Datalek bij UWV-site voor werkzoekenden, gebruiker heeft 150.000 cv&#039;s ingezien

Economie en maatschappij
Nederland
Datalek

10 mei 2024 18:28

Dit moet haast wel met kwaadaardige opzet zijn, 150.000 CVs download je immers niet per ongeluk.

Mooi dat ze weten wie het is, dan kan de politie hem in ieder geval eenvoudig oppakken en het OM hem strafrechtelijk vervolgen. Hopelijk gebeurt dat ook stevig.

En te hopen dat de slachtoffers er geen last van krijgen, als er dingen in staan die identiteitsfraude mogelijk maken bijvoorbeeld, zoals BSN nummers etc.

Je gaat je dan wel afvragen hoe het kan dat iemand op deze schaal dit soort zaken in deze getallen kan downloaden...

Calypso @wildhagen • 10 mei 2024 19:04

De ervaring met zo'n lek bij het UWV (waarvan ik slachtoffer was), ongeveer hetzelfde een aantal jaar geleden, leert dat ze er helemaal niets mee deden, dat je een mailtje kreeg wat er eigenlijk amper over ging, maar waarin op het eind duidelijk werd dat er een incident geweest was, en voor zover bekend heeft dat toen enkel geleidt tot een "foei niet meer doen" houding tegen de betrokken werkgever.

Naar mij toe merkte ik dat vanaf dat moment op het gebruikte mailadres er veel meer spam binnenkwam, met af en toe persoonlijke zaken erin. Er is dus in mijn ogen wel degelijk "iets kwaadaardigs" met die data van toen gebeurd. Bovendien was het kwalijke dat mijn CV inzichtelijk was (had niet gemogen; stond verborgen omdat toen verwijderen "nog niet mogelijk was" volgens het UWV) en dat er ook persoonsgegevens in stonden die ik er eigenlijk niet in wilde zetten, maar die moesten van de betrokken UWV ambtenaar ("Anders rest mij niets anders dan melding te maken van uw onwil om een goed CV te verstrekken, en dit zal waarschijnlijk leiden tot korting op uw uitkering").

Op de gang van zaken rondom dat lek heb ik een aantal maal geprobeerd in contact te komen met het UWV, maar ze hebben nooit terug gereageert naar mij. Ook contact gezocht met de Autoriteit Persoonsgegevens en die hebben na 1,5 jaar laten weten dat ze "weinig met de melding konden" (terwijl het nota bene volop in het nieuws geweest was).

Heb ik er vertrouwen in dat het UWV nu met dit incident beter om zal gaan? Echt niet...

Toevoeging: het ging om een incident wat precies 5 jaar geleden (begin mei 2019) naar buiten kwam waarbij 117.000 CVs gedownload zijn; dat was toen een kwart van het totale bestand van het UWV... Sarcastisch dat nu, 5 jaar na dat moment, ze bijna eenzelfde persverklaring moeten geven...

[Reactie gewijzigd door Calypso op 22 juli 2024 16:27]

Blokker_1999

Economie en maatschappij
Datalek
Nederland

@Calypso • 10 mei 2024 19:33

Maar wat wens je dan dat ze er mee doen?

We kennen ook geen details, niet van het lek 5 jaar terug, niet van het lek vandaag. Het kan goed zijn dat het lek van 5 jaar terug wel degelijk voor aanpassingen heeft gezorgd in heel wat systemen maar dat er ondertussen een nieuw lek is ontstaan dat nu misbruikt is.

En uiteraard download je geen 150k CVs om er niets mee te doen. Die data dient om verkocht te worden, en spam is daaruit een gevolg. Daarom ook dat ik niet langer 1 enkel email adres heb. Mijn huidige mailbox heeft meer dan 400+ email adressen zodat ik zonder probleem een lek kan identificeren en een gelekt adres kan blokkeren.

Calypso @Blokker_1999 • 10 mei 2024 19:50

Wat ik wens dat ze er mee doen? Licht gebruikers goed in. En als dat in eerste instantie niet gelukt is, om wat voor reden dan ook, doe het dan als er naar gevraagd wordt beter. Dus niet, zoals bij mij, helemaal niets meer laten horen.

Verder: leer ervan. Als ik nu naar het bericht kijk dan is het stuitend dat het bijna op de dag af 5 jaar geleden eenzelfde situatie was. Toen werd er gezegd dat er maatregelen getroffen waren dat het niet meer voor kon komen. Toen: 115000 CVs gedownload. Nu: 150000 CVs gedownload. Hoe kan het om dit soort aantallen gaan, dat moet gewoon onmogelijk zijn. Zeker als blijkt dat het nog niet eens om een werknemer van het UWV gaat - dat maakt het alleen maar schrijnender.

RT-Fan @Calypso • 14 mei 2024 21:20

De berichtgeving:

"Afgelopen vrijdag hebben we bekendgemaakt dat er via een account op werk.nl 150.000 cv’s zijn bekeken en mogelijk gedownload. Uw cv zat hierbij.

Wat er is gebeurd
Een opvallend hoog aantal cv’s is bekeken en mogelijk gedownload. In een groot deel van de cv’s, waaronder het uwe, stond persoonlijke informatie. We betreuren dat dit incident heeft plaatsgevonden.

Om welke gegevens het gaat
Het gaat mogelijk om deze persoonsgegevens: voornaam, achternaam, geslacht, geboortedatum, adres, postcode, woonplaats, e-mailadres en telefoonnummer.

Wat betekent dat voor u
Er kan misbruik worden gemaakt van uw gegevens. Bijvoorbeeld voor fraude of oplichting. Let daarom goed op als iemand u belt of mailt die zich voordoet als een medewerker van UWV of een andere organisatie. Wij vragen u aan de telefoon nooit om betaalgegevens. Geef deze dus nooit. Ook niet als erom wordt gevraagd. Uw gegevens kunnen ook worden gebruikt voor spam of phishing. Wees de komende tijd dus extra alert.

Hoe gaat het nu verder
We vinden het belangrijk dat uw gegevens bij ons in goede handen zijn. We hebben het account van de gebruiker die de cv’s heeft bekeken direct afgesloten. Ook hebben we een melding gedaan bij de Autoriteit Persoonsgegevens en zijn we bezig met een aangifte. Verder onderzoeken we hoe we uw gegevens in de toekomst beter kunnen beschermen.

Heeft u nog vragen?
Lees meer over UWV en uw privacy en over het melden van een datalek op uwv.nl/privacy. Informatie over de bescherming van uw persoonsgegevens vindt u op de site van de Autoriteit Persoonsgegevens. Wilt u meer weten over spam en phishing en hoe u dit kunt herkennen? Kijk dan op fraudehelpdesk.nl."

Onacceptabel dat dit gebeurd is. De inhoud van het bericht is voornamelijk gericht op de stappen welke zij (leed is al geschiedt járen geleden en dan nu wéderom!) genomen hebben, eerder dan het begrip welke grote nadelen dit voor burgers heeft. Schending van privacy op grote schaal. Dan spreken van "we waarborgen uw privacy". Dat is gewoon niet waar. Deze hele aanpak is onacceptabel.

Calypso @RT-Fan • 15 mei 2024 07:48

Ach, het is in elk geval iets van een verbetering ten opzichte van de mail van 5 jaar geleden; toen werd bijvoorbeeld ruim 115.000 nog gedownplayed als "meerdere" en was het een aardig korte mail:

Geachte heer/mevrouw,

UWV vindt het belangrijk dat uw gegevens in goede handen zijn. Onlangs zijn er via werk.nl meerdere CV’s gedownload, zo ook uw CV. De CV’s zijn gedownload op een manier die afwijkt van andere werkgeversaccounts. Het gaat in deze situatie om een ongebruikelijk hoog aantal CV’s die op geautomatiseerde wijze zijn gedownload. Het kan daarom voorkomen dat uw gegevens bijvoorbeeld gebruikt worden voor spam en/of phishingmails. Staan er contactgegevens in uw CV? Wees de komende tijd dan extra alert en voorkom dat u slachtoffer wordt van internetcriminaliteit.

Wilt u meer weten over spam en/ of phishingmails en hoe u deze kan herkennen? Kijk dan op de site van fraudehelpdesk.nl.

Heeft u vragen? Log dan in op werk.nl en stuur uw vraag via de Werkmap.
Wij beantwoorden uw vraag zo snel mogelijk.

Met vriendelijke groet,
Team werk.nl

Overigens uit de "nieuwe" mail blijkt dus dat het wel degelijk ging om iemand met een account, dus niet, zoals hier soms gesuggereerd werd, door een normale bezoeker zonder account, en het lijkt me ook niet dat het om een werkzoekende ging - diens account mogen ze niet zomaar dichtzetten volgens mij.

[Reactie gewijzigd door Calypso op 22 juli 2024 16:27]

RT-Fan @Calypso • 17 mei 2024 23:04

Haha ja u heeft wel gelijk hoor... het is beter dan jaren terug maar ze zijn nog steeds zo traag als.......

Nog steeds best downplayend bericht moet ik zeggen en voornamelijk over wat ZIJ gedaan hebben om het op te lossen maar de burgers hen gegevens zijn gewoon on the loose....

We gaan het beleven.

