/blg-86218.pdf )
2009? Da's Ernst Hirsch Ballin.
@yorroy@Djordjo BVH-IB is vooral vernieuwde programmatuur (bv. geschreven in Visual Studio met ASP.net en C# en nog wat frameworks) om het terminal-based Xpol (Genysis) te gebruiken om de database te queryen. De GUI is later gemaakt met Seagul, MS-Word en Forms (itx4Word).

Xpol is ontwikkeld in de vierde-generatie programmeertaal Accell en maakt gebruik van Sybase database technologie. DBAware wordt ook benoemd in figuur 2.

Die Terminal calls moet je hebben, en dan vooral de request properties met daarin de velden uit de database, ivm privacy. Die bevatten wsl ook nog cURL requests en wat scripting. Tevens nog wat meer afhankelijkheden, syscalls enzo.

API-calls van satellietapplicaties:
• Zicht op Zaken (ZoZ): Een PHP applicatie met MySQL database.
• Aangifte Via Intranet (AVI): Een Java applicatie.
• Dagrapportage (DagRap): Een VB6 applicatie opnieuw ontwikkeld in Java.
• Zoeken in Formulieren (ZiF): Een C# applicatie.
• Afspraak op Locatie (AoL): Een C# applicatie.
• Xpol Correctietool (XPCT): Een ASP.Net applicatie.

Zicht op Zaken, onveiliger en gevaarlijker bestaat niet!! Dient aan dezelfde vereisten als de Corona app voldoen, en die voldoet bij lange aan niet. En Java krijg je er ook nog eens bij. Microsoft kan overrulen.

Deze landelijke koppelingen vinden plaats door bestandenoverdracht middels FTP of TCP/IP, en in sommige gevallen door het verzenden van e-mail. Zowel XML als ASCII bestanden worden uitgewisseld.

De systeem architectuur van BVH kent onder andere de volgende technologieën:
• Java/Oracle Application Server, C#, ASP.Net, Accell/SQL, PHP
• Sybase, MySQL
• Tru64 Unix, Windows 2003, Linux, Citrix
• IIS/.NET, Apache
• Legasuite (Seagull)
• Internet Explorer
• MS-Word, HTML, XML, PDF, RTF, ASCII
• FTP, MSMQ, http, email, ODBC, RPC, Interactive SQL, JDBC, OLEDB, telnet

Google Fuchia project heeft dit al goed onder controle en gaat daarmee Android, ChromeOS vervangen, vermoed ik. Dan voegen ze gelijk een GPU/hardwareversnelde GUI toe om zo gelijk het Native probleem (GUI rendering en andere optimalisaties in het OS) met Apple aan te pakken. Wordt echt een rete-snel OS.

[Reactie gewijzigd door Bulkzooi op 19 november 2020 14:25]

Er gaan behoorlijk wat alarmbellen bij me af als ik dit zo lees, maar het versturen van data per email danwel good old FTP wint wel de hoofdprijs...
@Nevel ja, sorry.
En dit is enkel de back-office. Tot mijn afgrijzen heb ik zoveel ODBC-koppelingen gezien in de front office, daar zakt je broek van af.

Ps.
Op Package-level is tdp/ucp ook niet veilig.

[Reactie gewijzigd door Bulkzooi op 19 november 2020 17:33]

Dit zou niet uit hoeven maken welk bedrijf of contract het meerendeel van een applicatie gebouwd heeft. Ik heb zelf aan een van deze applicaties meegebouwd en in ons team zat inhuur vanuit verschillende bedrijven.
Waar de politie wel mee te maken heeft is dat wetgeving mogelijk nog sneller gewijzigd is dan de snelheid in het landelijk automatiseren van de verschillende applicaties, die daarvoor allemaal regionale eilandjes waren.

Mijn indruk was, tenminste in het team waarin ik zat, dat dit soort scores grote aandacht hebben, en daar ook zeker op gestuurd werd tijdens de ontwikkeling, gelukkig is die score dan ook best goed op dit overzicht. :-)
Het spijt me zeer, maar dat zegt he-le-maal niets. Ik zie vaak genoeg in m'n projecten dat beveiliging gewoon niet op de prioriteitenlijst staat door een legio aan redenen. Ben ik het daarmee eens? Nee natuurlijk niet, maar als de klant het niet vraagt (ook niet na een duidelijk en onderbouwd advies) dan krijgt het dus geen prioriteit in het project. Klaar. Wie betaalt bepaalt.
Ik snap dat, maar vind het wel raar. Als ik tegen mijn aannemer zeg dat die dragende muur eruit moet maar dat hij géén stalen balk mag plaatsen (ik wil het niet en ik betaal het niet) dan weigert hij toch gewoon de klus? Welke aannemer zegt dan "wie betaalt, bepaalt"?

Met beveiliging in de ICT kan meer misgaan dan met een dragende muur. Toch is daar inderdaad de opvatting dat dat een aparte feature is die achteraf er wel opgeschroefd kan worden als iemand daar een keer om vraagt.
Ingewikkeld.
Bij oa bouw projecten mag je verwachten dat de aannemer/architekt veel meer inhoudelijke kennis heeft dan de opdrachtgever.
Bij ICT projecten is dat vaak andersom, de opdrachtergever heeft de meeste inhoudelijke kennis.
Dat je gezamelijk goed de specificaties boven tafel moet krijgen staat daar natuurlijk los van.
@ArnoutV
Je redeneert verkeerd om.

Beveiliging is een wettelijke eis, functioneel dus zeer bekent in de politiek en dan komen de techneuten/consultants helpen om hier een systematiek voor te bouwen.
Op dat moment heeft de overheid al eisen, zoals bv. Geschreven in Python, authenticatiemetodieken, etc.

Het technisch ontwerp is vaak de draaikolk van verantwoordingsoverdracht maar dit is zelfs vaak al slecht vorm gegeven omdat zelfs it bedrijven dit slecht kunnen.

