NOS: coronatest.nl is niet goed genoeg beveiligd en voldoet niet aan DigiD-norm

De overheidswebsite waarmee Nederlanders afspraken voor coronatests kunnen maken en uitslagen kunnen inzien, is niet genoeg beveiligd, zou blijken uit vertrouwelijke stukken. Het ministerie van Binnenlandse Zaken dreigt daarom de site af te sluiten van DigiD.

Welke beveiligingsproblemen de site coronatest.nl heeft, is volgens de NOS nu niet duidelijk. De omroep schrijft dat de GGD nu niet voldoet aan zes door de Rijksoverheid gestelde eisen om DigiD te kunnen gebruiken. Logius, beheerder van DigiD, heeft een lijst met twintig normen waaraan websites die DigiD willen gebruiken moeten voldoen. Vermoedelijk voldoen de website en de GGD momenteel niet aan zes van deze normen. Voorbeelden van door de overheid gestelde eisen zijn dat regelmatig pentests worden uitgevoerd en dat registraties en loggingsinformatie worden gemonitord.

Coronatest.nl ging in augustus online, sindsdien zou de site niet aan acht DigiD-eisen voldoen. Bij drie eisen zou het om 'hoge risico'-eisen gaan. De GGD zou meermaals zijn gewezen op de beveiligingsproblemen en drie deadlines hebben gemist, maar zou tot nu toe maar twee problemen hebben kunnen oplossen. Logius zegt dat er door de beveiligingsproblemen nog geen onveilige situaties zijn ontstaan, al zou uit de stukken blijken dat het ministerie van Binnenlandse Zaken zich daar wel zorgen om zou maken.

GGD GHOR, koepelorganisatie van de GGD, bevestigt dat de website nog niet aan de DigiD-eisen voldoet. De dienst zou er wel aan werken om deze achterstand in te halen. Voor het voldoen aan twee normen zou zo'n drie weken vertraging zijn opgelopen. Voor de overige vier normen loopt de GGD naar eigen zeggen op schema. De GGD verwacht voor deze normen een 'tijdige oplevering'. Wanneer de GGD denkt aan de DigiD-normen te kunnen voldoen, is niet duidelijk.

Met coronatest.nl kunnen Nederlanders een afspraak inplannen voor een coronatest in de buurt. Later kunnen inwoners via de site zien of ze wel of niet positief zijn getest. Voor beide handelingen van de site is een inlog met DigiD nodig. Mocht het ministerie inderdaad besluiten de site af te sluiten van DigiD, dan zou de site de facto onbruikbaar worden. Het zou volgens de NOS voor het eerst zijn dat het ministerie besluit een landelijke site van DigiD af te sluiten. Coronatest.nl verwerkt onder meer postcodes, telefoonnummers, e-mailadressen, testuitslagen en bsn's.

In januari bleek dat privégegevens van Nederlanders uit twee GGD-coronasystemen illegaal worden verhandeld via online chatdiensten. Medewerkers waarschuwden sinds de zomer over deze problemen, maar werden schijnbaar genegeerd. De problemen met coronatest.nl staan hier los van. Het is niet bekend of er daadwerkelijk data is gestolen via coronatest.nl.

Door Hayte Hugo

Redacteur

09-02-2021 • 20:34

144 Linkedin

Submitter: AmirIHz

Reacties (144)

144
126
74
14
0
43
Wijzig sortering
Ik weet dat enkele jaren terug van een ziekenhuis werd geeist dat eerst aan álle eisen was voldaan, vóórdat er gebruik van DigiD kon worden gemaakt.

Daarom ben ik nu erg benieuwd waarom het de GGD alvast lukte om er wel gebruik van te kunnen maken, zónder meteen al aan alle eisen te hebben voldaan. Is die acceptatie-procedure nu anders?

[edit:typo]

[Reactie gewijzigd door bousix op 9 februari 2021 21:22]

De eisen zijn recentelijk aangescherpt (met name U/WA.05, U/PW.03 waar de website duidelijk niet aan voldoet en aanpassingen kosten potentieel veel werk omdat er sprake is van inline JS (unsafe-inline mag niet meer)) (thanks @Xiqum en @Arjan013), dat speelt hier mogelijk mee. Daarna kun je live voordat de audit daadwerkelijk wordt uitgevoerd (dat moet dan wel binnen twee maanden) en bij een eerste audit kan er nog eens een oogje toegeknepen worden als er een belofte en plan van aanpak voor verbetering ligt voor de volgende audit.

Mocht je er in detail over willen lezen:

De originele eisen vind je hier (uit 2016):
https://logius.nl/sites/d...ingsassessments-Digid.pdf

Dit is hoe auditors dat beoordelen (ook 2016):
https://www.norea.nl/download/?id=2562

Dit over de verscherpingen van 2020:
https://www.norea.nl/download/?id=9131
en
https://www.norea.nl/download/?id=7851

[Reactie gewijzigd door JapyDooge op 9 februari 2021 22:56]

De bewuste headers zijn geïmplementeerd. De test site die je aanhaalt geeft een 403 Forbidden terug. Waarschijnlijk wordt deze automatische test geblokkeerd. Als je de test herhaalt op internet.nl zul je zien dat de headers wel degelijk aanwezig zijn. https://internet.nl/site/coronatest.nl/1113387/
Op coronatest.nl staat de csp header wel goed, maar als je wat verder rondklikt op de site, is unsafe inline weldegeljjk opgenomen in de csp header.
Dat is toch op te lossen door nonce te gebruiken in CSP header en de scripts?
Dat is een oplossing inderdaad; maar dat werkt enkel met niet automatisch gegenereerde code (tenzij die er rekening mee houd).
Huh, thanks! Niet heel goed gekeken. :)
Er worden nog oude cyphers ondersteund bij tls 1.2.. Ook dat kan een issue zijn.
Unsafe inline wordt inderdaad gebruikt, dus dat voldoet niet. Daar kunnen ze wel tot 1 november uitstel voor krijgen voordat er consequenties aan zitten.
Mits er een code-review is gedaan en mitigaties in place zijn en een plan van aanpak voor het niet langer gebruiken hiervan meen ik. :)
Met codereview en mitigerende maatregelen, krijg je zelfs tot 1 mei 2022 uitstel, maar dat is vaak net zo lastig als het probleem gewoon oplossen. Zie ook https://www.norea.nl/download/?id=8904
Aannemende dat deze eisen bekend waren voor er begonnen was aan de website, moet dit toch niet zo heel moeilijk te implementeren zijn? Deze eisen zien er nou niet bepaald extreem complex uit.

De meeste eisen zijn dingen die je voor iedere applicatie wil, ongeacht of je met Digid inlogt of niet, Security headers moeten echt een fix van een vijf minuut zijn, voor de CSP is iets meer werk nodig maar ook niet heel erg veel.

Ik vind het maar apart dat ze wel een A+ op ssllabs hebben maar desondanks basale dingen als een content security policy missen.
Het zijn absoluut in de meeste gevallen geen hele spannende aanpassingen, maar afhankelijk van de gebruikte technologie er achter kan het wel complexer zijn dan verwacht.

Om een voorbeeld te geven (hier niet van toepassing, maar wel iets wat ik recentelijk tegenkwam): Telerik componenten zijn erg populair in de .NET wereld. Deze leunen op ASP.NET AJAX welke automatisch inline JS genereerd. Daar lijkt nog geen work-around voor te zijn behalve overstappen op nieuwere technieken die nog maar net volwassen zijn. Een flink aantal bedrijven die voor o.a. de overheid websites in .NET ontwikkelen staan hier nu voor een probleem met de aangescherpte regelgeving.