Ik denk overigens wel dat het UWV woorden mooi weet te brengen en dat het om een hack gaat. Ze willen mensen niet ongerust maken. Ik denk echt dat ze gewoon veel meer te verbergen hebben dan zij zich voordoen.... maar dat is gevoel... aanname....

djiwie @Blokker_1999 • 10 mei 2024 21:08

Een simpele rate limit lijkt me wel het minste, zeker als dit vijf jaar eerder ook al misging? Leuk dat het nu after the fact gemonitord wordt, maar hoe kan dit überhaupt met zulke aantallen gebeuren?

TheMaster004 @djiwie • 12 mei 2024 20:40

Volledig mee eens, hoeveel cv’s zal een ijverige uwv medewerker dagelijks inzie ? 10-100? Lekker rate limit van 100 per dag implementeren, dan heb je een heel ander persbericht als wanneer zoiets weer gebeurt.

[Reactie gewijzigd door TheMaster004 op 22 juli 2024 16:27]

TheDudez @Blokker_1999 • 11 mei 2024 07:41

Het zou uberhaupt niet mogelijk moeten zijn dat je zoveel cv kan downloaden. Het zal wel weer slecht geregeld zijn zoals altijd bij overheids instanties.

HuisRocker @Blokker_1999 • 11 mei 2024 15:23

Maar wat wens je dan dat ze er mee doen?

Komaan zeg... Het maakt sowieso helemaal niets uit 'wat je van het UWV wenst', de eerste keer dat ze iets WEL goed doen zou pas echt nieuwswaardig zijn!

We kennen ook geen details, niet van het lek 5 jaar terug, niet van het lek vandaag.

Leugens! We weten vanalles, onder andere dat er zowel toen als nu nog steeds geen limiet op de hoeveelheid verkrijgbare info zit (!), dat jij het blijkbaar allemaal niet WIL weten is iets heel anders.

Het kan goed zijn dat het lek van 5 jaar terug wel degelijk voor aanpassingen heeft gezorgd in heel wat systemen maar dat er ondertussen een nieuw lek is ontstaan dat nu misbruikt is.

Wat hebben de vele duizenden getroffenen aan je 'giswerk vanuit enkel positief standpunt' als het UWV in de praktijk telkens enkel tot opzichtig falen in staat blijkt?

En uiteraard download je geen 150k CVs om er niets mee te doen. Die data dient om verkocht te worden, en spam is daaruit een gevolg. Daarom ook dat ik niet langer 1 enkel email adres heb. Mijn huidige mailbox heeft meer dan 400+ email adressen zodat ik zonder probleem een lek kan identificeren en een gelekt adres kan blokkeren.

Verwacht je serieus van iedereen dat ze 400+ email adressen gaan gebruiken?
Nogmaals; komaan zeg...

Opzichtig telkens weer groots falen, van het UWV of anderen, dient eindelijk eens serieus aangepakt te worden in plaats van tot in het belachelijke goedgepraat. In tegenstelling tot je insinuaties is het voor betrokkenen echt niet mogelijk om eigenhandig telkens alles recht te zetten wat het UWV keer op keer kapot weet te maken!

RT-Fan @HuisRocker • 14 mei 2024 21:21

1000% feiten. Helemaal met u eens!

crazyboy01 @Calypso • 10 mei 2024 22:03

Voor de slachtoffers is het misschien bijna hetzelfde, maar achter de schermen vind ik deze zaak een behoorlijk stuk kwalijker. De vorige keer is het namelijk gebeurd via het account van een werkgever. Die hebben die rechten gewoon, by design, dus daar is in de basis niets mis. Je ziet natuurlijk dat zo'n account dan ook misbruikt kan worden - al dan niet door de gebruiker zelf of een indringer, dus dat bewijst dat die vrijheid op grote schaal niet handig is.

Maar toch is dat een ander verhaal. Dit gaat om een normale gebruiker die alles kon in zien terwijl die daar helemaal niet bij hoort te kunnen. Dat is toch echt nog veel meer niet de bedoeling lijkt mij. Dat is een serieuze fout en kwetsbaarheid in het systeem, anders dan een lek op accountniveau.

Calypso @crazyboy01 • 11 mei 2024 07:37

Als je, net als ik, op een andere manier kijkt is de overeenkomst wel degelijk stuitend.

In beide gevallen is er in relatief korte tijd door 1 entiteit (of dat nu lokatie/account/wat dan ook is) een enorme hoeveelheid CVs bekeken/gedownload. Ik kan geen normale toepassing bedenken waarop een entiteit via de normale weg 100.000+ CVs gaat doorspitten, zeker in zo'n beperkte tijd. Dat moet dus wel een vorm van oneigenlijk gebruik zijn en daar moet je als UWV maatregelen tegen nemen.

Het is namelijk in mijn beleving zo dat je per definitie rekening moet houden met een fout ergens waardoor iemand oneigenlijk gebruik probeert te maken van je database. Dat iemand toegang krijgt voor dit soort acties moet je proberen te voorkomen, natuurlijk, maar impact minimaliseren als het gebeurd is anno 2024 (en eigenlijk de afgelopen decennia al) net zo belangrijk.

Het is alsof je je kostbaarheden in huis niet in een kluis wenst te leggen want bij de vorige inbraak zijn ze via de voordeur binnen gekomen, en die is nu extra beveiligd. Ja, komen ze de volgende keer via een raam of de achterdeur... Het is niet of-of, het is en-en.

crazyboy01 @Calypso • 12 mei 2024 18:05

Dat is dus de kant vóór de schermen inderdaad. De ene maatregel is echter de andere gewoon niet, als er de vorige keer bvb actie is genomen kwamen ze waarschijnlijk met iets als 2FA, iets wat in deze situatie vervolgens niet had geholpen. Zeker hacks op accountniveau hebben per definitie niets met het systeem te maken maar liggen voornamelijk bij de gebruiker en het vertrouwen dat zij hier bewust mee omgaan. Dat is altijd een heel lastig vlak, zeker als bepaalde toegang door derden nou eenmaal nodig is om een dienst te verschaffen. En staat totaal los van het design van je systeem zelf en fouten hierin, wat juist in het tweede geval aan de hand is.

In jouw voorbeeld wil je vooral dat je voordeur optimaal beveiligd is en dat een vreemde deze niet zomaar kan openen. Wat er echter gebeurd is in de eerste situatie is dat iemand die er wél in moet een sleutel krijgt, die vervolgens door een ander is gevonden. Dan kan je nog zo'n mooi slot hebben, dan kom je er nou eenmaal in. Daar heb je (tot op zekere hoogte) toch niet 100% invloed op, want wil je dat voorkomen dan ga je ook de toegang voor bevoegden beperken tot zelfs volledig afblokken. Zelfs met 2FA is het niet waterdicht, al heb je daarmee wel een stuk meer zekerheid dat het om de juiste persoon gaat. Want ook dat is te stelen - soms eenvoudiger dan je denkt. Bij het huidige lek is daarvan geen sprake; nu komt er een vreemde binnen die een tik op de zijdeur geeft en het slot valt zonder sleutel open. Het slot blijkt namelijk niet waterdicht. Oef, dat had niet mogen gebeuren. Dit is toegang via een onofficiele weg waarop je veel meer invloed hebt als ontwikkelaar.

Verder wel eens hoor, er moet natuurlijk pro-actief gezorgd worden dat dit soort fouten niet voorkomen. Maar daarom vind ik dit ook juist een kwalijkere situatie. Maar, hoe uitgebreider het systeem, hoe groter de kans dat er ergens een foutje ontstaat/doorheen glipt die zich ooit in praktijk pas openbaart. En dan is het te laat.

Als ontwikkelaar mijn angst bij ieder nieuw product, ookal ken ik alle maatregelen en ken ik zelfs zelf tal van manieren om systemen binnen te dringen en kwetsbaarheden te misbruiken. Eigenlijk kan ik alles met 'zekerheid' opleveren, toch kan het altijd gebeuren dat er iets mis is met de code van die vermoeide dinsdagochtend, zelfs als je er met een team aan werkt en met controles werkt. Echte 100% zekerheid gewoon nooit op dat vlak.

[Reactie gewijzigd door crazyboy01 op 22 juli 2024 16:27]

Calypso @crazyboy01 • 12 mei 2024 18:32

Volgens mij mis je mijn punt. Ik ben het grootste deel van je betoog volledig met je eens, alleen snap ik echt helemaal niet hoe het mogelijk is dat, gezien de voorgeschiedenis 5 jaar geleden, via een redelijk normale manier van binnenkomen je nog steeds 100.000+ CVs kunt inzien/downloaden in zo'n korte periode. Dat hoort volgens mij gewoon niet te kunnen, zelfs niet als je volledig legitiem toegang hebt.

Wil je daadwerkelijk over zoveel CVs beschikken, dan moet je (in mijn beleving) daarvoor met een reden bij het UWV aankloppen, moet dat bekeken worden, en dan via een andere methode gefaciliteerd worden.

Dan voorkom je (mits goed geimplementeerd) ten alle tijde dat, als je voordeur/raampje/achterdeur of wat dan ook faalt, iemand zo snel over zoveel CVs kan beschikken. In mijn ogen is dat een ontwerpfout; niet van de voorkant, maar van de achterkant. En die had 5 jaar geleden al gedicht moeten worden.

crazyboy01 @Calypso • 12 mei 2024 19:41

Dat absoluut, dat is een foute/rare keuze, in ieder geval door de ogen van een buitenstaander. Maar mijn punt was vooral dat er in mijn ogen wel een groot verschil zit tussen de twee gevallen: legitiem/niet legitiem, en dat ik die laatste een behoorlijk stuk kwalijker vind. De aanwezigheid van de toegang voor bevoegden is een risico, maar dat beperken is niet de juiste oplossing: je moet gewoon volledig voorkomen dat een onbevoegde uberhaupt een weg naar een afgesloten deel weet te vinden. Maar dat zal denk ik een meningsverschil blijven.