Dus dat het fout gaat is de onvolwassenheid van de it industrie maar wel een politiek verantwording. Via contracten kunnen ze die wat afschuiven naar de private sector.

Ik ben van mening dat een goede IT leverancier in de oplevering ook de zwaktes tav het wettelijk kader aangeeft want een goede opdrachtgever vraagt hier om en de leveranciers zijn ook burgers met plichten.

[Reactie gewijzigd door Bulkzooi op 19 november 2020 10:26]

Vaak klopt dat. Maar zoals Korvaag het verwoord
maar als de klant het niet vraagt (ook niet na een duidelijk en onderbouwd advies)
is het blijkbaar niet zo dat de opdrachtgever de meeste kennis heeft. Korvaag ziet dat het niet in orde is en geeft daar advies over. En dan word het alsnog niet gedaan.

Wat zou Korvaag doen als het een project bij de politie is en je ziet dat het niet in orde is, geeft advies maar word alsnog niet gevraagd.
Ga je dan alsnog door met dat project? Escaleer je het tot hoogste niveau? Zet je je bezwaar op schrift en zorg je dat de verantwoordelijke bij de politie dat tekent?

Ik denk dat het in zo'n geval toch best overeenkomt met het voorbeeld van Arnoud over de aannemer en de dragende muur.
Alhoewel ik het volledig eens ben met jouw stelling dat beveiliging een essentieel onderdeel zou moeten zijn bij de bouw van alle applicaties, zeker die bij de politie, zijn er natuurlijk in de praktijk wel verschillen tussen de bouw en IT projecten.(en ook in de bouw gaat het wel eens fout trouwens) Zoals je waarschijnlijk wel weet is een dergelijk groot IT project vaak een slangenkuil van managers met politieke en carrière belangen. Dat is de belangrijkste reden dat dit soort zaken fout gaan, niet het inzicht van leveranciers. Die lopen vaak hoofdschuddend weg uit meetings en zonder op details in te gaan ja ik ken dit gevoel van absolute onmacht en de frustratie. We moeten dit gewoon echt niet doen komt naar voren in de meeting, goed verhaal maar we doen het toch zegt de project manager. Ik denk dat iedereen die in een groot bedrijf heeft gewerkt dit gevoel wel kent.

Persoonlijk ben ik wel een beetje klaar met de mensen op de werkvloer, IT'ers, de schuld te geven van wan beleid. In mijn ogen is dit inclusief de externe partijen die als onderaannemers voor stukken van een groter project worden aangenomen. Kijk als praktijkvoorbeeld maar naar de belasting affaire, dan kan je ook niet zeggen die mensen aan de telefoon snappen toch ook wel dat het fout zit? De amerikanen zeggen dat "that's above my paygrade" en dat is precies wat hier fout gaat. De rechter bepaald niet welke straf jij krijgt maar de wet, wil je dat straffen veranderen dan moet je niet de rechter aanspreken maar de politiek. Zelfde verhaal geld hier, er moet vanuit de overheid verplicht meer aandacht komen voor deze zaken, van bovenaf dus, vervolgens ga je leveranciers zoeken die binnen dat kader kunnen leveren. Maar goed dat is mijn mening. :)
In het voorbeeld van de aannemer leg je alles alleen bij 1 partij en dat is hier waarschijnlijk niet aan de hand geweest. Als ik de opdracht geef een dragende muur te verwijderen omdat het plan is dat volgende week StalenBuizenCo een balk komt plaatsen, zal de aannemer die muur wel weghalen (= mijn opdracht uitvoeren). Als ik vervolgens de week erna die balk niet laat plaatsen "wegens gewijzigde prioriteiten" maar een maand later het pand in gebruik neem, is de aannemer die de wand verwijderd heeft moeilijk meer als schuldige te zien als de boel instort.

Beveiliging is niet een paar regels code die wel of niet geschreven worden. Het gaat om server configuratie, firewalls, cloud / on premise, netwerktoegankelijkheid, user management, etc., etc. Allemaal zaken die buiten de scope van een bepaalde applicatie binnen dat hele plaatje vallen. Daar kan een externa partij die die applicatie schrijft helemaal geen verantwoordelijkheid voor nemen. Als jij een Android app schrijft en publiceert en door een bug in Android kan de vertrouwelijke data uit jou app gehaald worden, ben jij toch ook niet verantwoordelijk?

Het is en blijft uiteindelijk de opdrachtgever die aan de wetten en regels moet voldoen. Als die dat niet serieus neemt of de competenties mist om software te laten bouwen die aan de regels voldoet, dan is dat toch niet de schuld van de bouwer?
@Arnoud Engelfriet

Blueprinting gaat van eisen en wensen, via functioneel ontwerp naar technisch ontwerp.

Al deze fases, tussen wetgeving en implemetatie, zijn gedocumenteerd. Ook de tenders.

Wat betreft verantwoordingen opdrachtgever en -nemer: zie contracten en dan vooral de kleine lettertjes. Zo oordeelt de rechter.

Maw: beveiliging is een wettelijke eis. Maar de correcte oplevering van een dragende muur van het Provinciehuis is ook een eis. Daar is al gedebateerd over draagkracht, materialen. Bv. 3 verdiepingen maar de overheid is zo slecht in IT, die hebben al hulp nodig om eisen en wensen te formuleren😂

Nee, dit gaat gewoon over de implementatie van ISO staaarden en wetten. De tools moeten niet uitmaken maar in deze digitale jungle moet je dat stuk als overheid wel veranwoorden en op een veilige manier implementeren. De historie moet zoiets ook controleerbaar maken en houden natuurlijk, de archieffunctie. Pff, ook al zo'n drama.