Nu is coronatest.nl een erg nieuw/vers project, dus je zou daar verwachten dat het op basis van moderne technieken in elkaar is gezet - maar ook daar kan natuurlijk gekozen zijn voor een ouder framework/backend/cms met een thema en relevante teksten.

[Reactie gewijzigd door JapyDooge op 9 februari 2021 22:19]

Veel gebruikt lijkt mij overdreven, de Telerik library waar jij naar refereert is gebaseerd op Webforms wat allang geen standaard meer is binnen (ASP).NET en is ook door Microsoft aangemerkt als "legacy". Die nieuwe technieken die jij noemt zijn allang volwassen en al meerdere iteraties ver. ASP.NET MVC wordt veelal de opvolger van Webforms gezien en is al meer dan 10 jaar oud

Mag toch echt hopen dat Webforms niet meer gebruikt wordt behalve voor interne legacy projecten
Je wil niet weten hoeveel projecten nog met oude technieken als WebForms werken.

Meestal geldt: hoe groter het project, hoe langer het met oude zooi blijft doordraaien :)

Ik zie dat op mijn werk ook. Het zijn meestal de leuke projecten tussendoor die een beperkte scope hebben, waar we ons uitleven met de nieuwste technieken. Maar de grote projecten - waar je zomaar 5 jaar bezig bent met een rewrite - zijn per definitie gebaseerd op oude zooi.

Want zodra de rewrite klaar is, is de boel alweer verouderd :P

Zelf werk ik bijvoorbeeld aan een ERP pakket. Het bevat ongeveer 200 schermen en ruim een half miljoen regels code en tig uitzonderingen voor allerlei klanten. Nou succes met upgraden jongens.

En je wil er ook geen complete mengelmoes van technieken van maken, omdat het project dan niet meer te onderhouden is. Dus kies je 1 lijn.

Ik heb bijvoorbeeld ook een support site gemaakt ooit met AngularJS. Nou ik wil hem dolgraag herschrijven hoor naar Angular of React, maar het lukt gewoon niet. De hoeveelheid werk waar ik dan tegenaan kijk, weegt niet op tegen de baten. En bij dit project heb ik het meerdere keren geprobeerd en er een aanzet toe gedaan, want ik vind het verschrikkelijk om nieuwe schermen erbij te bouwen met AngularJS.

Maar je bent er zomaar maanden mee bezig en het levert mijn werkgever geen drol op.

Heb wel 1 collega die zo gek is om dan in het weekend en 's avonds door te gaan, omdat hij per se de nieuwste dingen wil gebruiken... maar als ik dan zie in wat voor bochten hij zich moet wringen en hoeveel het hem kost, heb ik daar echt geen zin in :)

Kortom, bij nieuwe projecten gebruik ik nieuwe technieken. Oude zooi laat ik vooral doordraaien met dezelfde shit. Je tweakt ze hoogstens eens zodat ze secure cookies gebruiken ofzo, maar that's it.

[Reactie gewijzigd door Lethalis op 10 februari 2021 08:37]

Heel herkenbaar.
Echter vind ik het nog een groot verschil of je een project- of product-organisatie bent.
Als ik een licentie afneem op een product mag ik verwachten dat dit bijgehouden wordt, als ik als klant een applicatie heb laten bouwen die onderhouden wordt door die bouwer is het echt een ander verhaal.
Je mag dan van zo'n bouwer verwachten dat er advies wordt gegeven, maar die klant zal het toch zelf moeten gaan betalen en die benodigde investeringen komen er vaak niet doorheen.
Een kwestie van vooruit kijken, de stable release van Angular is al 4 jaar oud, twee jaar later werd het al duidelijk dat AngularJS er uit ging en werd de LTS aangekondigd https://docs.angularjs.org/misc/version-support-status welke eigenlijk deze zomer zou aflopen (door covid verlengd naar 12-2021). Eind dit jaar is AngularJS dus NIET meer supported door Google.

Je hebt dus al 3 jaar de tijd gehad om over te stappen van AngularJS.

Misschien levert het je werkgever niks op maar die instelling is juist het probleem. En uiteindelijk is het ook een probleem van je werkgever want zie nog maar (jonge) developers aan te komen die willen werken aan een out-dated AngularJS applicatie.

Zodra je de keuze maakt voor een library moet je altijd het upgrade pad in de gaten blijven houden, en als je slim bent neem je dit ook mee in het advies naar je klanten.
Ontwikkelingen op frontend gebied zijn gewoon erg snel gegaan. Ik bedoel, het ERP pakket waar ik aan werk bijvoorbeeld bevat ook code van 20 jaar oud en draait grotendeels op Windows Forms. Even voor het idee.

Als wij met alles steeds mee zouden willen ontwikkelen en de boel upgraden, dan doen we helemaal niets anders meer dan dat. Elke keer als je dan eindelijk iets hebt bijgewerkt, kun je het volgende project weer gaan upgraden en zo blijf je bezig.

Nu blijf ik een developer en vind ik nieuwe technieken gebruiken leuk, maar eigenlijk had ik dus nooit voor AngularJS mogen kiezen. Ik koos destijds voor iets hips, terwijl ik iets ging ontwikkelen wat rustig 10 jaar moet draaien. Zolang leven projecten bij Google niet :)

Je kan geen flatgebouw bouwen als elke keer de fundering eronder weg wordt gezaagd. Sorry, niet meer ondersteund. Begin maar lekker opnieuw.

Misschien levert het je werkgever niks op maar die instelling is juist het probleem

Uiteindelijk worden we betaald om nieuwe functionaliteit te bouwen. Om dingen te maken die we kunnen verkopen aan klanten. En dingen herschrijven staat inderdaad erg laag op de lijst. Mijn werkgever heeft daar een bloedhekel aan.

Als het mijn bedrijf zou zijn, zou ik - tegen een hoop "best practices" in - waarschijnlijk zoveel mogelijk in eigen hand willen houden en zo min mogelijk op frameworks willen bouwen. Externe libraries die 1 bepaald doel hebben zijn prima, maar het moet niet de richting van het project dicteren.

Want ik zou niet weten hoe je dit moet oplossen anders. We draaien projecten van 10 jaar en langer en we kunnen niet de boel continu herschrijven. Dan heb je nog een extra development team nodig dat de hele dag niks anders doet en niet eens factureerbaar is.

Dat gaat niet. Is het bedrijf ook te klein voor.

Dus je moet zoveel mogelijk voor hele stabiele libraries kiezen die zo min mogelijk veranderen. En dat is knap lastig met web development de laatste tijd.

Want ook al begin ik nu aan een Angular of React project, dan krijg ik over 5 jaar geheid te horen dat die libraries / frameworks ook weer dood zijn. En dan? Misschien is mijn project tegen die tijd nog niet eens helemaal af en dan kan ik het alweer weggooien.

Dit is een probleem waar ik al een paar jaar over pieker trouwens :) Ik wil dolgraag aan een webversie van ons ERP pakket beginnen, maar dat wordt een project waar we rustig 5 tot 10 jaar aan gaan ontwikkelen voordat we het überhaupt opleveren. Het mag dus niet zo zijn dat de technieken die we daarvoor gebruiken sneller out of date raken dan dat wij het project af hebben (aan het Windows pakket wordt al 20 jaar gewerkt hè en het heeft 5 jaar geduurd voordat versie 1.0 op de markt kwam).