ArPi75 @crazyboy01 • 14 mei 2024 08:24

De laatste is kwalijker voornamelijk omdat het de tweede keer betrof.
Dat de eerste een werkgever was die gerechtigd is om CV's te downloaden mag dan wel zo zijn, maar 100.000 CV's op een dag is per definitie gemiddeld meer dan 1 CV per seconde en dat de hele dag door.

Dat er partijen zijn die op filters meerdere CV's ineens kunnen downloaden is tot daaraantoe, maar waarom zit er niet een limiet op?

SELECT * FROM CVS
LIMIT 100;

en dan nog een limiet voor het aantal queries op een dag met nog een stukje controle dat afwijkingen detecteert en daarop stuurt.
Via het bedoelde gebruik van de applicatie zou het in elk geval niet mogelijk moeten zijn om op deze schaal gegevens te downloaden of in te zien. Dat zou hooguit via oneigenlijk gebruik (omgeving gehackt) mogelijk moeten zijn.

En ja, er kan (en zullen) altijd bugs in software blijven zitten, maar er zijn tegenwoordig steeds meer (onder andere AI) tools die code doorspitten en potentiële problemen kunnen aanwijzen.

RT-Fan @Calypso • 14 mei 2024 21:16

1000% feiten. Helemaal met u eens.

Commendatore

@Calypso • 10 mei 2024 19:20

Sowieso heb ik niet de indruk dat er bij Werk.nl echt wordt nagedacht over privacy, ook buiten die datalekken om. Er zijn best manieren om werkgevers en potentiële werknemers met elkaar in contact te brengen zonder dat de eersten per se bij contactgegevens moeten kunnen.

007Nightfire @Commendatore • 10 mei 2024 22:31

Daar moest ik ook meteen aan denken. In principe zou een werkgever met wat filters tot een klein aantal opleiding- en werkervaringslijstjes moeten kunnen komen. Daar nog een kleiner aantal passende CVs uitzoeken. En dan van 3 á 5 mensen daadwerkelijk persoons-/ contactgegevens opvragen. Daar zou je natuurlijk nog omheen kunnen met berichten verzenden, maar vaak is bellen toch wel echt nogsteeds de meest gewilde manier.
Zodra er vanuit een account meer dan 10 aanvragen binnenkomen, kan dat al geblokkeerd worden. Dan is het nog niet waterdicht, maar 10 is al beter dan 150.000 lijkt me.

Chrono Trigger @Calypso • 11 mei 2024 09:41

Maar ondertussen loopt er wel een leger aan KPMG'ers rond die ca. 60 miljoen per jaar declareren van ons belastinggeld om wat gemankeerde proces excelletjes en incoherente business analyses op te leveren zonder consequenties. Managementlaag in de overheid sector faalt collectief en is een bottleneck voor onze vooruitgang.

Artz @Chrono Trigger • 11 mei 2024 10:12

En inhuur vindt het maar wat lekker om ontspannen in de publieke sector te werken.

Chrono Trigger @Artz • 11 mei 2024 11:20

Werk nu sinds deze maand bij een tegenhanger van de uwv en zie ook hier soortgelijke trends. Met mijn indiensttreding lossen wel al een externe af en de verbeterslag die ik voor ogen heb zou de Excel werkverschaffing al drastisch moeten reduceren. Mandaat zou geen probleem moeten vormen.

onno oliver @Calypso • 11 mei 2024 09:52

Na 2019 ben ik veel benaderd door bedrijven die mijn gegevens via het UWV hadden gekregen.
Daarvan heb ik een lijstje bij gehouden.
Veel al kleine uitzendbureaus uit het noorden van Nederland en om scholing verzorging bedrijven uit regio Gelderland. (niet de bekende, grote name)

Meestal krijg je een e-mailtje waarin wordt gevraagd om een recente CV, of een vacature aanbiedingen waar ik nooit om gevraagd heb. Ik heb diverse malen contact opgenomen zonder resultaat.

Wat ik kan gebruikers aanraden is een apart email adres* aan te maken, en spelvouten in uw naam te zetten of een smily in de naam..

*forward adress

SPee @Calypso • 11 mei 2024 17:13

Er lijkt nu wel een groot verschil te zijn.
Bij de vorige "hack" kon een werkgever de data van die CV's bekijken. Daar zit maar een kleine beperking op, omdat het zowat de core business is; zorgen dat werkzoekenden aan een werkgever wordt gekoppeld.
Daarvoor wil je dat een werkgever die 15000 nieuwe mensen zoekt, deze ook kan vinden. Alleen dat aantal is niet echt realistisch, dus dat zou je moeten beperken tot een realistisch aantal.

Wat ik nu mis bij deze hack, is dat ze het niet hebben over een werkgever (account). Dus blijkbaar kan een andere werkzoekende (of anonieme gebruiker) de cv's van andere gebruikers inzien. Dát is wel een groot probleem, want dat zou niet moeten kunnen.

SPT @Calypso • 12 mei 2024 08:53

Dit is de crux volgens mij, en ook waar de toonzetting van het tweakers.net artikel niet klopt. Het is voor mensen met een ww-uitkering doorgaans verplicht om je cv daar neer te zetten. Zo’n cv bevat echter persoonsgegevens waartoe niet Jan en Alleman toegang behoort te hebben. Het UWV zit hier dus fout. Er zou voor zo’n zoeksysteem voor werkgevers alleen een database met profielen online moeten staan, waarbij geïnteresseerde werkgevers in contact kunnen komen met werkzoekenden, die dan persoonlijk hun cv kunnen opsturen.

kimborntobewild @Calypso • 13 mei 2024 03:23

Bazen hoeven geen verantwoording af te leggen als er iets fout is gegaan. Dat is het probleem. In de VS krijgt de vertrekkend topman miljoenen bonus, terwijl het bedrijf onder zijn leiding hard achteruit is gegaan.

Datalek
Nederland
Economie en maatschappij

@wildhagen • 10 mei 2024 18:44

Het valt op dat ze een verschil noemen tussen inzage hebben en downloaden. Gewoonlijk moet je namelijk downloaden om de gegevens in te zien. Vermoedelijk bedoelen ze dus dat er 150000 pogingen tot toegang gedaan zijn die inzage mogelijk maakten. Als iemand niet zo handig is met automatisch testen op securitybugs dan kan het onbedoeld zulke hoeveelheden pogingen doen snel gaan. En hoewel we dat natuurlijk al kwade opzet kunnen vinden vermoed ik dat er dan wel wat meer bewezen moet worden. Wat het uiteraard niet zomaar redelijk maakt dat iemand zoveel verschillende keren toegang probeert te krijgen als deze geen duidelijke kwade bedoelingen had.

kuurtjes @kodak • 10 mei 2024 19:14

De CVs zullen waarschijnlijk zichbaar zijn gemaakt in een GUI, zonder ze daadwerkelijk als download aan te bieden.

ultimasnake @kuurtjes • 10 mei 2024 19:38

Zien is echter toch downloaden, zodra jij iets op je scherm ziet staan is het gedownload naar je machine. Of het daarbij in het geheugen zit van je browser, in een swap-file van de browser of opgeslagen op je partitie, het is gedownload. Ik snap het verschil die ze enigszins lijken te maken ook niet, inzien kan later nog maar de bestanden hebben de server verlaten en is daarmee gedownload

SED @ultimasnake • 10 mei 2024 20:20

Maar 150.000 cv zien en dan opslaan als bestand doe je niet per ongeluk en kost bakken tijd.

supersnathan94

Datalek

@SED • 11 mei 2024 00:03

Klopt, maar als het “zien” een opvolgend nummertje is in een URL is dat natuurlijk kinderlijk eenvoudig enigszins te automatiseren.

SED @supersnathan94 • 12 mei 2024 00:26

Zeker, maar dan weten we ook zeker dat het geen ongelukje was

supersnathan94

Datalek

@SED • 12 mei 2024 09:11

Dat weten we sowieso al wel. 150.000 doe je niet ff per ongeluk.

Odder thing @SED • 11 mei 2024 07:07

Click bait titel. 150.000 c.v ingezien? Al zou je alleen de eerste zin lezen per cv dan ben je al een week verder.

HakanX @ultimasnake • 10 mei 2024 20:34

Past in het rijtje met dat mensen denken dat je niet download met streamen. Je "kijkt" alleen. Op andere sites begrijp ik het nog, maar Tweakers moet dit gewoon correct formuleren.

Niemand heeft naar 150.000 cv's staan kijken. Al die gegevens zijn gewoon gescraped en netjes opgeslagen in een database om te koop aan te bieden in een donker hoekje van het net.

DarkForce

Nederland

@HakanX • 11 mei 2024 02:35

Past in het rijtje met dat mensen denken dat je niet download met streamen. Je "kijkt" alleen. Op andere sites begrijp ik het nog, maar Tweakers moet dit gewoon correct formuleren.