[Reactie gewijzigd door Bulkzooi op 19 november 2020 12:33]

Project managers (en zeker ook ontwikkelaars) gaan zelf meestal niet over de financieen. Er worden vaak deals gesloten tussen de financiele branch van een klant en de sales branch van de leverancier. Ontwikkelaars hebben de beloofde droom dan maar waar te maken. Als je als ontwikkelaar het gevoel hebt dat je iets moet bouwen waar je niet achter staat, moet je:
  • Beveiliging en/of privacy zelf hoog in het vaandel hebben staan
  • Draagvlak creeren onder je directe collega's
  • De klant in dit opzicht "opvoeden"
Vervolgens kan het zijn dat dit goed uitpakt. In het negatieve geval kun je er als ontwikkelaar voor kiezen om van een project te worden afgehaald, waardoor je "op de bank" zit of, in het verlengde daarvan, ontslag nemen. Ik zou graag zien dat elke ontwikkelaar durft te vechten voor beveiliging en privacy by design, en dus ook bereid is op te stappen bij zijn of haar huidige werkgever als dit niet lukt, maar zonder enorme paradigmaverschuivingen binnen de IT cultuur zie ik dit helaas niet snel op grote schaal gebeuren.
Maar de klant (politie) vraagt er niet om, ze eisen dit. Vanuit zowel wetgeving als het eigen beleid.
En heel flauw gezegd, als er in een aanbestedingsdocument maar 1 regel staat die iets zegt als:
"De geleverde oplossing moet voldoen aan Nederlandse wet- en regelgeving, alsmede het beveiligings- en privacybeleid van de politie organisatie."
is dat voor de aanbesteding al voldoende.
Voor de inschrijvers op de aanbesteding is het dan zaak om zowel wet- en regelgeving te onderzoeken, maar ook om na te vragen wat het interne beveiligings- en privacy beleid van de politie is.

Juist door de moet in de zin hierboven, is het dus geen wens, maar een eis. Dus een die samen met de meest kritieke functionele eisen gewoon boven aan het lijstje van prioriteiten hoort te staan.

[Reactie gewijzigd door walteij op 19 november 2020 09:28]

Maar het is niet alsof de externe partij de boel altijd compleet zelfstandig ontwikkeld na de aanbesteding. De klant wordt vaak nog wel betrokken bij beslissingen, als die dan kiest tegen veiliheid kan je daar moeilijk wat tegen doen behalve goed informeren.
Helemaal mee eens, maar zie de opmerking van @Arnoud Engelfriet hieronder.
Je kunt dus zeer zeker wel meer doen dan alleen maar informeren. En een goede leverancier doet dat ook, die hoort mee te denken met de klant en duidelijk aan te geven dat de door hun gevraagde oplossing niet zal voldoen aan de beveiligingseisen die zij zelf als organisatie eisen en dat ze het daarom niet op die manier kunnen ontwikkelen en opleveren.

Om daarna samen te gaan zoeken naar een betere oplossing.
Melden dat zijn huidige wensen ingaan tegen de tender en dat men dan de tender moet aanpassen.
Er zal misschien best een optie in de software zitten om een agent bij gewijzigde functie andere rechten te geven maar als niemand op dat knopje drukt kun je programmeren wat je wil maar verandert er niks.
Maar dat is dan weer geen fout van de software, maar van de gebruikers.
Overigens kun je met een goede RBAC implementatie en een goed ingericht Identity Management systeem heel veel van dit soort dingen automatiseren.
Zeker bij de politie, waar veel functies (maar niet alle) gewoon afgekaderde activiteiten hebben. Belangrijk is hierbij dan natuurlijk wel dat HRM er voor zorgt dat zodra medewerker X met functie A overstapt naar functie B, deze functie ook in het IM systeem wordt aangepast.

Op basis van policies en profielen in het IM pakket, worden de nieuwe rechten dan automatisch toegekend en de oude rechten (als het goed is) verwijderd, want medewerker X heeft functie A niet meer en dus is de policy die rechten gaf op de software en data van functie A niet meer van toepassing.

Is het een gedoe om zoiets goed in te richten? Absoluut!
Ik weet niet of we er als ITers zo makkelijk (meer) vanaf komen... Als een patiënt zegt tegen de chirurg: "Alle armen en benen er af!" en de chirurg doet dat, dan heeft die chirurg ook gewoon een probleem, want die komt niet weg met "Wie betaalt bepaalt."...

En nu er enorme boetes zijn op datalekken en niet goede security, zouden bedrijven dat wel eens kunnen gaan doorschuiven richting de partijen/personen die het hebben gemaakt. Het zou me niets verbazen dat een rechter ze gelijk geeft.
Nou ja, ja en nee. Als patient mag je bijvoorbeeld ook stellen dat je niet gered wil worden als je mocht komen te overlijden op de operatietafel. Ook mag je van twee slechte keuzes de meest slechte kiezen, bijvoorbeeld amputatie en nog 25 jaar leven, en geen amputatie en 3 maanden later dood neervallen.

[Reactie gewijzigd door ItsNotRudy op 19 november 2020 09:55]

Verschilletje is wel dat het hier gaat om de armen en benen van een ander
Je mag inderdaad behandeling weigeren of keuzes maken binnen wat de arts voorstelt. Je mag echter niet eisen dat de arts een behandeling uitvoert als die arts daar niet achter staat.
Ook lekker makkelijk op de externe consultants afschuiven. Je heb zelf nooit in die wereld gewerkt zeker?

Overigens is MEOS helemaal niet 'van Ordina', misschien hebben er Ordina ontwikkelaars aan gewerkt maar het zijn altijd projecten die bij de politie, door de politie worden uitgevoerd. Met externe ontwikkelaars, maar met alleen ontwikkelaars ben je er niet en zoveel mensen eromheen, de mensen die de beslissingen maken en deadlines bepalen zijn vrijwel altijd politie mensen zelf. Ook zijn er veel architecten gewoon in dienst bij de politie en moet je het daar als team maar mee doen.