Dan denk ik bijna: HTML blijft wel bestaan. JavaScript ook. CSS ook. Maar al die frameworks zijn dan waarschijnlijk alweer 3 keer vervangen.

Hoe ga je daarmee om?

3 jaar is niks als je een half miljoen regels code moet herschrijven met een paar man :P

En een hele berg mensen in dienst nemen voor een project om ze na een paar jaar weer allemaal te ontslaan is ook zoiets. Bovendien duurt het vaak een half jaar voordat ze überhaupt ingewerkt zijn en snappen wat ze moeten doen.

Meeste developers willen ook gewoon een vaste baan en toekomstperspectief etc. Dus je moet het grotendeels doen met de mensen die je hebt.

[Reactie gewijzigd door Lethalis op 10 februari 2021 11:30]

Flinke en interessante reactie :) Voor zo'n groot project heb ik ook 123 niet het antwoord hoe je dat makkelijk kan doen. Op zich draait AngularJS natuurlijk nog wel even, we hebben net de hele HTML5 transitie achter de rug, echter blijft hoe langer je er mee wacht hoe langer je in je techdebt blijft zitten. En je hebt geen support meer, dit kan problemen opleveren voor je klanten of tijdens audits.

Feit is wel dat met name web-development de techniek erg snel gaat, daar zou je in het vervolg rekening mee kunnen houden. Ook binnen 1 applicatie kan je meerdere frameworks gebruiken. Zelfs kiezen voor stabiele libraries lost dit probleem niet op aangezien browsers continue veranderen. Wie gebruikt Apple of Microsoft over 5 jaar een andere browser engine, dan zal er toch een hoop aangepast moeten worden.

5 jaar voordat je product op de markt komt is gewoon erg lang. Wie had er 5 jaar geleden gedacht dat Apple vol op ARM zou inzetten? Of dat Edge zijn eigen engine zou dumpen voor Chromium?
De .NET MVC/javascript versie van de Telerik components library bevat net zo goed veel inline JS. Ik heb jaren lang gewerkt met die meuk en je krijgt er alleen maar hoofdpijn van.

Het is echter wel een goed punt dat bedrijven tegenwoordig goed moeten kijken welke componenten libraries ze toepassen. Niet alleen bij de overheid maar bij wel meer bedrijven (denk ook banken, verzekeraars, zorg etc.) speelt dit een rol.
Een auditor maakt alleen een rapport met bevindingen en neemt geen besluit. Het is aan de GGD om de bevindingen te wegen en eventueel te communiceren met Digid. Vaak komt het neer op een management-samenvatting toevoegen aan het rapport waar in staat dat alles goed komt en het is weer “ok”.
Dat is niet helemaal juist. Logius, de beheerder van DigiD vereist een rapport, afgetekend door een IT auditor waarin aan alle normen is voldaan. Als er niet wordt voldaan volgen er een paar dreigbrieven van Logius, maar vroeg of laat sluiten ze de aansluiting echt af. Het is minder vrijblijvend dan je schetst. (
Helaas is dit wat kort door de bocht. Een DigiD rapport bevat wel degelijk oordelen per norm (voldoet/voldoet niet), en de weging ligt bij de auditor, niet bij de geaudite partij (de auditee). Het rapport (zonder inhoudelijke bevindingen, alleen met oordelen) moet vervolgens door de auditee opgestuurd naar Logius (onderdeel van Binnenlandse Zaken), en Logius besluit vervolgens op welke termijn de tekortkomingen opgelost moeten worden. Dat was in het verleden altijd 1, 2 of 4 maanden. Met zwaarwegende argumentatie kon dat nog wel eens een maandje uitgesteld worden, maar meestal werd er geen uitstel verleend en werd er over gegaan op afsluiting.

Bron: 2,5 jaar als DigiD Auditor gewerkt
Anoniem: 715452
@Robo40010 februari 2021 12:43
Om live te gaan met een website is geen toestemming nodig van een auditor. Een auditor gaat die verantwoording nooit nemen, die geven zoals je aanhaalt per norm aan of je die haalt of niet. De GGD kan dan het rapport aannemen, beloven dat het beter wordt en verder gaan. Of dat slim is een ander verhaal, maar uiteindelijk is dat precies wat hier gebeurt is. Vervolgens heeft Digid het rapport met de belofte van de GGD om te verbeteren voldoende geacht om de functionaliteit van Digid te ontsluiten.
Om hier even op aan te haken. De 'diepgang' van dergelijke audits beperkt zich nu nog tot 'bestaan' en niet tot 'werking'. D.w.z. dat er momenteel enkel geaudit wordt op een momentopname en niet over een effectieve werking over een hele periode.

Voor iedere norm uit de NOREA handreiking moet dus enkel aangetoond worden door de houder van de DigiD aansluiting dat ze ergens in een jaar op enig moment hebben voldaan aan de norm. Dit gaat op termijn naar werking, maar daar zijn weinig houders van DigiD (of suwi) aansluitingen klaar voor.
Ik weet dat enkele jaren terug van een ziekenhuis werd geeist dat eerst aan álle eisen was voldaan, vóórdat er gebruik van DigiD kon worden gemaakt.

Daarom ben ik nu erg benieuwd waarom het de GGD alvast lukte om er wel gebruik van te kunnen maken, zónder meteen al aan alle eisen te hebben voldaan. Is die acceptatie-procedure nu anders?

[edit:typo]
Er moet hier denk ik ook wel in worden meegenomen dat Nederland een ontzettend groot belang heeft in het hebben van een website waarop corona tests ingepland kunnen worden. Nood breekt wet zegt men.
Er moet ook mee genomen worden dat Nederland een ontzettend groot belang heeft in een veilige werking van die website.
Nu zijn er een heleboel mensen die twijfelen om zich te laten testen omdat ze bang zijn dat hun gegevens (zoals BSN) op straat komen te liggen.
Er moet ook mee genomen worden dat Nederland een ontzettend groot belang heeft in een veilige werking van die website.
Nu zijn er een heleboel mensen die twijfelen om zich te laten testen omdat ze bang zijn dat hun gegevens (zoals BSN) op straat komen te liggen.
En terecht! Ik heb me al meerdere malen laten testen en ben absoluut not amused dat er mogelijk potentiële lekken zijn waarmee mijn identiteitsgegevens op straat kunnen komen te liggen. Ik vind de reactie van de betrokken partijen ook echt ronduit om je kapot te schamen; bij wie kan ik aankloppen als mijn identiteit is gebruikt voor louche praktijken?

Ik snap ook echt niet dat zulke waardevolle data niet vanaf het begin zwaar beveiligd wordt. Een goede vriend van mij werkt bij HackerOne, hij vertelde mij dat partijen met minder waardevolle data, zwaar investeren in security en advies van white-hat hackers; omdat ze, terecht, als de dood zijn dat ze verantwoordelijk zijn voor datalekken!
Er moet ook mee genomen worden dat Nederland een ontzettend groot belang heeft in een veilige werking van die website.
Nu zijn er een heleboel mensen die twijfelen om zich te laten testen omdat ze bang zijn dat hun gegevens (zoals BSN) op straat komen te liggen.
Daar heb je ook gelijk in en ik vind het ook belachelijk dat het nog steeds niet goed is geregeld. Maar mijn reactie was op dat het eerst allemaal goed in orde moet zijn voordat het gereleased kan worden, en daarvoor vind ik het maatschappelijke belang van snel iets beschikbaar hebben in dit geval te groot. 2 weken eerder online scheelt een boel mensenlevens.
Als men van het begin af aan even iets beter nadenkt over de privacy requirements dan kun je dit soort dingen regelen zonder dat het langer duurt om in productie te nemen.