Ja, want Tweakers is nog steeds voor de nerds en niet een platform waar de simpele boerenlul op komt. Kom op zeg... we zitten in 2024 niet ergens in de jaren '90 waar Tweakers hooguit door een select groepje computernerds werd gebruikt.

supersnathan94

Datalek

@DarkForce • 12 mei 2024 09:12

Nee, maar juist daarom moet de informatie toch correct zijn? Wij weten al sinds 1989 dat downloaden niet zo werkt. Laten we dan dik 30 jaar later die info ook goed doorgeven aan de volgende set nerds.

squallandrinoa @ultimasnake • 11 mei 2024 02:13

precies dit. je schrijft dan een stukje code welke elke cv die getoond wordt, opslaat, als dat al niet mogelijk was op een normalere manier. en anders kan er een flinke juridische discussie op gang komen met de vraag: wanneer is iets gedownload? als de data (en in welke vorm dan?) je clientmachine bereikt heeft? of als de data al de server verlaten heeft maar niet bewezen kan worden dat de client het heeft ontvangen? of pas als de client het heeft ontvangen en een ; gangbaar' formaat?

mijn inziens is downloaden het ontvangen van informatie. dus op jouw client machine. doet er niet toe in welke vorm, of op welke 'virtuele' plek binnen jouw machine

Het.Draakje @kodak • 10 mei 2024 20:10

Sorry?

Als je als tester

- niet weet dat je te maken hebt met persoonsgegevens.
- geen / onvoldoende ervaring hebt met automatisch testen.
- je gewoon op productiedata gaat rotzooien
- (uiteraard) zonder toestemming van de eigenaar van de gegevens.

Dan mag je inderdaad flink op je kloten krijgen.

Ik doe hierbij even de aanname dat UWV geen toestemming verleent heeft (wat ze, hopelijk, voor productiegegevens, niet zullen doen aan iedere basis school leerling).

De rol van UWV is in de geval eveneens behoorlijk discutabel.

Ik kan me geen werkgever in Nederland voorstellen die meer dan 1,000 vacatures per dag wil beoordelen. Ik kan me ook niet voorstellen dat men per vacature meer dan 100 cv's wil beoordelen.

Tenzij we over een periode van weken praten (even afgezien van een beperkt aantal zeer grote werkgevers).:

150.000 opvragingen van één adres zou gewoon niet mogelijk mogen zijn. (Ik ben me bewust dat ik voor het aantal vacatures / cv's per job / organisatie een ruime marge heb, waarschijnlijk te ruim, wat het alleen maar erger maakt voor UWV).

Datalek
Nederland
Economie en maatschappij

@Het.Draakje • 10 mei 2024 21:45

De discussie is of het wettelijk kwaadaardige opzet is en dit niet zomaar het geval is. Dat maakt nogal uit voor een eventuele straf. Waarbij ik op geen enkele wijze stel dat het dus maar niet strafbaar is. Natuurlijk kunnen we willen dat de persoon een zware straf krijgt, maar dat zal niet zomaar het geval zijn als opzet ontbreekt en er geen duidelijke kwade bedoelingen zijn.

bdbfz @kodak • 10 mei 2024 23:24

ik zou ook verwachten dat het incident omschreven zou worden als "gedownload en mogelijk ingezien" in plaats van "ingezien en mogelijk gedownload".

Botmeister @wildhagen • 10 mei 2024 18:49

Ik heb mijn UWV cv van vorig jaar er bij gepakt. Daarin staan de volgende persoonsgegevens:

Naam
Telefoonnummer
Geslacht
Geboortedatum
Adres
Postcode
Woonplaats
E-mailadres

ultimasnake @Botmeister • 10 mei 2024 19:46

Benieuwd of dat allemaal ook direct zichtbaar is bij de eerste de beste download? Ik zou, als ik een cv-site zou bouwen, starten met een basis voorziening, dan kandidaat selectie en dat je vanuit daar pas met contact/gedetaileerde persoonsgegevens aan de haal kan….

Aardwolf

@ultimasnake • 11 mei 2024 02:40

Precies lijkt me ook meest logisch, maar we weten niet tot hoever toegankelijk de systemen en daarmee de ingevoerde data waren. Vind het wel weer een ernstige faal van het UWV. Dat er überhaupt zoveel ineens toegankelijk was. Dan zou je haast een admin-account verwachten die hier toegang had voor onderhoud/beheer. Een normale gebruiker (werkgevers of normale UWV medewerkers) zouden dit niet allemaal moeten kunnen inzien, laat staan in deze hoeveelheden per tijdseenheid.

ibmpc @Botmeister • 10 mei 2024 19:44

Zomaar benieuwd, waarom zou je je geslacht en geboortedatum op je CV zetten? Ik heb geleerd dat dat echt not done is, net als ras, geloof en foto.

bazs2000 @ibmpc • 10 mei 2024 20:13

Als manager kan ik je vertellen dat deze gegevens wel degelijk relevant zijn. Op mijn afdeling (voornamelijk vrouwen) ben ik op zoek naar meer mannelijk tegenhang omdat dit de groepsdynamiek versterkt. Leeftijd boeit mij echt niets maar ik heb mannen nodig!

Zet ik een vacature uit bij een uitzendbureau dan krijg ik basale gegevens terug die zogenaamd gematched zijn aan wat ik zoek. Dat is niet zo omdat deze gegevens zo neutraal zijn dat ik niet eens weet wat er over de vloer komt bij een sollicitatie.

Ik heb de wens om meer mannen in dienst te nemen omdat het goed is en wordt tegengewerkt door zoveel mechaniek dat het niet leuk meer is. Niet leuk omdat ik mijzelf dien op te stellen als een goed werkgever maar omdat ik een bepaalde wens (mijn afdeling zelfs) heb kan ik niet uitnodigen wie ik nodig denk te hebben.

Ik zit niet te wachten op nog meer vrouwen en zelfs mijn afdeling heeft deze wens niet, waarom moet ik dan verplicht naar het geslacht kijken? Ik weet wat ik nodig heb en ondertussen moet ik zoveel spelregels doorlopen dat het niet leuk of goed meer is.

Littlemarc @bazs2000 • 10 mei 2024 20:26

Je mag niet selecteren op geslacht, ras, seksuele geaardheid etc. In de praktijk wil de wetgever nog door de fingers kijken als je schrijft “Bij gelijke geschiktheid hebben we voorkeur voor een vrouw” en uiteraard mag je zelf invullen wat je geschikt vindt als werkgever dus je hebt veel vrijheid hier.

Je mag het wel willen om meer mannen te hebben om een betere groepsdynamiek te bevorderen maar je beleid is onwettig.

gooos @Littlemarc • 11 mei 2024 01:02

Dus positieve discrimatie van vrouwen of 'minderheden' is wel oke, maar als het andersom gebeurd dus opeens niet?

Nu lees ik wel in je reactie dat je er hoogstwaarschijnlijk hetzelfde als mij in staat. Namelijk dat gewoon de beste kandidaat voor de functie gekozen moet worden, maar ik kan me wel heel goed voorstellen dat een bepaalde man-vrouw verhouding binnen een team wel positief kan bijdragen aan de effectiviteit van een team. Dus als de situatie zo is dat daar een ongewenst onbalans in is, dan zou het wat mij betreft prima moeten kunnen. Het is alleen wel lastig om het in je vacaturetekst te kunnen gebruiken omdat dan de wereld te klein is.

PCG2020 @gooos • 11 mei 2024 09:47

Dus positieve discriminatie van vrouwen of 'minderheden' is wel oké, maar als het andersom gebeurt dus opeens niet?

Inderdaad. Het is namelijk zo dat er in veel sectoren op de arbeidsmarkt overwegend witte mannen werken. Er zijn werkgevers die dat ook graag zo willen houden en dus gewoon c.v.'s filteren op geslacht en afkomst (meestal op basis van naam). Dan kan je als persoon nog zo geschikt zijn voor de functie, wanneer de werkgever alleen naar die twee punten kijkt dan heb je geen schijn van kans.

Er was enige tijd geleden nog een voorbeeld in het nieuws van mensen die met exact hetzelfde cv, maar onder verschillende namen informeerden naar stageplaatsen. De cv's met Nederlandse namen kregen overwegend positieve reacties, die met buitenlandse namen afwijzingen of zelfs helemaal géén reacties.

Dat basz2000 voor zijn afdeling graag wat meer mannen zou willen aantrekken, doet niets af aan de algemene situatie die ik hierboven beschreef. In feite verkeert hij in een soort uitzonderingspositie.

Wellicht kan hij bij een uitzendbureau of het UWV wel aangeven dat 'er behoefte is aan een 'meer evenwichtige man-vrouwverhouding'' of iets dergelijks. Maar dan zal hij nog steeds cv's krijgen zonder vermelding van het geslacht erop.

HuisRocker @PCG2020 • 12 mei 2024 11:01

Dat basz2000 voor zijn afdeling graag wat meer mannen zou willen aantrekken, doet niets af aan de algemene situatie die ik hierboven beschreef. In feite verkeert hij in een soort uitzonderingspositie.

Wellicht kan hij bij een uitzendbureau of het UWV wel aangeven dat 'er behoefte is aan een 'meer evenwichtige man-vrouwverhouding'' of iets dergelijks. Maar dan zal hij nog steeds cv's krijgen zonder vermelding van het geslacht erop.

Mwah... Ook genoeg beroepen waar dat tegenwoordig toch echt helemaal andersom is.