Het is natuurlijk heel makkelijk om te zeggen dat Ordina, Cap, Logica, Centric of wie dan ook hier de schuldige van is, maar ik kan je verzekeren dat er ook bij die bedrijven gewoon hele goede mensen rond lopen die veel liever een succesvol project afronden. Of zelfs zulke dingen van te voren aankaarten, maar als de opdrachtgever bepaald dat de prioriteit ergens anders ligt dan is dat nou eenmaal zo. Wie betaalt, bepaald.
Ook lekker makkelijk op de externe consultants afschuiven. Je heb zelf nooit in die wereld gewerkt zeker?
Je begint je betoog met een Ad Hominem? Goed begin.

De rede dat ik wel wil weten welke consultency bedrijven achter dit soort software zitten, is omdat er een langlopende geschiedenis is van consultency bedrijven die de overheid erbij naaien. Het UWV, de Belastingdienst, en de politie zijn al meermalen in het nieuws gekomen omdat projecten totaal de soep in liepen: Veel duurder dan beloofd, veel later opgeleverd dan geplanned, en doorgaans super gammel. Consultency tenten verdienen daar goed aan, dus ik zie graag wie verantwoordelijk is voor de levering van matige software aan bijvoorbeeld de politie.

Ik heb wel eens een aanbesteding van dichtbij mogen meemaken en ik heb dus wel gezien hoe zo'n project tot stand komt... en ook dat project is in de soep gelopen en heeft jou en mij miljoenen belastinggeld gekost.
@Eonfge
En die soep is ook nog eens zwaar overbetaald en eigenlijk helemaal niet lekker. En die aanbestedingen zijn ook niet allemaal even kosher gegaan.

Hierdoor zie je de structurele voorkeur van Nederland voor oorspronkelijk Franse bedrijven boven bv. Duitse. Net zo goed als je het Hollandse van de NPO proeft.

Ik heb de techkeuzes van de Nederlandse overheid nooit gesnapt. Zo lieten ze ook elke gemeente hun eigen website maken terwijl het enkel een infomatie portaal is en de behoeften van gemeentes overal hetzelfde zijn.
Nog altijd publiceren ze in het super onveilige en amper indexeerbare .pdf en historie bewaren wordt gezien als een inconvenience.

En een burger die achteraf het stemgedrag van wethouders of partijen willen verifieren, per topic? Die komen in deze spaghetti-hell aangeleverd door onze overheid.

[Reactie gewijzigd door Bulkzooi op 19 november 2020 09:50]

Zo lieten ze ook elke gemeente hun eigen website maken terwijl het enkel een infomatie portaal is en de behoeften van gemeentes overal hetzelfde zijn.
Twintig jaar geleden werkte ik voor een groep gemeentes. Als Free Software fan zag ik talloze voorbeelden van dubbel werk/dubbele kosten tussen gemeentes. Allemaal kochten ze pakket X, Y en Z want er was gewoon geen alternatief op de Nederlandse markt (zoveel grote softwarehuizen die de NL wet kennen zijn er gewoon niet). Bij iedere aanpassing van de wet moesten ze allemaal bijbetalen voor maatwerk. Ik heb nooit echt doorgevraagd maar zoals ik het toen uitgelegd kreeg was het "als we niet bijbetalen voor meerwerk dan staat er groot 'Amsterdam' bovenaan het scherm en dat vindden ze in dit Limburgse dorpje niet leuk". Dat klinkt misschien een beetje kinderachtig maar het punt is dat ze wel manieren vinden om iedereen te laten betalen voor meerwerk waardoor het overal net een beetje anders is, en dan blijf je steeds weer bijbetalen voor meerwerk.

Het tweede punt dat ik zag was een vorm van vendor lockin. Alle gemeentes hebben softwarepakket N nodig, er is geen alternatief dat aan de wet voldoet. Maar om N te draaien heb je ook een licentie op database O nodig, en niet de basis versie maar de meest luxe enterprise editie. Daarvoor moet je database O configuren met instellingen P, Q en R. Dat is niet compatible met hoe de rest van de wereld werkt. Je moet dus ook de management tool S van bedrijf N kopen. En de backup software van bedrijf N. En een support contract. En...
Nadat je je halve budget hebt uitgegeven aan een mega-installatie van database O voor pakket N is er geen budget meer voor nóg een database. Je moet er dus voor zorgen dat alle andere software samenwerkt met die database die je al hebt. Die database is echter zo afwijkend gecofigureerd dat je overal tegen problemen aanloopt, behalve bij de software van bedrijf N. Het volgende product wordt dus ook maar daar gekocht. Voor je het weet ben je met handen en voeten aan zo'n bedrijf gebonden.
Is het toeval dat de database door jou als O wordt afgekort?
"See what you did there..." ;)
@Eonfge
jn.
Nog altijd publiceren ze in het super onveilige en amper indexeerbare .pdf en historie bewaren wordt gezien als een inconvenience.
Kun je mij dit uitleggen?
Heb altijd gedacht dat een pdf een veilig bestand is.
@Linux gebruiker
Uiteindelijk betreft het de evolutie van ISO standaarden naar pdf. In dit geval highlight ik de meta data feature maar je kan zelfs helemaal terug een string ontleden. Met OCR kom je in dezelfde fundamentals uit: parsing. Ik beredeneer vanuit de compiler.

Ligt dus een beetje aan je kennis en interesse wat je wilt weten...

[Reactie gewijzigd door Bulkzooi op 19 november 2020 13:01]

Dank voor je antwoord, sorry dat ik er niks van begrijp.3
Kun je dit antwoord anders omschrijven zodat ik als niet ict of it het wel begrijp?
@Linux gebruiker
Je geeft ook niet aan wat je wel snapt. En it of ict maakt niet uit; dit is design, architecture, dus agnostisch. Deze woorden zijn sowiezo maar een interpretatie van de daadwerkelijke implementatie. Dat kan je in de compiler zien, language bindings.