Achteraf aanpassen is altijd veel lastiger. Maar het is echt geen rocket science om dit soort rechten van het begin af aan beter te regelen.
Het toont denk ik aan dat Privacy by Design nog niet leeft bij de GGD.
We zullen eerst moeten weten wat er niet goed is, jammer dat het niet wordt gedeeld nu lijkt het eerder stemmingmakerij van de NOS aangezien Logius aangeeft dat er geen onveilige situaties zijn ontstaan
Maar Lotus kan een belang hebben, bijvoorbeeld als het te vroeg toegang heeft versterkt?
We zullen eerst moeten weten wat er niet goed is, jammer dat het niet wordt gedeeld nu lijkt het eerder stemmingmakerij van de NOS aangezien Logius aangeeft dat er geen onveilige situaties zijn ontstaan
Ja, dat zeggen ze nu ja, maar uit de interne stukken die wij hebben gezien rijst een ander beeld op. Daar baseren we ons op.
Het probleem zit 'n niet in de beveiliging van de registratie.
Het probleem zit in de registratie.

Als we nu anoniem een afspraak kunnen maken voor een test. Bij de test krijg je een test-id die je op een status pagina kan invoeren. Vervolgens zie je binnen 2 dagen de uitslag van jouw test-id. En je weet de uitslag. De rest van het nu al OPTIONELE protocol is bij iedereen bekend. Geen noodzaak tot gegevens opslag of de kans op lekken daarvan. En het doel, namelijk het delen van de uitslag is wel bereikt.

De reden dat de overheid de test uitslag met naam en toenaam wil registeren in systemen moet maar eens bekend worden. Daar moeten we wat van gaan vinden. Niet het feit of we denken of deze informatie wel veilig is bij de overheid. Want dat is deze niet. Misschien, heel misschien nu. Maar bij een overheid die over 4 jaar aan de macht is weet je dat nooit.

Zie ook de registratieplicht van godsdienst voor 1930. Daar heeft een nieuwe regering goed gebruik van gemaakt tussen 1940 en 1945.
De reden dat de overheid de test uitslag met naam en toenaam wil registeren in systemen moet maar eens bekend worden.
Daar zijn wel redenen voor. Bijvoorbeeld het bron & contract onderzoek, ook bij het inplannen van toekomstige vaccinaties is het relevant om te weten wat de geschiedenis van een persoon is met betrekking tot Corona.

Tevens voor andere zorg is het belangrijk, bijvoorbeeld andere long aandoeningen.

Om al deze zaken puur te hangen aan de eerlijkheid van een persoon om te melden dat hij/zij corona heeft of heeft gehad. Dat lijkt mij niet zo handig. Tevens op diverse fronten onmogelijk. Hoe moet een bron & contact onderzoek plaats vinden als er niks bekend is van de geteste persoon behalve een reageerbuis nummer / labuitslag en website test-id?
Uitgangspunt is dat ik de overheid niet vertrouw met deze gegevens. Want de beveiliging is nu niet op orde en we weten dus ook niet of onze gegevens over 4 jaar aan een fascist worden gegeven die iedereen die corona heeft gehad wil oproepen voor een dna zuiverings-programma. En zeg nu niet dat het waanzin is. zie periode 1940 - 1945.


De overheid moet gewoon het basis doel van het secundaire doel scheiden.
Dus twee opties bedien.

1) Anoniem een corona test
2) Optioneel, via opt-in met disclaimer dat je gegevens bewaard worden om je resultaten te delen voor onderzoek.
De overheid moet gewoon [...] twee opties bedien.
1) Anoniem een corona test
2) Optioneel, via opt-in met disclaimer dat je gegevens bewaard worden om je resultaten te delen voor onderzoek.
Doen ze al, optie 1 is overgelaten aan de commerciële sector, tests kunnen gewoon thuisgestuurd / naar anoniem afhaalpunt, of je kan naar een commerciële teststraat.

Ja, dat kost geld, maar de overheid is geen gratis ziektekostenverzekeraar. Ze zijn een pandemiebestrijder, en gaan daar (soms iets te) pragmatisch mee om.
Je kunt ook gewoon geen coronatest doen dan? Als je de overheid verder niet vertrouwd.

Ik kan er nog mee inkomen dat je registreert en dat bij een negatieve test alles in de prullenbak verdwijnt (geen idee of dit zo is) maar om een register bij te houden van positieve coronagevallen in het midden van een pandemie lijkt me geen discussie waard, dat lijkt me gewoon een logische manier van handelen.

Zeker omdar b.v. midden-langetermijn consequenties nog helemaal niet echt goed duidelijk zijn.

Als de pandemie echter oplost en die consequenties blijven uit dan kunnen de corona gegevens ook weer gewoon verwijderd worden. (Ook hier geen idee of dit aan de orde is).

Verder gaat de vergelijking met 40-45 natuurlijk helemaal mank maar dat mag voor jezelf ook wel duidelijk zijn toch?

Wellicht komt er over een paar jaar wel iemand aan de macht die alle universitair geschoolde mensen wilt uitmoorden. Moeten we diploma's ook maar niet meer registreren?

(En voordat je deze bestempelt als waanzin, dit is ook gewoon gebeurd).

Dingen niet doen omdat een buitenlandse mogendheid in een wereldoorlog situatie eventueel misbruik maakt van je gegevens is natuurlijk geen scenario waar je rekening mee moet houden met "normale" overheidszaken.

Met die redenering kun je namelijk maar beter niets meer doen.

[Reactie gewijzigd door SideShow118 op 10 februari 2021 00:57]

Maar al die gegevens heeft de overheid toch al van je en staan ook in tig andere systemen waar blijkbaar (hopelijk) de beveiliging wel van op orde is. Mijn BSN, geboortedatum, geslacht, naam, het is allemaal al bekend bij een overheid. Dus zeggen dat je de overheid niet vertrouwt met je gegevens klinkt wat raar, zonder jouw gegevens kan de overheid ook niet z'n taken uitvoeren trouwens.
de hamvraag zou moeten zijn.... hoe kan het zijn dat wanneer iemand anders deze gegevens ergens van het net geplukt heeft of gekocht heeft, zich ineens voor kan doen als jou? Deze gegevens worden ineens als een soort wachtwoord gebruikt en gebruikt wordt ter identificatie? Dat vind ik het hele bijzondere aan het verhaal.
Je op een goede manier online of in de echte wereld identificeren kan op een andere manier en zou ook op een andere manier moeten.
Heeft er iemand een _goede_ verklaring voor waarom dit toch zo werkt?
En als mensen hun afspraak zijn vergeten mee te nemen, dan moet je de gegevens toch op kunnen vragen? Dan heb je wel iets nodig voor identificatie. (Naw b.v.)
Dat is zeker waanzin wat je zegt. Daarbij gaat het niet om jou, het gaat om de hele samenleving. Er zijn mensen die een hele hoop verantwoordelijkheid hebben voor onze samenleving en die maken weloverwogen en lastige beslissingen. Die zijn daar een stuk beter in dan jij met je nazi vergelijking.
Het delen van bv vaccinatie informatie voor statistiek / onderzoek is al opt-in. Het is niet opt-in bij een besmetting omdat je letterlijk een gevaar vormt voor anderen, mocht je gemakkelijk ontkennen of negeren dat je het hebt. Vandaar het bron&contact onderzoek.
Uitgangspunt is dat ik de overheid niet vertrouw met deze gegevens.
Dat is een vaker benoemde reden, overheids wantrouw, niet geheel ongegrond trouwens. Maar de overheid weet al zoveel meer relevant en belangrijke dingen over je. Eigenlijk alles, belasting gegevens, waar je woont, want je verdient etc.