Vraag bijvoorbeeld eens na bij artsen die naarstig op zoek zijn naar diversiteit in hun team of het wel echt zo makkelijk is om er ook mannen in te krijgen.

Niet zo stille hint; meer dan 70% van de geneeskunde studenten is vrouw.

ibmpc @bazs2000 • 10 mei 2024 20:33

Hmm interessant, mij is echt geleerd dat het zeer inappropriate is om je geslacht of geboortedatum er op te zetten en de aanwezigheid ervan (dus niet welke waarde) de kans op een afwijzing enorm vergroot. Ik heb het er zelf ook nooit op staan omdat ik niet in zie hoe dit relevant kan zijn in mijn lijn van werk. Het is anders als je bijvoorbeeld als cabin crew of voor de onderzeebootdienst solliciteert, omdat er in sommige beroepsgroepen wel degelijk gediscrimineerd mag worden omdat er een zwaarwegend belang tegenover staat, namelijk veiligheid: Je lichaamslengte moet binnen een bepaald bereik zijn.

[Reactie gewijzigd door ibmpc op 22 juli 2024 16:27]

crazyboy01 @ibmpc • 10 mei 2024 22:08

Dit zijn echt de meest standaard dingen die de meeste mensen wel op hun CV zetten. Geboortedatum nog net iets normaler dan geslacht, maar beide zie ik vaker wel dan niet. Het staat er bijvoorbeeld ook vaker op dan een foto - iets wat ook steeds meer de standaard wordt.

Een bedrijf mag er niet op afwijzen, misschien dat je het daarmee verward. Dat is namelijk not-done en verboden. Maar de info geven is wel echt standaard (en stiekem helaas voor veel werkgevers toch ook wel van belang hoor, al mogen ze dat dus niet zeggen tenzij het voor iets is waar nou eenmaal een bepaald profiel aan hangt, bvb een rol in een theaterstuk of film). Een afwijzing zal het in ieder geval zeker niet in de hand helpen, daar heb ik nog nooit van gehoord.

ibmpc @crazyboy01 • 11 mei 2024 00:34

Nee, ik heb juist geleerd dat het inappropriate is om je geslacht, ras, religie, geboortedatum, seksuele voorkeur, etc. erop te zetten. Ik ben zeker weten niet verward en ik ben verbaasd dat het blijkbaar wel gebeurt. Ik wil worden aangenomen om wat ik aantoonbaar kan, niet om wie ik aantoonbaar ben. Dus ik ga zelf ook niet iets uitlokken en ik laat dus al die irrelevante data achterwege. Ik ben verbaasd dat het blijkbaar normaal is om bijvoorbeeld wel je geboortedatum, geslacht, religie of seksuele voorkeur ofzo neer te zetten en ik twijfel echt of dit wel klopt. Wellicht is het overigens in Europa wel normaal, maar dat zou mij enorm verbazen. Ik heb vroeger ook gesolliciteerd in Europa en ik heb deze gegevens altijd weggelaten.

[Reactie gewijzigd door ibmpc op 22 juli 2024 16:27]

nevyn67 @ibmpc • 11 mei 2024 16:32

Ik heb in 30 jaar bij best wat verschillende bedrijven gewerkt, werd graag aangenomen en pp mijn C.V. heeft altijd geboortedatum en geslacht gestaan.

Ook de honderden (duizenden?) C.V.'s die ik heb ingezien hadden eigenlijk altijd het geslacht vermeld.

Je volledige naam staat er toch ook meestal op? Vaak zou je het ook daar aan kunnen aflezen.

En ja ik heb mannen/vrouwen met verschillende sexuele voorkeur aangenomen, en afgewezen maar daar heeft de sekse nooit iets mee te maken gehad.

Dus ik weet niet in welke branch jij werkt, maar wat jij noemt is zeker niet de standaard...

ibmpc @nevyn67 • 12 mei 2024 06:47

Ik geloof er niets van. Waarom zou iemand vermelden dat deze persoon bijv. Asian is? Of biseksueel? Of 55 jaar oud? Wat voegt dat toe behalve dat degene die de CV leest het risico loopt om aangeklaagd te worden voor discriminatie als diegene besluit je niet aan te nemen? Als ik zo'n CV zou ontvangen dan zou ik de CV terugsturen met het verzoek om deze opnieuw in te sturen zonder deze irrelevante informatie.

Ik vind het ook behoorlijk arrogant van degene die solliciteert om het te vermelden, omdat je daarmee impliceert dat jouw ras, seksuele voorkeur, of ander irrelevant kenmerk er kennelijk voor zorgt dat jij een betere fit bent dan andere sollicitanten.

nevyn67 @ibmpc • 12 mei 2024 07:07

Ras wordt nooit vermeld
Geaardheid wordt nooit vermeld
Geboortedatum wordt wel vermeld

Voor de rest, ik wens je veel succes in jouw wereld.

ibmpc @nevyn67 • 12 mei 2024 07:43

Eerste hit op Google. En mij is ook geleerd dat een CV weleens kan worden geweigerd:

In the companies I’ve worked for, this information would disqualify a resume from any further consideration

De geboortedatum hoort er simpelweg niet op. Ik zou als CV lezer overigens niet comfortabel bij voelen als er van dit soort irrelevante informatie op staat. Ik heb in het verleden ook in Europa gesolliciteerd en ik ben gewoon aangenomen zonder mijn geboortedatum, ras, foto, geslacht, of weetikveel wat te vermelden.

[Reactie gewijzigd door ibmpc op 22 juli 2024 16:27]

RT-Fan @ibmpc • 14 mei 2024 21:39

Dit is 100% nieuw nieuws voor mij.

Iemand die bij vele bedrijven gewerkt heeft en altijd mijn relatie status, afkomst, geboortedatum, geboorteplaats én foto deelt in Curriculum Vitae.

Maar nu ik lees dat dit helemaal niet NODIG blijkt, haal ik dit met liefde en per direct nog weg!
Van oud uit namelijk zo geleerd en nooit meer bij stil gestaan of dit wel of niet gewenst was want; elk bedrijf of detacheringsbureau nam mij mee in procedure.

Misschien dat het veranderd als ik de gegevens weg laat ;-) maar als ik het zo lees zou dat niet zo moeten zijn. tegenwoordig willen ze ook dat je je LinkedIn profiel deelt. Dus dan zien ze ook je foto evt. maar ook daar dus weglaten. Nu zien ze wel aan je naam en horen ze aan je stem als ze bellen, wel wat je geslacht is maar nu ik het zo lees... tja.. waarom eigenlijk al die gegevens mededelen... als het niet eens hoeft!

Seksuele voorkeur overigens nee.. dat nooit gedeeld of het idee gehad dat dit boeiend was. In de sector waar ik werk in ieder geval niet haha.

crazyboy01 @ibmpc • 12 mei 2024 17:51

Je bent de enige die dit geluid laat horen hier, is het misschien mogelijk dat je iets fouts is geleerd in het verleden? Of vanuit een bepaalde hoek waarvan de mening niet algemeen geldt? Hoe dan ook, het is toch echt de standaard.

ibmpc @crazyboy01 • 13 mei 2024 19:16

Ik heb het net aan een collega van HR afdeling gevraagd. Vroeger werden dit soort gegevens gewoon weggehaald voordat een CV naar een reviewer ging, tegenwoordig wordt een CV teruggestuurd met het verzoek gegevens zoals ras, geslacht, geboortedatum, geboorteplaats etc. te verwijderen en de CV opnieuw in te dienen. Dit heeft alles te maken om alle potentiele factoren van discriminatie te minimaliseren. Het kan in Europa anders zijn, maar ik heb wel vaker in Europa gesolliciteerd en ik heb deze gegevens altijd weggelaten en dat is nooit een probleem geweest. Het zou mij verbazen als het de norm is om de bovengenoemde gegevens wel te vermelden.

crazyboy01 @ibmpc • 13 mei 2024 23:24

Ik ben zelf deeltijd HR inc opleiding, kan me hier niet in vinden. Het is de norm. Overigens geen probleem als je het weg laat, maar wel de standaard om het te vermelden en over het algemeen geen probleem als je dat doet.

ibmpc @crazyboy01 • 14 mei 2024 05:19

Ben je dan niet huiverig dat een CV tegen je kan worden gebruikt? Bijvoorbeeld omdat iemand niet de juiste fit bleek te zijn, echter op z'n CV stond dat de persoon Pacific Islander was en dat dus niet geheel kan worden uitgesloten dat deze informatie niet heeft meegespeeld?

RT-Fan @ibmpc • 14 mei 2024 21:40

Ben je dan niet huiverig dat een CV tegen je kan worden gebruikt? Bijvoorbeeld omdat iemand niet de juiste fit bleek te zijn,

Dat is juist goed.. lijkt mij.../ vind ik bedoel ik want dan wéét je dat dit niet de juiste organisatie voor je is.. en dóór...

SPee @ibmpc • 11 mei 2024 17:28

De overheid heeft ook subsidies of regelingen om bepaalde mensen weer aan het werk te zetten, bijvoorbeeld voor ouderen, wajong of andere 'positieve discriminatie'.
En dit zijn mensen die veelal eerder zijn ontslagen en nu via het UWV een nieuwe baan zoeken. Door deze informatie op het CV te zetten, is het voor zulke werkgever in te zien dat ze bij het aannemen ook een extra bedrag kunnen krijgen. En zo zullen de werkgevers hopelijk sneller kiezen om die persoon aan te nemen. En dat is een belangrijk doel van het UWV; zorgen dat werklozen weer aan het werk gaan.