Ik zou bij de compiler, talen en iso standaarden beginnen.
Copyright licenties zou ik in eerste instantie buiten beschouwen laten, en daarna alle assembly isoleren.

Kijk anders eens hier: @GeroldM
https://www.w3.org/1999/0...mplate.html#xtocid1935397
of hier (pdf1.2)
https://en.m.wikipedia.org/wiki/PDF

[Reactie gewijzigd door Bulkzooi op 19 november 2020 17:11]

Er zijn weinig goede tools beschikbaar om (interactieve) .pdf bestanden mee te verwerken. Alhoewel daar verbeteringen hebben plaatsgevonden, is het in vergelijking met andere bestandsformaten nog steeds knudde.

De persoon, welke een pdf bestand alleen leest, zal gauw denken dat pdf bestanden veilig zijn. De persoon, welke het pdf bestand produceert, kan er ook op vertrouwen dat de bestandsinhoud word getoond zoals deze is bedoeld. En deze persoon kan dat met of zonder DRM doen.

Echter, diegenen die pdf bestanden terug moeten converteren naar data in andere vormen (archivering en indexering zijn goede voorbeelden daarvan) en/of andere bestandsformaten, die weten maar al te goed wat een ellende het pdf bestandsformaat is.

En je kan het pdf niet eens kwalijk nemen, voor dat soort gebruik is het namelijk nooit ontworpen. Maar mensen zijn het bestandsformaat verkeerd (of te excessief) gaan gebruiken. Kan je de mensen eigenlijk ook niet kwalijk nemen, want als je genoeg bestanden van eenderwelk bestandsformaat hebt ontvangen, dan komt de nood om deze te indexeren en archiveren automatisch. Persoonlijke of professionele omgeving maakt voor het ontstaan van de nood niets uit.

Het mag er niet zo op lijken, maar er zijn stiekem toch al een heleboel verschillende versies van het pdf bestandsformaat. En terugwaartse competabiliteit is minder goed geregeld dan je zou verwachten. Je zou zelfs kunnen concluderen dat de onderlinge verschillen tussen versies, het bestandsformaat als geheel minder veilig maken.

* - wijziging vanwege een zelf opgemerkte grammatica fout

[Reactie gewijzigd door GeroldM op 19 november 2020 17:35]

en heeft jou en mij miljoenen belastinggeld gekost.
Ik vermoed dat jij je hele leven nog geen miljoen aan belasting heb betaald... Dus dat zal allemaal wel meevallen...

Ik ben het niet oneens met @Ozzie dat ook interne medewerkers/organisatie heel erg deel zijn van het 'probleem' van niet succesvolle projecten. Maar ik ben ook zeker van mening dat veel van de genoemde bedrijven (en veel bedrijven die hier niet genoemd zijn) liever kiezen om iemand in te zetten waar ze de meeste marge op kunnen draaien dan de medewerker die het meest geschikte is voor de opdracht. Daarnaast is zo een aanbesteding in de basis vaak al heel erg slecht opgesteld waardoor je door de mazen heen kan varen met een olietanker...
Maar ik ben ook zeker van mening dat veel van de genoemde bedrijven (en veel bedrijven die hier niet genoemd zijn) liever kiezen om iemand in te zetten waar ze de meeste marge op kunnen draaien dan de medewerker die het meest geschikte is voor de opdracht.
Dit is helemaal afhankelijk van hoe de aanbesteding is geschreven. je kunt als aanbesteder namelijk prima eisen dat je een namenlijst krijgt van mensen van de leverancier die geïnterviewd worden tijdens het gehele aanbestedingsproces, die uiteindelijk ook deel gaan nemen aan het project zelf.
Maar dit moet dan wel expliciet in de aanbesteding staan.

Als het gaat om 'reguliere' detachering, waarbij een applicatiebeheerder of developer wordt gevraagd die de bestaande software gaan beheren en uitbreiden, is het ook vaak een kwestie van vraag en aanbod. Als de beste mensen van de preferred supplier (en hun onderaannemers) allemaal een klus hebben, maar er zijn wel 4 mensen op dat moment beschikbaar die net wat minder geschikt zijn, zal de detacheerder (begrijpelijk) zijn best doen om de 2 mindere goden op die opdracht te plaatsen, waarbij zij zich hopelijk kunnen ontwikkelen en binnen no-time wel de vereiste kennis en kwaliteiten hebben.
"Wie betaalt bepaald".

Lekker makkelijk. Ik werk bij een consultancy firma en durf wel te stellen dat als een klant ons vraagt een product te maken welke privacy en beveiliging niet op orde heeft (by design, en dus gewoon eigenlijk niet gebruikt zou mogen worden) wij er vriendelijk voor bedanken. Want wie betaalt bepaald, maar er is genoeg vraag in de markt dat je er prima voor kan kiezen om niet bewust rommel op te leveren. Als alle firma's dat zouden doen is er voor dat soort klanten ook geen keuze meer.
Daarmee zet je alleen jezelf buiten spel, want er is altijd wel iemand anders die het wel wil doen.
Het is overigens een prima keuze hoor en ik sta daar helemaal achter, maar het gevolg is zeker niet dat het vervolgens helemaal niet gebouwd gaat worden.
Klopt, maar de klanten die dit soort streken uithalen gaan toch geen klanten zijn waar je langdurig mee wil samenwerken of de naam van je firma aan wil verbinden. Als je een reputatie hebt dat je goed doordacht spul aflevert wat doet wat het moet doen, zonder allerhande problemen is dat ook best wel wat waard.
Ook lekker makkelijk op de externe consultants afschuiven. Je heb zelf nooit in die wereld gewerkt zeker?
Niet degene op wie je reageerde maar ik heb het vaak genoeg meegemaakt (vanuit perspectief van een interne ontwikkelaar met een groot aantal externe inhuur): Het 'werkvolk' kan best capabel zijn maar de hogere (en zelfs midden) lagen functioneren op het randje van corruptie met alles wat daar bij hoort: inpalmen / omkopen / halve waarheden / leugens, alles om die bonus maar binnen te halen.
De grotere zoals Cap Gemeni (of Ordina, Atos, etc) maken grof misbruik van de ondeskundigheid van hun klanten.
@Ozzie vergeet Atos niet.. en de tender gebeurd vaak op level van wat sjiekere consultancy clubjes, zoals Accenture of zo.