Ik neem aan dat je hier dan ook tegen het huidige zorg dossier bent? Want er bestaat gewoon een medisch dossier wat veel meer informatie heeft over jou dan of je corona had of niet. Echt letterlijk alles wat ooit medisch is vast gestelt namelijk.

Verder loopt de gemiddelde persoon met een apparaat in hun zak met microfoons, gyro's, GPS. En zetten ze van alles online. Je benoemt hier 40-45, alleen in deze tijd had dat overheids register helemaal niet hoeven te bestaan. Ff kijken op Facebook of je veel omgaat met bepaalde groepen, bepaalde dingen liked. Of je medische geschiedenis hebt etc.

Die geest is al lang uit de fles. Daar hoeven wij de bestrijding van deze pandemie niet meer voor aan te passen. Het probleem ligt hem dus wel degelijk in de beveiliging van deze gegevens, en niet de gegrondheid voor het vergaren er van wat mij betreft. Weinig meer valide redenen om een ziekte vast te leggen dan een wereld wijde pandemie.
et punt van de bitcoinkoper is dat je voor een test genoeg hebt aan een anoniem token. Coronatests zijn om te testen, nergens anders voor.
Het doel van een test is niet alleen de desbetreffende persoon te informeren, maar ook in kaart te brengen waar het virus zich verspreid en hoe. Dit word gedaan in combinatie met een inderdaad vrijwillig bron & contact onderzoek. Ook word er gekeken naar aantal besmettingen in regio's, dat is op basis van woonplaatsen van positieven. Dat zie je terug in het corona dashboard.
Deze stappen voor virus bestrijding zijn niet mogelijk met anonieme testen, hier zit verder ook weinig meerwaarde in. Zoals hierboven al beschreven, de overheid heeft al deze gegevens al. Niks nieuws. Je staat al ingeschreven bij je gemeente, je geeft al je informatie aan de belastingdienst en je vertrouwd je ziekenhuis/huisarts al met al je privé zorg informatie.
Verder: hoe wil je een illegaal testen als er bsn nummers e.d. moeten worden overhanfigd? Of kunnen illegalen niemand besmetten omdat ze op papier niet bestaan?
Ik neem aan dat je asielzoekers bedoelt, die hebben vaak geen BSN. Dan worden ze op naam+geboortedatum+woonplaats/verblijfplaats ingevoerd.
Dat kan als Nederlander ook, maar als je een Nederlandse burger met BSN bent wordt dat automatisch toch gekoppeld. Je bent immers gewoon bekend bij de overheid.

Het probleem wat hier speel is simpel weg dat het BSN nummer teveel waarde heeft. En dat het raar is dat het BSN meer mogelijkheden bied dan het identificeren van een persoon, zoals bijvoorbeeld toegang krijgen tot sociale voorzieningen. Dat is de kern van het probleem, niet dat het BSN gebruikt wordt voor persoons identificatie bij het bestrijden van een pandemie.
Als je anoniem testen toe zou staan dan zou dat geheid misbruikt worden door “wappies” om de statistieken fe vervuilen.

Geen optie als je het mij vraagt.
Dit informatie kan ook offline, in een vaccinatie/test-boekje bijvoorbeeld.
Je zou bijvoorbeeld ook met een digitaal medisch paspoort kunnen werken, ik bedenk het zo even; don't shoot me on the details. Je kunt op je iPhone bijvoorbeeld medische documenten laden. Je hebt overigens ook gewoon je LSP-medisch dossier.

Door die puinhoop bij de GGD, merk ik dat ik me voorlopig niet hoef te testen daar. Ik vind dat er in de publieke opinie (heel verrassend) maar weinig tumult is terwijl hele persoonlijkheden op straat liggen.
Waarschijnlijk omdat je als GGD anonieme mensen niet kunt bereiken als ze positief getest zijn.

Daarnaast kun je als je registreert wie zich laat testen vaststellen dat/of er mensen zijn die het systeem misbruiken. Zoals wekelijk testen met de vriendengroep en als ze negatief zijn lekker tegen alle maatregelen in gaan feestten 'want we zijn toch negatief' maar waardoor er wel wachtrijen ontstaan/ontstonden voor mensen die zich wel écht moesten laten testen.
eigenlijk is dat helemaal niet nodig, omdat je officeel een meldplicht hebt bij je huisarts als je positief getest bent. dus je zou anoniem kunnen testen en de huisarts zou dan een bel verzoek kunnen inplannen voor je.

en zo kan dan 1 tak uitgebeld worden.

de opgelopen locaties kunnen ze dan alsnog registeren. bijvoorbeeld basisschool x, basisschool x, basisschool x

he wacht is, er is een haard gevonden. laten we de organisatie inlichten.

doel bereikt.
Dat doen ze dus niet. De meesten weten niet eens van de meldplicht af, laat staan dat ze überhaupt de huisarts bellen. Verder zijn, zoals ik al eerder heb gezegd, veel positief geteste mensen die niet in thuis quarantaine zitten, maar gewoon buiten lopen en boodschappen doen alsof er niks aan de hand is. Laatst was het ook al in het nieuws dat ze vanwege het Britse variant in Bergschenhoek heel veel mensen een brief hadden gestuurd. Er blijft altijd een x percentage die zich niet wil laten testen en niet in corona geloofd.
Dat is toch ook al bekend? Ze gebruiken het voor bron- en contactonderzoek (wat in de eerste instantie al gedoemd was tot falen). Iedereen die besmet is of in een land is geweest waar veel corona besmettingen zijn hoort verplicht in quarantaine. Hier is het allemaal erg vrijwillig en er waren al onderzoeken geweest waarbij als resultaat naar voren kwam dat ruim 70% zich daar niet aan hield. Maar goed, dat is even off topic.
Je bent kennelijk niet op de hoogte van wet en regelgeving mbt medische vastlegging. Wettelijk kan je geen anonieme test laten doen.
Gek toch eigenlijk? Zeker omdat we niet weten wat er nu en later met deze informatie zal gebeuren?
Geef de burgers zelf de keus; Testen zonder of met registratie.

De burgers die geen registratie willen hebben doen nu geen test. En geloof me. De zijn er voldoende.
Ik zou graag wel willen weten als ik op m'n werk besmet ben geraakt door een collega als je het niet erg vind. En als je dat wel erg vind, laat je je toch niet testen?
Als je je anoniem kon laten testen dan kon je toch ook achterhalen of je wel of niet besmet bent geraakt op je werk via je collega?

Je collega hoeft sowieso niets tegen jou of je werkgever te zeggen, dat doet ie vrijwillig, niet vanwege een of andere registratie .