Dus in veel gevallen is die informatie in het CV niet nodig. Maar in dit geval wordt het gebruikt om die werkzoekende te promoten.

slowdive @wildhagen • 10 mei 2024 18:51

Een dag heeft 86400 seconde. Aangenomen dat persoon 24 uur heeft doorgelezen, dan las hij meer dan 1 cv per seconde. Dat lijkt me bijzonder snel (en daarom niet aannemelijk).

Zou deze persoon dat uit persoonlijke interesse gedaan hebben of met het doel om eraan te verdienen?

[Reactie gewijzigd door slowdive op 22 juli 2024 16:27]

djwice

@slowdive • 10 mei 2024 19:00

Een scraper kan een paar CV's per seconde makkelijk aan.

Jeroen @wildhagen • 10 mei 2024 18:38

Als ze weten wie het is omdat er een bepaald gebruikersaccount is gebruikt dan is er eigenlijk nog niks bewezen. Voor hetzelfde geld is dat account eerst gehackt. Eigenlijk moet het UWV niet vaststellen wat de identiteit is en of die überhaupt vaststaat, maar de politie en het OM.

djwice

@wildhagen • 10 mei 2024 18:57

Kan ook een scraper zijn die sneller liep / meer binnen haalde dan verwacht.

Hoeft geen kwade opzet te zijn.

yuckywucky @wildhagen • 10 mei 2024 19:33

Wel top dat ze een auditlogger hebben om te achterhalen wie het is/zijn. Maar ff de endpoints correct afschermen, nee doen we niet aan mee.
Hopelijk wordt het bedrijf ook "stevig" aangepakt.

Zynth @wildhagen • 10 mei 2024 21:13

Dit moet haast wel met kwaadaardige opzet zijn, 150.000 CVs download je immers niet per ongeluk.

Dit vind ik een tegenstelling die niet helemaal fair is.
Het kan ook gedaan zijn uit "Ik kan ze vast niet allemaal downloaden. Er zit vast een maximum aan? Eens proberen".
Dat is niet perse kwaadaardig, en ook niet per ongeluk.
Natuurlijk wel verre van netjes.

[Reactie gewijzigd door Zynth op 22 juli 2024 16:27]

@wildhagen • 11 mei 2024 10:04

Dit moet haast wel met kwaadaardige opzet zijn, 150.000 CVs download je immers niet per ongeluk.

Mooi dat ze weten wie het is, dan kan de politie hem in ieder geval eenvoudig oppakken en het OM hem strafrechtelijk vervolgen. Hopelijk gebeurt dat ook stevig.

Ik denk dat het OM hier erg weinig mee kan.
Deze CV's zijn bedoelt om door andere geraadpleegd te worden. (Door werkgevers die werknemers zoeken.) Uiteraard is het niet de bedoeling om er 150.000 tegelijk te bekijken, maar dat is meer een overtreding van de gebruiksvoorwaarden, niet van de wet.

Bij het verwerken van van 150.000 CV's wordt waarschijnlijk wel de AVG overtreden, omdat er geen geldige verwerkingsgrodn is. Maar dat is een zaak van de AP en niet van het OM.
Het kan nog anders zijn wanneer de site zelf gehackt is.

RT-Fan @CivLord • 14 mei 2024 21:55

De overtreding van de wet is wat het UWV heeft gedaan door persoonsgegevens bloot te leggen voor schending van privacy. He niet waarborgen van de belofte naar de burgers toe.

Advizor 10 mei 2024 19:22

@RT-Fan • 16 mei 2024 08:55

Dat zeg ik. De enige wet die hier waarschijnlijk overtreden wordt is de AVG. Dat is een wet die niet door het OM wordt gehandhaafd, maar door de Autoriteit Persoonsgegevens.

RT-Fan @CivLord • 17 mei 2024 23:02

Ja klopt helemaal hoor...maar ik haakte in op dat het UWV juist verantwoordelijk is en de wet i.h.k.v. AVG heeft overtreden.
Niet zozeer de (bot) gene die de downloads gestart heeft.
Zo bedoelde ik het.

Boel reacties over fraude met BSN.
Waarom zou je in hemelsnaam je BSN op je CV zetten? Totaal overbodige informatie.

MennoE @Advizor • 10 mei 2024 19:25

Klopt, en toch genoeg mensen (met name lager geschoold) die dat toch doen.

RT-Fan @MennoE • 14 mei 2024 21:55

Wat maakt het nou weer uit of hoog geschoolde of laag geschoolde mensen dit doen. Het gaat toch om het resultaat? Zo ken ik er namelijk nog wel een paar....

MennoE @RT-Fan • 14 mei 2024 23:48

Huh wat? Waar heb je het over?

RT-Fan @MennoE • 17 mei 2024 23:07

Waar ik het over heb?

U zegt: "Klopt, en toch genoeg mensen (met name lager geschoold) die dat toch doen."

Dus BSN op CV plaatsen...

Daar haakte ik op in met : "Wat maakt het nou weer uit of hoog geschoolde of laag geschoolde mensen dit doen. Het gaat toch om het resultaat? Zo ken ik er namelijk nog wel een paar...."

Met "zo ken ik er nog wel een paar" is het verschil tussen hooggeschoolden en laaggeschoolden.
Ik als hoog opgeleid iemand ervaar het gewoon als zeer ongewenst om die nuances zo uit te drukken.

... that's all.

Hoog of laag geschoold heeft niets te maken met het wel of niet plaatsen van een BSN.
Onwetendheid wél... of ouderwets handelen, ook.

MennoE @RT-Fan • 18 mei 2024 07:51

Ah zo. Ja misschien klopt het inderdaad niet wat ik zeg. Ik had het inderdaad beter achterwege kunnen laten.

m_snel @Advizor • 11 mei 2024 14:13

Volgens mij staan er erg weinig gegevens in de cv. Het is een template waar als ik me niet vergis niet eens je adres en e-mail in staan.
Niet een cv zoals je zelf zou maken.

De gegevens zoals je e-mail staan natuurlijk wel in de database, en je kan zelfs aangeven of mensen je wel of niet mogen benaderen.

Je krijgt in dat geval gewoon een reactie die via werk.nl verstuurd word. En niet van die persoon zelf.

RT-Fan @m_snel • 17 mei 2024 23:05

Ja nou dat ligt aan wat je ingevuld hebt.
En gegevens zoals e-mail en adres staan er standaard in.

Als je net een nieuw email adres hebt, betaalde dienst(!) en je adres gegevens zijn gekoppeld.. lekker dan... lekker encryptisch allemaal..

SPee @Advizor • 11 mei 2024 17:36

Als werkzoekende log je met DigD in en wordt je BSN eraan gekoppeld. Volgens komt die informatie niet in je CV terug, maar die informatie is zeker wel op de server aanwezig.

Anoniem: 57411 @Advizor • 11 mei 2024 09:09

Ik veronderstel dat ze bij het uwv gebruik maken van het bsn, dus dat het verplicht ingevoerd moet worden om gebruikt te kunnen maken van de website.

Het zou me niks verbazen indien het uwv vervolgens heel hulpvaardig dat bsn in/bij het cv gestopt had.

Tomatoman @Anoniem: 57411 • 12 mei 2024 12:34

Het zou me niks verbazen indien het uwv vervolgens heel hulpvaardig dat bsn in/bij het cv gestopt had.

Als je met dit soort beschuldigingen op basis van onderbuikgevoelens komt, kom dan ook met een onderbouwing. In andere reacties in dit topic wordt aangegeven dat het UWV geen BSN in cv’s vermeldt.

5V1NA70G 10 mei 2024 18:29

Extra detail: als werkzoekende ben je verplicht een cv te uploaden op werk.nl
Dit is de zoveelste privacy/security misser van het UWV. Jammer dit…

*edit: laten we ook niet vergeten dat de groep waarvan de cv’s zijn gelekt kwetsbaarder zijn. Het grotendeels zal in een uitkeringssituatie zitten. Dergelijk kwetsbare groepen zijn vatbaarder voor oplichting e.d. (bv katvanger zijn). Ik verwacht van het UWV dat zij deze groep nu extra zullen ondersteunen en beschermen, maar dat zal vermoedelijk wel niet het geval zijn.

[Reactie gewijzigd door 5V1NA70G op 22 juli 2024 16:27]

svenk91 @5V1NA70G • 10 mei 2024 18:45

Dat is toch enkel als je WW/bijstand krijgt?

onno oliver @svenk91 • 10 mei 2024 19:00

Nee, hoor iedereen kan zijn CV er dumpen
Er is ook geen controle op wat er staan en van wie het is en of je echt .... bent.
Ik heb iets van een CV staan om dat ik de zoekfuncties kan tweaken naar bepaalde interesseren van mogelijke werkgevers die het portaal gebruiken. Dit gaat bij hen beter dan bij de rest.

Wat ik als gebruiker kan zien is hoe vaak mijn CV beken is niet wie dat was. Geloof dat de casemanager dat wel kan?
Soms zijn er van die dagen dat ik kijk en dan zie ik dat er meer dan 1000 keer in de maand naar gekeken is en nooit contact gezocht dat blijft raar. Dus ik vermoed dat het wel meer voorkomt dan het UWV doet voorkomen.

svenk91 @onno oliver • 10 mei 2024 19:15

Het ging mij meer om die verplichting. Ik ben wel vaker werkzoekende geweest maar heb nog nooit mijn cv daar geplaatst.