En als er financien bij betrokken zijn kom je bij kpmg, deloitte, PWC en zo.

[Reactie gewijzigd door Bulkzooi op 19 november 2020 14:32]

Stel je voor dat Centric ook levert.
Dat zou security-technisch geen probleem zijn, want die hebben Rian van Rijbroek achter zich 😒
8)7

Dat de overheid überhaupt nog zaken doet/mag doen met Centric, verbazingwekkend. Zulke figureren zijn een gevaar voor de veiligheid van systemen. Maar goed, wie ben ik O-)
'Het zijn de Russen' :D
In mijn ervaring is het vaak een rommeltje bij de overheidsorganisaties zelf, als externe heb ik nu al meerdere keren meegemaakt dat de eisen niet duidelijk zijn en er geen verantwoordelijkheid wordt genomen binnen de interne organisatie. Uiteindelijk kun je dan niet meer dan je best doen en hopen dat het goed landt. Er wordt in ieder geval een hoop geld verspild en dat is zonde. Vaak zijn de werknemers bij de overheid niet op de hoogte van de laatste ontwikkelingen en is het trekken aan een dood paard. Andersom geldt ook dat je dan als consultant wel die problemen moet aankaarten, maar als ze er voor kiezen om zich niet te laten adviseren kun je dan moeilijk het die partijen kwalijk nemen.
Je kan het die partijen prima kwalijk nemen. Als ze je opdracht geven iets te bouwen waar je al bij voorbaat van weet dat het problemen gaat geven met privacy of beveiliging zou je als consultant vriendelijk moeten bedanken en een andere klant gaan zoeken. Als opdrachtgevers vaak genoeg "nee" te horen krijgen gaan ze misschien achter hun oren krabben en zich afvragen of privacy en beveiliging toch misschien iets is wat ze niet aan de kant kunnen schuiven.
Er is helemaal geen extern consultancy bedrijf verantwoordelijk voor deze applicaties. De opdrachtgever (= de politie in dit geval) is verantwoordelijk voor wat er gebouwd moet worden en het accepteren van het gebouwde (= acceptatie en in gebruikname van de applicatie).

Als de opdrachtgever een applicatie vraag die niet aan de wetten en regels voldoet die op hun van toepassing zijn, is die opdrachtgever hiervoor verantwoordelijk. Dit is heel normaal; als jij een auto koopt die niet APK gekeurd is (en jij hebt daar ook niet om gevraagd) en jij gaat daarmee rondrijden, ben jij toch echt strafbaar als de politie je van de weg plukt bij een controle. Dan is het toch echt niet degene die jou die auto geleverd heeft die strafbaar is.

Als een opdrachtgever een applicatie vraag die aan bepaalde regels moet voldoen en de geleverde applicatie voldoet niet aan die eisen, is het de verantwoordelijkheid van de opdrachtgever om de applicatie niet te accepteren en dus niet in gebruik te nemen (en de bouwer in gebreke te stellen). Voorbeeld van de auto gaat ook hier op: als jij op marktplaats een APK-gekeurde auto vraagt en iemand biedt dat aan, zal jij toch echt zelf moeten controlleren of die APK-claim waar is voordat je de weg op gaat. Als je dit niet doet en de claim blijkt onterecht, ben jij op dat moment strafbaar. Het is jou verantwoordelijkheid aan de regels te voldoen, ook als je bepaalde zaken uitbesteed.
De vergelijking is een beetje scheef, want de partij waarbij je je auto koopt, is niet de fabrikant. De fabrikant moet toch echt wel aan een hele reeks wetten en voorschriften voldoen. Een auto zonder gordels komt de markt niet op.

Zelfde als je een opdracht geeft voor een aanbouw. Je geeft aan hoe groot je hem wilt en waar het glas en zaken als electra punten moet komen (het estetische, zeg maar), maar de aannemer is verantwoordelijk dat alles volgens de veiligeheids voorschriften gebeurt.

De vergelijking met een autodealer is hetzelfde als een winkel waar je software koopt. Het is allemaal al op een ander ander punt gebouwd, en de bouwfase is waar de regelgeving komt kijken.
Software en hardware vergelijken gaat inderdaad altijd wel een beetje mank, maar laten we dan stellen dat jij een auto gaat kopen en daarbij niet meldt dat je er mee in winterse omstandigheden gaat rijden (waardoor je aan een bepaalde wet / regel moet voldoen). Je kan dan de autoverkoper niet kwalijk nemen dat hij jou een auto met zomerbanden eronder aanbied / verkoopt. Als jij dan vervolgens op wintersport een boete krijgt, is dat toch echt jou eigen verantwoordelijkheid.

In dit geval kunnen we het ook niet vergelijken met een autodealer / standaard winkel, hier is sprake van maatwerk / op bestelling. Ik kan bv. best een supercar laten ontwerpen / bouwen die niet de Nederlandse weg op mag. Een bedrijf mag die auto bouwen, die mag 'em bij mij thuis afleveren. Maar ik mag er niet mee gaan rondrijden in Nederland. Natuurlijk zou het de autobouwer sieren als ze vragen zouden stellen als "wilt u er mee de openbare weg op, of is het alleen voor op het circuit?", maar het is niet hun plicht of verantwoordelijkheid.