Waarom zou de wet anonieme tests of anonieme medische handelingen verbieden? Is dat echt verboden? Verboden om administratief medewerkers en websitebeveiligers een baan te garanderen of ook om een nuttige reden?
Had dit niet aan de Tweede Kamer gemeld moeten worden?
Klinkt als weer tijd voor een spoeddebat.
Het valt me echt op dat de media vooral negatief schrijven over VWS/GGD GHOR NL/GGD. Op zich is het deels terecht, het kan ook beter, maar hiermee creëer je wel een heel eenzijdig beeld en mist context. Deze ‘heksenjacht’ helpt niet echt mee aan de gezamenlijke strijd tegen deze pandemie. Jammer. Ik weet hoe hard veel mensen werken daar.
Dat er hard gewerkt wordt is leuk, maar blijkbaar niet genoeg.
Nadat mijn gegevens waarschijnlijk bij de eerste hack al op straat zijn komen liggen, komt deze fout er nog eens bovenop.

En dan heb ik de komende maanden nog een flinke reeks verplichte testen (werk gerelateerd) te gaan, waarbij ik mijn hart vasthoud of dat nu wel goed gaat komen qua mijn gegevens.

Met andere woorden, hard werken is leuk, maar heel veel vertrouwen schept het niet
Volgens mij is er nog steeds niks gehackt. Die gegevens die verhandeld werden kwamen door malafide medewerkers, dat is geen hack. Dat het systeem exporteren mogelijk maakt wil nog steeds niet zeggen dat het gehackt is
Wat is er nu eigenlijk echt aan de hand? Als ik de kamerbrief lees niet heel veel. Uit de audit van Logius komen twee punten naar voren waaraan de implementatie van DigiD niet voldoet. Er wordt ruimte gegeven om deze punten alsnog op te lossen. Als het ernstige punten waren dan was de conclusie van de audit wel anders geweest.

Paniek en angst zaaien is in deze tijd de norm van veel media lijkt het. En door....
Er is nog niet zoveel aan de hand. Simpel gezegd heeft de GGD niet de audit gehaald. Dat resultaat gaat naar Logius en die geeft per norm aan hoeveel tijd je hebt om het te fixen. In dit geval heeft de GGD dus niet binnen de gestelde tijd het kunnen fixen. Logius kijkt dan naar afsluiting van de DigiD koppeling tot het gefixt is, maar zal hier altijd voorzichtig mee zijn en kijken naar het belang van de site. In dit geval erg groot, want zonder deze site zal de GGD veel moeite hebben om de tests goed te plannen.
Logius geeft zelf ook aan dat er niet zoveel aan de hand is.

Het is vooral makkelijk scoren in de media met alle aandacht op de GGD. Gezien 99% van NL toch niet weet hoe dit in elkaar steekt ben ik benieuwd naar hoeveel schade dit gaat aanrichten. Hoeveel niet goed geinformeerde mensen gaan nu Coronatest.nl (en de uiteindelijke test) mijden door zo'n bericht?
Jouw gegevens liggen niet op straat. Ten eerste ben je daar te gewoon voor en ten tweede is het angstzaaien vanuit de media. Ook dit bericht van de NOS is ontzettend overtrokken qua security implicaties.

Als het namelijk echt niet goed was had er namelijk nooit een DigID koppeling geweest. Bij de eerste pentest was dit dan aan het ligt gekomen en had men de koppeling niet laten leggen. Wat de GGD nu dan ook zegt over tijdig opleveren is geheel binnen logische verwachting.
Nu weet ik niet hoeveel gegevens de betreffende personen gestolen hebben, maar daar kan ik absoluut wel tussen staan, ondanks het feit dat ik te gewoon zou zijn.
Ook bij gewone, en misschien juist wel, mensen is de communicatie bsn en adres gegevens redelijk waardevol.

En als het ministerie nu dreigt de DigiD koppeling te verwijderen, laat zien dat het wel iets verder gaat dan een overtrokken NOS reactie.
Als je wel een BSN hebt wordt dat gewoon aangevuld op basis van je andere gegevens. Onnodig informatie achterhouden bezorgt de mensen bij de GGD dus alleen maar meer werk. Als je getest word, zul je gewoon geidentificeert moeten worden. Dat is gewoon een check of je wel de juiste persoon bent, zodat niet bijvoorbeeld een andere Jan Smit positief gemeld wordt.

De overheid weet al lang je BSN. En verder is er ook niet te wapenen tegen kwaadwilligheid van (VoG gescreende) medewerkers. Er werken mensen in de zorg, die werken ook met jouw gegevens, en bij de belasting dienst, UWV, Justitie etc. Je vertrouw eigenlijk dagelijks op de goedheid van deze mensen om niet jouw medisch dossier te lekken bv.

Het grotere probleem is hoeveel waarde gehecht wordt aan het BSN nummer, dat zou niet meer moeten zijn dan een code die een persoon identificieert, niet een sleutel tot allerlei sociale voorzieningen. Als dit opgelost wordt heeft het BSN gelijk ook geen waarde meer voor criminelen.

[Reactie gewijzigd door Burning op 9 februari 2021 22:47]

Terechte reactie, waarvoor dank.
Wordt het niet tijd om mensen strafrechtelijk te gaan vervolgen voor dit wanbestuur?
Veel succes met het proberen te bewijzen dat een technisch mankement van een website het resultaat is van wanbestuur. Rechters strooien niet met veroordelingen op dat vlak, en al helemaal niet als het o.b.v. een hooguit erg indirect verhaal zou moeten.
In het geval van de problemen met het lekken van miljoenen persoonsgegevens heeft GGD directeur en ex-lijsttrekker van de ChristenUnie toegegeven vanaf maart 2020 op de hoogte zijn van het gigantische beveiligingsprobleem. Wat heeft hij er aan gedaan? Niks. Wie heeft hij gewaarschuwd? Niemand. Zo'n iemand moet op zijn minst worden vervolgd (en veroordeeld) voor wanbestuur, zodat hij bij een eventueel ontslag of vrijwillig vertrek niet zomaar elders aan de slag kan als bestuurder. Opstappen en ergens anders een baantje toegeworpen krijgen voor een nog hoger salaris moet niet de beloning zijn voor dit soort figuren.
In het geval van de problemen met het lekken van miljoenen persoonsgegevens heeft GGD directeur en ex-lijsttrekker van de ChristenUnie toegegeven vanaf maart 2020 op de hoogte zijn van het gigantische beveiligingsprobleem. Wat heeft hij er aan gedaan? Niks. Wie heeft hij gewaarschuwd? Niemand.
Kun je dit soort uitspraken bewijzen? Ik vermoed namelijk dat de betreffende bestuurder zijn verhaal al klaar heeft. En wat dingen in de media (of op Internet) roepen is wat anders dan bewijs leveren in een rechtszaak.
Ambtenaren kunnen alleen vervolgd worden voor activiteiten die óók buiten de overheid plaatsvinden (zie Pikmeerarrrest I en II).

Daarnaast: de man heeft theologie gestudeerd, heeft dus geen enkele feeling met ICT of met de kerntaken van de GGD's.
Je zou dus net zo goed de mensen die hem daar hebben aangenomen aansprakelijk kunnen houden voor de slechte bestuurskwaliteit.
Dat hij ex-lijsttrekker is van de ChristenUnie is, is irrelevant.
Valt te bewijzen dat hij vanaf maart 2020 al op de hoogte was? Dat is namelijk wel relevant. Dan is het een moedwillige keuze geweest niet te handelen bij een (dreigend) beveiligingslek, of tenminste geen adequate maatregelen te nemen om de beveiliging en rapportage op orde te hebben (terwijl daarvoor wel was gewaarschuwd volgens de reportage van RTL-nieuws).
Dat is wanbestuur, mijns inziens.
Wordt het niet tijd om mensen strafrechtelijk te gaan vervolgen voor dit wanbestuur?
Dan heb je een minister dat opstapt, er komt een volgende en je hebt het gezeik weer van voor af aan. Je schiet er echt geen donder mee op. Kijk maar naar het huidige kabinet. 95% van de zelfde poppetjes zitten er gewoon weer na de verkiezingen.