DJ Henk @svenk91 • 11 mei 2024 08:24

Officieus is zoiets altijd verplicht. Want ook al is het officieel geen harde verplichting, het is toch een signaal dat je wat minder je best hebt gedaan om een nieuwe baan te zoeken en dat kan later altijd tegen je gebruikt worden.

5V1NA70G @DJ Henk • 11 mei 2024 12:42

Het is een ‘taak’. Taken zijn verplicht.
Niet aan je verplichtingen voldoen ken leiden tot het korten van je uitkering of zelfs opschorten…

Hagdos @svenk91 • 10 mei 2024 18:56

Ja, daarbuiten heb je überhaupt niet veel met het UWV te maken (tenzij je hoopt dat ze je aan een baan kunnen helpen, maar dan gebruik je werk.nl waarschijnlijk vrijwillig).

PCG2020 @svenk91 • 11 mei 2024 10:13

Het UWV is het Uitvoeringsinstituut Werknemersverzekeringen. Ze gaan niet alleen over mensen die werkloos zijn en WW krijgen, maar bijvoorbeeld ook mensen in de Ziektewet en mensen die (deels) arbeidsongeschikt zijn en daarom WIA, WAO of WaJong ontvangen. Om voor iemand die deels arbeidsongeschikt is te kunnen bemiddelen, zal het UWV dus zeker de gegevens beschikbaar hebben om naar potentiële werkgevers te kunnen sturen.

De instantie die verantwoordelijk is voor de Bijstand is de gemeente waar je woonachtig bent. Één van de voorwaarden voor het ontvangen van Bijstand is dat je ingeschreven moet staan op Werk.nl. Ook kan het UWV WERKBedrijf betrokken zijn bij het zoeken naar geschikt werk, maar de gemeente regelt de Bijstandsuitkering.

Het punt dat @5V1NA70G maakt is dus zeker relevant: op Werk.nl staan ook gegevens van mensen in een kwetsbare situatie, zoals mensen met een verstandelijke beperking. Vergis je niet, er zijn criminelen die heel graag misbruik maken van zulke personen.

[Reactie gewijzigd door PCG2020 op 22 juli 2024 16:27]

Llopigat

Economie en maatschappij

@5V1NA70G • 10 mei 2024 19:18

Ja ze gaan er meteen vanuit dat je een werkweigeraar bent. Ik had geen recht op WW wat het lastiger maakte.

Ik werd (weliswaar lang geleden) gedwongen op banen als pizzabezorger te solliciteren hoewel ik daar veel te oud voor was en hoewel ik veel papieren heb voor de IT. Het leidde echt af van het zoeken naar echt werk, wat ik uiteindelijk wel gevonden heb.

Natuurlijk niet dankzij die dames van de UWV want die begonnen nadat ik na 2 maanden niets gevonden had al te zeuren over omscholing. Had de maand daarna alweer iets gevonden, dus niet slecht vind ik. Een baan in een nicherichting gebeurt gewoon niet van de ene dag op de andere. Maar ik vond het nogal een poppenkast eigenlijk. Het "solliciteren" op banen waar je totaal geen kans op maakt om maar te laten zien dat je echt werk zoekt.

[Reactie gewijzigd door Llopigat op 22 juli 2024 16:27]

R4gnax

Datalek

@Llopigat • 10 mei 2024 19:43

Tja; dat is het probleem met het systeem: hoe sneller mensen bankzitten-af zijn en hoe sneller ze maar ergens - maakt niet uit wat, waar of hoe - als binnengeschoven geregistreerd staan - hoe beter. Of ze daar nou passen, gelukkig zijn, hun hele leven er voor om moeten gooien - doet er allemaal niet toe. Enige waar uiteindelijk voor de beoordeling van de prestaties van het UWV naar gekeken wordt is hoe vaak het tellertje +1 werkloos weer naar -1 werkloos is gegaan.

Het UWV is eigenlijk een toonvoorbeeld van hoe foute wijze van beoordeling en controle op een overheidsorgaan, een slechte situatie alleen maar slechter maakt.

[Reactie gewijzigd door R4gnax op 22 juli 2024 16:27]

RT-Fan @5V1NA70G • 14 mei 2024 21:56

Goede punten, eens!!

dragonsoldier 10 mei 2024 18:31

Na dit incident ging het UWV de inzage en het downloaden van cv's strenger in de gaten houden. Hierdoor kon degene achter het lek van vorige week zaterdag worden opgespoord.

Hoe kan iemand dan alsnog zoveel cv’s downloaden? Je kan bij bovengemiddeld veel downloads toch preventief een account blokkeren en vragen om uitleg? Bij valide reden kan quotum verhoogd worden. Dit zijn toch simpele dingen die ieder systeem/api hoort te hebben?

Datalek
Nederland
Economie en maatschappij

@dragonsoldier • 10 mei 2024 19:18

Een beveiliging zal niet zomaar herkennen dat er toegang tot te veel gegevens is. Dan zal een crimineel ook aan bepaalde extra kenmerken moeten voldoen waar de beveiliging op werkt. Als de persoon bij zoveel gegevens kon kun je er dus bijvoorbeeld vanuit gaan dat deze bepaalde beveiliging ongedaan kom maken. Bijvoorbeeld door de beveiliging voor de gek te houden. Of op een manier van het systeem gebruik te maken waarop een beveiliging opzettelijk niet werkt omdat het anders te veel valse meldingen zou geven of onterecht gewoon gebruik zou belemmeren.

hackerhater @kodak • 10 mei 2024 19:32

Alleen al het aantal in de korte tijd zou al de beveiliging moeten trippen.

Datalek
Nederland
Economie en maatschappij

@hackerhater • 10 mei 2024 19:58

Dat hangt van de omstandigheden af. Een grote hoeveelheid in korte tijd kan ook een te verwachten opdracht om een backup te verwerken zijn. Of dat het lijkt of veel verschillende gebruikers gewoon van een website gebruik maken. Daarbij is er kennelijk iets getriggerd dat ze het weten, wat dus juist ook door beveiliging kan zijn.

hackerhater @kodak • 10 mei 2024 20:01

Een backup die gemaakt wordt zal buiten de website code om gaan.
En uiteraard had ik het over een grote hoeveelheid door 1 account.

Bij mijn vorige klant als je zo'n beveiliging triggerde gooide de code automatisch dat account op slot, voor ie uberhaupt de beheerders ging informeren.
Better safe then sorry met gevoelige gegevens.

[Reactie gewijzigd door hackerhater op 22 juli 2024 16:27]

Datalek
Nederland
Economie en maatschappij

@hackerhater • 10 mei 2024 22:50

Het nieuws is niet dat de verdachte perse maar een website gebruikt heeft. Het kan net zo goed dat iemand via een omweg toegang tot een beheerpanel heeft gekregen of een api die automatisch te gebruiken was.

Het punt bij de voorbeelden is dat er tal van mogelijkheden zijn dat je stelling over beveiliging niet zomaar te verwachten is. Dat jou klant het prima lijkt om liever van het ergste uit te gaan gaat niet zomaar op voor een ander. En alle risico's zijn nu eenmaal niet zomaar met beveiliging af te dekken, dus ook datalekken niet.

Laat ze dus eerst maar aantonen wat hier het probleem precies was, of daar rekening mee was gehouden en waarom er kennelijk niet duidelijk is of de gegevens gedownload zijn.

hackerhater @kodak • 11 mei 2024 21:59

Datalekken zijn uiteraard nooit volledig uit te sluiten.
Maar 150.000 dossiers kunnen inzien had voor niemand voor de website-kant mogelijk moeten zijn.
Niet voor werkzoekenden, niet voor bedrijven, niet voor beheerders. Voor niemand.

En ja mijn klant nam dataveiligheid serieus. Het waren nog net geen medische gegevens. Zelfs het IT-team kon niet overal bij. Ja theoretisch konden we onszelf de rechten geven, maar dan gingen er gegarandeerd een hoop alarmbellen af. En je was er gloeiend bij door de audit-logs.

Finraziel

@dragonsoldier • 10 mei 2024 18:37

Ja vind het ook wel een beetje vreemd dat ze zo sterk afgeven op de dader, en natuurlijk zit die persoon fout... Maar ze lijken compleet voorbij te gaan aan hun eigen verantwoordelijkheid om die gegevens te beveiligen.

CAPSLOCK2000

Nederland
Datalek
Economie en maatschappij

10 mei 2024 18:34

Het gaat om cv's die gebruikers via de website werk.nl hebben geüpload. Op de site kunnen gebruikers zich inschrijven als werkzoekende.

Kunnen of moeten? Ik begrijp dat het verplicht is om je daar in te schrijven als je een uitkering wil. Omdat het verplicht is zou er ook een extra plicht moeten zijn om die data goed te beveiligen.

Hagdos @CAPSLOCK2000 • 10 mei 2024 18:58

In mijn recente herinnering was het verplicht. In die zin, dat als je het niet doet je het recht op een WW-uitkering verliest. Misschien is dat juridisch gezien niet verplicht, maar ook niet vrijwillig.

Mijn CV staat er in ieder geval op, en niet omdat ik de illusie had dat ik via die weg werk zou gaan vinden.