In dit soort trajecten is het ook niet zo dat een politiemeneer bij softwarewinkel Ordina/Cap/Sogeti/etc. binnenloopt en zegt "Ik wil graag 1000 licenties voor PolitieRegistratieSysteem 2021 en 10 licenties voor FlitsboeteServer 2018". Software die aan zulke specifieke wetten en eisen moet voldoen ligt gewoon niet standaard op de plank. En dan moet de opdrachtgever toch echt zelf de verantwoordelijkheid nemen om te zorgen dat wat hij laat maken aan de voor hem relevante eisen voldoet.
Die partijen doen ook alleen wat de klant vraagt. De politie zelf is verantwoordelijk voor haar software. Partijen als Ordina doen gewoon uurtje factuurtje.
@Eonfge juist. Consultants, leveranciers, afhankelijkheden maar ook programeertalen, frameworks, versienummers, datums.

En dan "features" helemaal ontleden naar handtekeningen.

[Reactie gewijzigd door Bulkzooi op 19 november 2020 09:27]

Ben benieuwd of ze die van de Belgische ook eens controleren... daar is de Federale verantwoordelijk (DRI) Heel streng allemaal, maar als je zelf de achterdeurtjes neemt, is dat erg makkelijk te omzeilen.
DRI zou beter eens eerst hun word6 buitensmijten |:(
Dat kan pas als ze iemand hebben die de makro´s durft aan te passen :D
Ze denken 2e kwartaal 2021
dat zal allemaal opgelost worden met IPolice :P
OMG, Word6 ??!¡¿¡¿??
Nou, dat politieke de burger en bedrijven moeten up-to-date zijn argument valt zo wel weg. Ik kan niet eens alle cookie wijzigingen bijhouden, laat staan uptodate zijn qua wetten of it.

Wat is het xq.'s? Beetje knullig? En dat iPolice, wat is dat? En jullie bedoelen dat je door WordBasic makro's nog altijd Word6 draaien? Staat de authornaam ingevuld?

[Reactie gewijzigd door Bulkzooi op 19 november 2020 17:40]

Welke achterdeurtjes zijn er zoal dan?
Achterdeurtjes is een groot woord, eerder Mazen in de regels zo groot als een olifant, en ik wil daar inhoudelijk niet op ingaan, ik werk er zelf. Maar lokale IT heeft gewoonweg veel te veel rechten alhoewel ze denken dat zaken dichtstaan. Denk alleen al aan het systeem voor de uren/loonfishes/vakanties/ziekte wat eenvoudig door iedereen ingezien kan worden door een header aanpassing.
Ik werk er ook... vandaar mijn vraag. Als ik het goed begrijp is het eerder een administratief probleem door het toekennen van te veel rechten? Kan je daar een voorbeeld van doorsturen?

Heb je het nu over Portal Lite of Galop of nog iets anders?
Goed dat deze analyse gedaan is en publiek gemaakt wordt, en dat ze streng zijn over zichzelf. Dit is de manier om de boel te gaan verbeteren. Goed bezig.
Ja, in principe ben ik het met je eens dat het goed is dat ze deze analyse doen.

Maar ze hebben zelf niets publiek gemaakt, ze hebben moeten voldoen aan een WOB-verzoek en Bits of Freedom heeft het vervolgens publiek gemaakt. Dat was dus al geen keuze van hen. Vooralsnog weten we niet of, en zo ja wat, ze precies gedaan hebben met deze analyse. En weten we niet waarom deze analyse nodig was en de applicaties niet al jaren voldoen aan de wettelijke bepalingen.

Hoe dan ook mogen er consequenties gelegd worden bij de politie voor het niet voldoen aan de regelgeving, net zoals er consequenties zijn als er bij bedrijven misstanden in deze worden gevonden.

Maar goed bezig? Nee, alles behalve. Dit had niet "eind 2020" pas goed moeten zijn, als we er al überhaupt van uitgaan dat die doelstelling behaald is, want ook dat weten we niet.
Het gaat overigens niet om overtredingen op de AVG, maar van de Wet politiegegevens.
Ik vind het begrijpelijk dat dit gemeld wordt, maar omdat ik de Wet politiegegevens niet ken, kan ik hier lastig een waardeoordeel aan hangen, wat betekend dit nu concreet, dat dit niet onder de AVG, maar onder de politiewet valt? Ik mag hopen dat de politiewet wat strenger is dan de AVG, bijvoorbeeld?

Overigens, De AVG heeft (in Nederland in elk geval) geen invloed op wat privacy nu is voor de Nederlandse Wet. De AVG is dus eigenlijk ook niets meer dan een verduidelijking van wat wel onder persoonsgegevens valt en wat niet (of in mindere mate) en wat daarop de straffen zijn. Vaak wordt AVG gebruikt om aan te geven dat het met privacy te maken heeft, maar dat is niet wat de AVG eigenlijk ten doel had; dat was vooral om duidelijkere kaders te stellen.

[Reactie gewijzigd door CH4OS op 19 november 2020 09:34]

de WPG kent o.a. bewaartermijnen en rollen voor de inzichtelijkheid van data, bijvoorbeeld een procesverbaal van een winkeldiefstal is 2 jaar lang inzichtelijk voor gewonere politierollen, daarna worden de rollen strenger, en na weer zoveel jaar wordt deze data opgeschoond.
WPG artikel 8 is bijvoorbeeld dit soort gewonere politie data.
Artikel 12 is juist de erg gevoelige data van informanten, als deze data al digitaal wordt vastgelegd, dan is de inzage ervan in elk geval zeer beperkt.

Belangrijk in zo'n rapport is dus ook om te kijken met welke data (vallend onder bepaalde WPG artikelen) de applicaties om gaan.
@spacy yes, de API calls moeten open source en gepubliseerd zijn. Dan kunnen we zien welke velden er in de query zitten.

[Reactie gewijzigd door Bulkzooi op 19 november 2020 14:59]

Heit feit dat er bepaalde velden in het API response zitten, zegt nog niets over of je de data wel of niet gaat krijgen. Wanneer een RBAC goed werkt, kan het filter de data die niet voor jouw niveau bestemd is, er alsnog uitfilteren, of zelfs een signaal naar verantwoordelijke sturen dat er op bepaalde data gezocht is. Dit soort mechanismes zitten o.a. in de lijst van onderzochte applicaties.
@spicey ik heb het over de implementatie van die API-calls, in eerste aanleg niet de validatie of evt. implementatiefouten of allerlei afhankelijke procedures.

Dit soort mechanismes zijn vergelijkbaar met koninklijke uitzondering, recht van de eerste nacht, en allerlei andere uitzonderingssituaties die de wetten overrulen. Hiermee faciliteert het allerlei onethische en ongewenste bij-effecten.

Maar verantwoording afleggen zullen ze; ze moeten bovenal controleerbaar zijn, net als de wetten en haar implementatie.

Nogmaals, betreft dus de implementatie van die API zelf, en ook de verantwoording over het beheer hiervan. Da's allemaal ITIL-stuff. Na implementatie wordt iets nl. overgedragen en de beheerorganisatie van die api in het vernieuwde, reeds aanwezige IT landschap.

Jij bent een API user? En
jouw niveau
Je bedoeld authorisatie? Die inlogmethodieken zijn allemaal lek.
De administratieve organisatie is itil, versiebeheer en historiek. En dat komt dan weer overeen met die bovenliggende ISO standaarden. En voila, een systematiek die controleerbaar is.

Een non-technische manier om hier naar toe te redeneren is macht vs. controle.

[Reactie gewijzigd door Bulkzooi op 19 november 2020 18:37]

Ik denk dat wij verschillen in wat we van onze overheid verwachten, misschien ook niet.
Maar zoals ik in een andere post al aan heb gegeven, ik heb gebouwd aan 1 van de genoemde applicaties. En ben onderdeel geweest van een DevOps team van de politie. Mijn indruk was een professionele organisatie die echt zijn best doet de verschillende wetgevingen juist te implementeren. Daarbij zijn er intern ook teams die elkaar controleren, bijvoorbeeld op veiligheid rondom security, maar ook netwerk teams rond up time configuratie etc.
Besef wel, dit soort IT applicaties moeten aan zoveel meer voldoen dan alleen privacy wetgeving, het zijn cruciale tools voor politie om als gereedschappen ingezet te worden om onze veiligheid te kunnen waarborgen.

Ik besef ook wel dat een aantal van hun applicaties vanwege leeftijd nog achter de feiten van inmiddels vernieuwde wetgeving aanlopen, maar software ontwikkeling is ook voor deze partijen niet gratis en kent doorlooptijd, en ook de politie zal zijn budget en tijd goed moeten verdelen over mensen op straat en de rest van de organisatie die dat werk support.
Yes, vereiste voor een dergelijke discussie is ook minimaal compiler kennis, zowel technisch als qua privacy.

Maar ook de taal van die compenenten en het gebruik van bijbehorende tools is van Nationaal Staats Belang.
De staat als baas van de infrastructuur en de computers (hw, sw), en de dienders als gebruikers van die API, die net als de burgers ook op deze API moeten vertrouwen.

Vergeet niet dat de Nederlandse overheid steevast en halsstarrig 2 decennia Open Source heeft geweigerd en zichzelf compleet afhankelijk hebben gemaakt van het buitenland en gepatenteerde tech.

Bedoel je trouwens:
Zicht op Zaken (ZoZ): Een PHP applicatie met MySQL database.

[Reactie gewijzigd door Bulkzooi op 19 november 2020 18:12]

Nee, de applicatie die je noemt ben ik niet bekend mee. Het beeld wat jij schetst komt mij ook niet bekend voor, misschien uit het verleden van de organisatie. Als je doelt op de componenten die we toepast hebben, die vond ik best open, en niet persee vendor locked-in. Het ging om, ook voor techneuten een uitdagende stack met, o.a. Python, Java, Angular, Postgres, Linux en ElasticSearch.
Capiciteit en budget zijn altijd de operationele excusesen. Van alle 25 operationele diensten, uitvoeringsinstanties die Omtzigt onderzoekt of voor het gerecht staan.

Feit blijft dat er deliverables en verantwoordingen blijven en standaarden, wetten nageleefd moeten worden.

Plenty problemen en correcties al gehad, plenty budgetten, plenty iso certificeringen, diploma's en dergelijke.

Anyway, die API discussies worden al gevoerd. De leukste in de rechtbank, door falende politiek, beleidsmatig en operationeel.
En die API spec, die moet open source zijn, en de velden bevatten ivm verantwoording ivm privacy.

Da's ook het verschil tussen overheid en bedrijf, de plichten.. daarmee schuiven is het capicietitsspel genaamd economie, de markt van vraag en aanbod.

[Reactie gewijzigd door Bulkzooi op 21 november 2020 15:47]

Goed dat ze dit serieus nemen. Boetes is onzinnig natuurlijk. Dat heeft alleen zin als de politie de noodzaak tot verbetering niet ziet. Bovendien komt het geld dat naar boetes gaat niet ten gunste van de opsporing, en de politie is al onderbezet. De overheid, dat zijn we zelf.
Ik vraag me af welke grote overheidssystemen op ict vlak wel voldoen aan AVG. Eigenlijk vraag ik me af of er überhaupt overheidssystemen zijn die daaraan al volledig voldoen. Daarnaast vermoed ik dat ook in het bedrijfsleven nog lang niet alle subtiliteiten van de AVG precies worden nageleefd.
Dit gaat niet over de AVG, maar WPG. Ander regime, andere eisen.
Ik ben erg blij dat er een organisatie als Bits of Freedom bestaat die dit soort zaken in de gaten houdt. Jammer dat het doen van een donatie op hun website niet werkt.
>De politie is naar eigen zeggen....

"We have investigated ourselves and found we have done no wrong"
Eeuhm, heb je de rode en oranje vakjes niet gezien?


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Black Friday 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True