[Reactie gewijzigd door Luchtbakker op 9 februari 2021 20:46]

Waar schiet je dan wel wat mee op? Niks doen en alles laten gebeuren? Daar schiet je nog minder mee op.
De kern aanpakken van het probleem: de mensen in de managementlagen hebben niet de juiste kennis om dit soort projecten te sturen.

Ik ben benieuwd of het toekomstige ministerie van ICT daar verandering in gaat brengen (al verwacht ik zelf van niet)

[Reactie gewijzigd door Martinspire op 10 februari 2021 09:52]

Dan moet je wel bewijs hebben en dat is er niet. Het catshuisoverleg gebeurt niet voor niets fysiek, dan zijn er geen notulen/opnames. Je zag het ook bij de toeslagenaffaire, niets staat op papier en als het wel op papier staat is het weggelaten. Eindeloos getraineer zorgt dat de aandacht verslapt en het gewoon overwaait. Tien jaar ongekend onrecht en het debat er over vind niet eens plaats voor de verkiezingen.

[Reactie gewijzigd door jip_86 op 9 februari 2021 21:39]

Of voor het lekken van vertrouwelijke stukken in een ruzie tussen departementen ?
Heb je al eens gehoord van het pikmeer arrest? Dat weet je waarom dat niet kan.
Zeker heb ik daar van gehoord, maar ik zou er dan ook voor pleiten om de hoge raad zich opnieuw te laten buigen over bestuursleden in het bijzonder. Er komt anders geen einde aan de reeks puinhopen die incompetente bestuurders achterlaten terwijl ze van het ene baantje naar het volgende baantje gaan.
Inderdaad, daar komt geen eind aan. Dat was zo, dat is zo, en dat blijft zo. Het is van alle tijden.
Er zijn teveel mensen die niet niks weten en niks kunnen, en dan is de overheid een interessante werkgever omdat je dan alsnog een redelijke goede carriere kan maken en een goed salaris krijg.
Het is natuurlijk niet goed dat niet aan alle eisen worden voldaan, alleen maakt de NOS het probleem veel groter dan dat het is. Het is absoluut niet zo dat gegevens nu op straat liggen en er een lek is. Heb zelf in het verleden bij een organisatie gewerkt die dit soort tests onafhankelijk uitvoeren, als eis om Digid te kunnen gebruiken. Alle instanties die Digid gebruiken moeten een dergelijke test hebben ondergaan en periodiek laten hertesten. En meestal is na de eerste test een hoop mis en moeten er bepaalde zaken aangepast worden. Het is kwalijk dat ontwikkelaars nog steeds niet de dergelijke normen kennen en gelijk implementeren.

Edit: ook nog even een voorbeeld gezocht, zodat iedereen een beeld kan vormen hoe een dergelijk rapport eruit ziet, in dit geval van gemeente Haarlem in 2017 (voldeden ook niet...)

https://www.google.com/ur...Vaw3L_xHHd7q0cWcjhYlz6gPs

[Reactie gewijzigd door lucatoni op 9 februari 2021 20:54]

Het probleem en de ophef is niet eens zozeer dat er problemen zijn direct na de implementatie (alhoewel dit zeker voorkomen had kunnen en moeten worden). Het probleem is dat er een jaar later nog geen kloot aan is verbeterd en niemand verantwoordelijk hoeft te nemen door ontslagen te worden of door strafrechtelijk vervolgt te worden.
Jaar? De site is pas na de zomer live gegaan
Dat assessment dateert niet van een jaar geleden he.... Vermoedelijk 2/3 maanden uit. Het is ook idioot dat je ontslagen wilt zien bij een aantal normen die niet zijn behaald. Dan mag je veel ontslaan, want het is een uitzondering dat je na de 1e test alles volledig hebt geïmplementeerd.
Ik denk sowieso dat je hun op basis hiervan niet strafrechtelijk kan vervolgen. Voor het niet goed naleven van de regels voor de AVG (privacy gevoelige data) kun je hooguit een boete krijgen. Verder zijn de regels vooral ICT gerelateerde processen waaraan voldaan moet worden. Ze hebben gewoon niet de juiste mensen in dienst die het constant monitoren en loggen en de website kunnen onderhouden. De beveiligingseisen zijn tegenwoordig zo standaard dat het out-of-the box werkt als je zo'n site uitrolt.
Ik denk sowieso dat je hun op basis hiervan niet strafrechtelijk kan vervolgen. Voor het niet goed naleven van de regels voor de AVG (privacy gevoelige data) kun je hooguit een boete krijgen.
Artikel 84 van de AVG/GDPR staat gewoon toe dat een lidstaat regels opstelt om andere aanvullende sancties op te kunnen leggen bij overtredingen van de verordening. Geen idee of Nederland dat ook gedaan heeft, maar de mogelijkheid is er wel.
Een jaar later? Dit portaal is pas in oktober of November live gegaan.
Het is kwalijk dat ontwikkelaars nog steeds niet de dergelijke normen kennen en gelijk implementeren.
Het is vooral kwalijk dat managers en contracters in hun bid niet genoeg tijd/geld inruimen voor zulke implementaties.
Voor wat het waard is, ik heb ook eens DigiD moeten ondersteunen in de front-end van een applicatie bij een bank en daarvan was 1 van de richtlijnen dat de landingspagina in IE8 te gebruiken moest zijn. Bij de bank was iets eerder dat jaar IE11 al uitgefaseerd omdat men die niet veilig genoeg meer achtte.

Dus niet alle richtlijnen voor zo'n site zijn vanwege gebrek aan beveiliging en dergelijke, er zitten ook van dit soort eisen aan die zelfs eerder onveilig zijn en voor een bedrijf vaak lastig te testen omdat er geen machines meer met die browsers beschikbaar zijn (want een geëmuleerde browser is natuurlijk niet hetzelfde)
Alle richtlijnen zijn gebaseerd op de best practice normen van het NCSC voor een veilige web applicatie. Een norm dat iets in een bepaalde browser moet werken bestaat niet. Het zijn allemaal minimale standaarden (bijv. tenminste TLS 1.2), waarbij afwijken in positieve zin niet tot een negatief oordeel kan leiden.
Het normenkader (20 normen) kan je in de comments hierboven op de site van NOREA checken. Daar heeft sinds de introductie van het kader nooit iets in gestaan over het ondersteunen van een bepaalde versie.
Naast de beveiligingsnorm zijn er aansluiteisen waar aan voldaan zal moeten worden. Die gaan bijvoorbeeld over deeplinks of de schrijfwijze van DigiD. Daar is ook de browserondersteuning opgenomen.

https://logius.nl/dienste...ie/digid-checklist-testen
Daar is ook de browserondersteuning opgenomen
Maar daar wordt enkel gesteld dat 95% van de meestgebruikte versies van browsers ondersteund moeten zijn. (Met een link naar het hilarisch achter de zaken aan klossende w3schools er bij nog wel. Wow; chapeau voor die misser, Logius...)