Llopigat

Economie en maatschappij

@Hagdos • 10 mei 2024 19:19

Klopt. met bijstand ook (niet iedereen kan WW krijgen immers). Je wordt in dat geval ook verplicht op elke soort baan te solliciteren.

jpsch @Hagdos • 10 mei 2024 19:18

Zo'n zelfde constructie als legitimatie. Je hoeft 'm niet bij je te hebben, maar je moet 'm wel tonen als er om gevraagd wordt. Hoe verzin je 't.

@jpsch • 11 mei 2024 10:20

Het lijkt erg krom, maar juridisch is er een groot verschil tussen een draagplicht en een toonplicht van een ID-bewijs.
Bij een draagplicht kan iedere politieagent of BOA je op straat vragen om je ID-bewijs. Omdat je verplicht bent om je ID te dragen kan zonder enige aanleiding gecontroleerd worden of je aan die plicht voldoet.
Bij een toonplicht (zoals in Nederland) ben je alleen verpplicht om je ID-bewijs te tonen wanneer daar een aanleiding voor is.
In de praktijk betekent het allebei dat je je ID-bewijs bij je moet hebben, maar dat je met enkel een toonplicht niet willekeurig aangehouden kan worden om je ID-bewijs te tonen.

jpsch @CivLord • 11 mei 2024 11:40

Ja, juridisch kun je een beetje zwanger zijn.

joeri1

@CAPSLOCK2000 • 11 mei 2024 23:36

Dit is een verplichte 'taak' die je dient uit te voeren om het recht op uitkering te behouden.

WebApp 10 mei 2024 18:33

De passende maatregelen bestaan blijkbaar uit het offline halen van de website tot maandag...
https://www.werk.nl/

[Reactie gewijzigd door WebApp op 22 juli 2024 16:27]

Economie en maatschappij
Nederland
Datalek

@WebApp • 10 mei 2024 18:39

Als eerste maatregel lijkt me dit een prima en begrijpelijke keus. Dan zorg je er in ieder geval voor dat het lek niet nóg groter wordt dan het al is. Schade en risico beperken dus.

Daarna kan je dan aan een structurele oplossing gaan werken. Dat kost nu eenmaal tijd, en doe je niet even in een verloren uurtje op de vrijdagmiddag na Hemelvaart. Iets met veel mensen die vrij zijn enzo.

WebApp @wildhagen • 10 mei 2024 18:49

Kan inderdaad een goede eerste reactie zijn, alleen zijn we ondertussen zo'n week na het incident.

sircampalot 11 mei 2024 01:32

Economie en maatschappij
Nederland
Datalek

@WebApp • 10 mei 2024 18:57

Klopt, maar dat het op 4 mei gebeurd is, hoeft nog niet te zeggen dat het UWV het toen ook al meteen wist uiteraard.

Voor hetzelfde geld hebben ze het bij wijze van spreken vanochtend pas bij toeval ontdekt.

Ik weet bijvoorbeeld niet of er actieve monitoring op dit systeem zit, die een alarm geeft bij verdachte activiteit, zoals deze. Je zou het uiteraard wel verwachten, maar ja, je zou ook verwachten dat iets als dit incident niet zou kunnen...

RT-Fan @WebApp • 14 mei 2024 21:57

Nee hoor... alle websites zijn online. zowel UWV als Werk.nl

Onderhoud werk.nl
Maandag 14 mei van 23.00 uur tot uiterlijk dinsdag 15 mei 7.00 uur is werk.nl niet bereikbaar. We voeren dan onderhoud uit. Via MijnUWV.nl kunt u eventueel uw taken doorgeven.

Dit hebben ze wel ...

WebApp @RT-Fan • 18 mei 2024 18:43

Je reageert op iets dat 4 dagen ervoor geschreven is...

Tegen de 14de was hij inderdaad terug online, maar hij is wel degelijk verschillende dagen offline gegaan, minstens van de 10de tot de 13de:
https://web.archive.org/w...4331/https://www.werk.nl/

Op de site kunnen gebruikers zich inschrijven als werkzoekende

Niet helemaal correct: op die site moet je je inschrijven als je een ww uitkering wilt ontvangen (in mijn tijd: ~10 jaar geleden).
Dit was dan ook een goudmijntje voor recruiters; kijk wie er >6mnd op staat, en biedt ze een baan voor een lager salaris dan normaal.

[Reactie gewijzigd door sircampalot op 22 juli 2024 16:27]

@sircampalot • 11 mei 2024 10:40

Dit was dan ook een goudmijntje voor recruiters; kijk wie er >6mnd op staat, en biedt ze een baan voor een lager salaris dan normaal.

En daarmee heeft degene die al langer dan een half jaar werkloos was wel weer een baan. Wanneer het makkelijk was om een baan te vinden voor een normaal salaris, was diegene niet al zolang werkloos.
Vannuit die lager betaalde baan is het wel weer makkelijker om een beter betaalde baan te vinden.

ferryc @CivLord • 14 mei 2024 11:26

Wat een complete onzin is dit! Dus een werkzoekende moet lager terug inschalen?! Je salaris is een resultante van je bijdrage in een bedrijf/instelling. Een nieuwe wg weet toch niet wat je verdiende in je vorige baan. Deze opmerking slaat echt helemaal nergens op. Daarnaast, wat je zegt is dat een nieuwe wg er bij een 'herintreder' vanuit kan gaan dat die persoon snel weer vertrekken zal ivm salaris onder marktniveau.
Had je hier lang over nagedacht voor je dit schreef?

NLxAROSA 10 mei 2024 18:31

@ferryc • 16 mei 2024 08:53

Ja, ik heb nagedacht over wat ik schreef.

Wanneer iemand al tevergeefs meer dan een half jaar een baan zoekt, en een recruiter kan je met een lager loon vrijwel direct plaatsen, heb je óf niet goed genoeg gezocht óf was je salariswens te hoog.
Wanneer een werkgever iemand in dienst neemt op een slaris onder het marktniveau, dan moet die werkgever er inderdaad niet vreemd van opkijken wanneer diegene weer vertrekt wanneer hij ergens anders wél marktconform kan verdienen. De werkgever kan natuurlijk voorkomen dat diegene vertrekt, door een marktconform salaris in het vooruitzicht te stellen.

Het uitgangspunt van de oorspronkelijke reageerder is iermand die al langer dan een half jaar geen werk kan vinden.
Jij vind dat diegene lekker in zijn uitkering moet blijven zitten totdat hij de bijstand in gaat? (Of meer realistisch, een willekeurige baan moet accepteren voor het minimumloon.)

Heb jij wel nagedacht over wat jij schreef?

ferryc @CivLord • 16 mei 2024 15:33

Op basis van jouw verhaal prees je jezelf boven de markt. PS, ben ook zoekende (vanaf nov 23).

Datalek is altijd ernstig, maar in dit geval is je CV wel breed gedeeld.

Economie en maatschappij
Nederland
Datalek

@NLxAROSA • 10 mei 2024 18:33

Je kan het in het belachelijke trekken natuurlijk, maar dit is uitermate ernstig en kwalijk.

Als er dingen als BSN nummers in staan bijvoorbeeld kan dit identiteitsfraude opleveren waar mensen nog letterlijk jaren last van kunnen hebben.

Of denk aan adressen, telefoonnummers etc, waar mensen op lastiggevallen kunnen worden.

En zo staan er mogelijk nog wel meer dingen in die CVs die je liever niet publiek wil hebben.

Groningerkoek @wildhagen • 10 mei 2024 18:45

Het lastige is dat je dit al als publieke informatie moet beschouwen, elke werkgever in Nederland kan die CV's legaal inkijken.

The Zep Man

Datalek
Nederland
Economie en maatschappij

@Groningerkoek • 10 mei 2024 18:53

Werkgevers != Publiek. Verder zouden er natuurlijk ook vanuit het UWV beperkingen op het opvragen van dergelijke gegevens kunnen zitten (die helaas lijken te ontbreken).

Groningerkoek @The Zep Man • 10 mei 2024 20:39

Er zijn 1.8 Miljoen bedrijven in Nederland. Die allemaal toegang hebben tot deze info. Dan moet je als je daar wat upload net zo voorzichtig zijn met gegevens als BSN/telefoon e.d. als wanneer je een publiekelijke post op FB maakt.

En nee, er zijn niet echt beperkingen.

The Zep Man

Datalek
Nederland
Economie en maatschappij

@wildhagen • 10 mei 2024 18:49

Als er dingen als BSN nummers in staan bijvoorbeeld kan dit identiteitsfraude opleveren waar mensen nog letterlijk jaren last van kunnen hebben.

Als Nederlander hoor je de wet te kennen, en te weten waar je je BSN voor mag gebruiken. Sollicitatie staat niet op die lijst.

Verder kan ik mij niet voorstellen dat die CV's gestolen zijn met het idee om BSN's te verzamelen. Dat is nogal ongebruikelijk. Die data is eerder interessant omdat het mensen zijn die het vaak wat minder hebben, dus die bijvoorbeeld goed te benaderen zijn als katvangerss.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 16:27]

Orangelights23 @wildhagen • 10 mei 2024 19:03

Wat kun je tegenwoordig nog met alleen een BSN? Praktisch niets hoop ik, anders zou Nederland jaren achterlopen op andere landen waar je niets kunt met die getallenreeks.