Dus IE 8 'moeten' ondersteunen slaat dan nog steeds als een tang op een varken, want die viel in de tijd dat IE 11 al afgerangeerd werd, al lang en breed niet meer binnen die groep browsers.
Dat andere organisaties ook aan de eisen moeten voldoen en dat niet altijd zijn wil ook niet zeggen dat er weinig aan de hand is. Dat hangt toch echt van de omstandigheden af, zoals aan welke eisen het niet voldoet en wat er voor zorgt dat (net) niet aan de eis kan worden voldaan. De eisen zijn er niet om te stellen dat als je er niet aan voldoet er weinig aan de hand is. Er is dan in ieder geval al te veel aan de hand.
Ik heb je een voorbeeld rapport gedeels, en ook in de introductie van tweakers staan een aantal normen, bv dat je periodiek pen tests uitvoert of dat je de wachtwoorden van niet persoonlijke accounts in een kluis opslaat. Andere mitigerende maatregelen tellen niet (groot verschil of de applicatie van buitenaf te benaderen is). Over het algemeen is het niet zo dat de conclusie is, je site is lek en gegevens zijn niet meer veilig.
Er zijn veel eisen en daar zitten ook eisen bij over goed gescheiden hebben van netwerken, veilige logging en tijdig installeren van patches tegen bijvoorbeeld grote beveiligingsproblemen.

Dan kan je daarnaast uiteraard de voorbeelden noemen waarbij het niet voldoen aan een eis misschien mee zou kunnen vallen. Of verwijzen naar andere situaties waarbij het volgens jou over het algemeen nog wel veilig zou zijn geweest.

Maar we weten niets over de situatie. En dan lijkt het me niet gepast om er maar vanuit te gaan dat het wel mee valt.

Daarbij lees ik niet dat er nu beweringen worden gedaan alsof het te ernstig is. Door te stellen dat het niet aan diverse eisen voldoet is op zich al ernstig genoeg als je bedenkt dat die eisen er niet voor niets zijn. Uiteindelijk kan alleen uit voldoende inzage blijken of het wel mee valt of nog minder was dan nu het nieuws is.
Waarom heeft het kabinet geen expert ict team dat kundig genoeg is om voor iets online gaat te keuren ???
Dit is ook wel heel snel uit de grond gestampt. Maar eigenlijk zou ik ook niet willen dat iets live komt als het nog niet af is.
Er schijnt een crisis te zijn. 1 van de redenen dat alles zo langzaam gaat en er niet voldoende personeel is, zijn juist al deze voorwaarden en certificeringen (van personeel en websites). Dat is prima (of zelfs heel goed ter voorkoming van kleine fouten) als er geen crisis is, maar als er bommen vallen en de dijken breken moeten we bij het opereren en zandvervoer niet zeuren over diploma's en milieuvergunningen. Vind je van wel? Dan is er ook geen crisis en kunnen de standaardregels worden nageleefd en dus ook alle spoedmaatregelen worden ingetrokken.
Niet helemaal. Voorwaarden, regels, wetten en certificeringen zijn er om de veiligheid te waarborgen en structuur te bieden, je kan ze niet compleet laten vallen omdat de dijk breekt. Die regels voorkomen namelijk nu dat de wetgeving kan zeggen: "Agent, als er eentje na 21u en voor 4:30u buiten loopt zonder geldige reden, mag je raak schieten.". Ja, het blokkeert soms ook het direct sturen, maar anders kan de overheid alles zomaar veranderen ongeacht de situatie, en dat is ook niet wat we willen.

Gelukkig is onze wetgeving zo ingericht dat we voor veel dingen niet eens hoeven te wachten op de wet. Als de overheid je oproept mondkapjes te dragen, hoef je niet te wachten tot een wet je verplicht. Als de overheid je oproept om na 21u niet meer buiten te zijn, hoef je niet te wachten tot dat een wet dat zegt. Deze wetten zijn er namelijk alleen om mensen die niet willen alsnog te kunnen sturen.

In onze crisis zijn de gebroken dijken inmiddels professorisch gestuct, het water komt er nog wel doorheen, maar niet meteen iets wat de hozers (de zorgmedewerkers) niet kunnen handelen. Het eerste zand waarmee dat gebeurde voldeed misschien niet aan de milieuwetten, maar de regel is wel dat daarna heel gauw te repareren. Het nieuwe, wel aan de wetten getoetste zand zijn de vaccins. Die moeten wel degelijk goed vervoerd worden en niet met een vrachtwagentje van de lokale frikandellenboer. Al was het maar omdat ze anders onbruikbaar worden.

Zoals ik al zei: Ik heb liever niet dat iets live komt als het nog niet af is, maar in dit geval kun je stellen dat er haast bij was. Dat betekent niet zomaar dat ze ontslagen worden van de wet gedurende de crisis, maar dat ze wel heel gauw alles alsnog op orde hebben.

Ik hoop alleen dat de infrastructuur snel in orde is en dat deze ook onderhouden wordt na de coronacrisis, zodat het herbruikbaar is. zodat de volgende keer (weer zo'n mogelijke regel) heel snel in te zetten is zonder dat we regels overtreden.
En maar met prefered partners blijven werken, die elke keer weer rotzooi leveren.
Onbegrijpelijk dat ze durven te spreken van "tijdige oplevering", dit had natuurlijk in eerste instantie al goed geregeld moeten zijn.. Er zijn in de gezondheidszorg genoeg partijen die wel betrouwbare en veilige systemen leveren, waarom moet het wiel nou toch weer opnieuw uitgevonden worden?
Het vreemde vind ik vooral dat als excuus de noodzaak gebruikt wordt. Zo'n systeem is in een paar dagen te schrijven door een team van professionals voor onder de 250-500k. Dan kun je zeggen van ja maar dan is het niet goed getest of kun je niet zeker weten dat het veilig is, maar alle verschillende versies van websites die verplicht gebruikt worden voor corona die we nu gezien hebben zitten ook vol met bugs en zijn zo lek als een mandje.

Ik krijg steeds meer het idee dat dit soort situaties gewoon gebruikt worden als reden om een vriendschappelijke partij een hoop geld toe te schuiven..
Je kan best zeggen dat het snel gebouwd moest worden en het dus niet meteen veilig was. Maar dit lijkt weer zo'n typisch gevalletje "maak het en dan staat het er dus dan gaan we verder met iets anders." Dat is meestal een manager dingetje. Dan lever je als projectteam onder haast een product af dat functioneel is, maar nog niet af is. Dan bespreek je dat en wat er nog moet gebeuren, dan wordt er wat ja geknikt en geroepen "ja, gaan we zeker doen" en vervolgens gebeurt dat nooit.

Die tweede fase waarin je je haastige werk opschoont en wel laat voldoen aan de eisen terwijl de noodoplossing zijn werk doet, dat schiet er vaak bij in bij managers die van toeters noch bellen weten. Die denken alleen maar "mooi, af! Iedereen trots op hoe snel we het weer voor elkaar hebben!"

[Reactie gewijzigd door Aiii op 9 februari 2021 21:03]

Iedereen die wat langer gedetacheerd is, en software ontwikkelt kent de term wel: "het is af maar nog niet klaar".
Dat heeft idd. niks met de kwaliteit van de ontwikkelaars te maken, maar met management/budget prioritering te maken. En is verschrikkelijk frustrerend.
Prototypen ftw. =)
Als ik bij de GGD in de IT zou werken zou ik me inmiddels compleet kapot schamen, en z.s.m. een andere baan zoeken. Ik zou hier niet verantwoordelijk voor willen zijn.
Lijkt me ook geweldig staan op je C.V. 'Ik zie dat je in de periode 2020-2021 bij de GGD hebt gewerkt. Dat was toch tijdens de Coronacrisis?'

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee