UWV meldde tot november dit jaar 769 datalekken bij AP, met laag risico

De Nederlandse uitkeringsinstantie UWV meldde in de eerste tien maanden van dit jaar 769 datalekken aan de Autoriteit Persoonsgegevens. Vier daarvan hadden een grote impact, zoals een datalek op Werk.nl. In de andere gevallen ging het bijvoorbeeld om verkeerd geadresseerde brieven. De Sociale Verzekeringsbank had 855 datalekken, die het elf keer meldde.

Dat schrijft het Nederlandse kabinet in zijn periodieke Stand van uitvoering sociale zekerheid. Het Uitvoeringsinstituut Werknemersverzekeringen meldde tussen 1 januari en 31 oktober 769 datalekken aan de Autoriteit Persoonsgegevens. "In vrijwel alle gevallen betrof het datalekken met persoonsgegevens van één persoon waarbij de mogelijke risico’s beperkt zijn", schrijft het kabinet. Er staat in de rapportage niet gespecificeerd wat dat inhoudt, maar in het verleden bleken zulke gevallen vaak verkeerd geadresseerde brieven te zijn waarin persoonsgegevens naar verkeerde ontvangers werden gestuurd. Het gaat volgens het kabinet om datalekken die slechts één slachtoffer hebben, wat dat beeld kan bevestigen.

In vier gevallen ging het om grotere, ernstigere privacyschendingen. Het rapport verwijst onder andere naar het datalek op Werk.nl eerder dit jaar. Daarbij kreeg een onbevoegde inzage in 150.000 cv's van Nederlanders.

De Sociale Verzekeringsbank had dit jaar 855 datalekken, stelt de rapportage. De SVB heeft er daar elf van gemeld aan de Autoriteit Persoonsgegevens. Dat is niet ongebruikelijk. Onder de AVG is het alleen verplicht een datalek aan de toezichthouder te melden als dat een risico oplevert voor slachtoffers. Sommige bedrijven of instanties maken daar een andere inschatting van; het kan zijn dat een dienst als het UWV sneller geautomatiseerde meldingen doet, terwijl dat niet per se nodig is.

IT-banen

Reacties (27)

bazs2000 20 december 2024 13:56

UWV is snel met het registreren van potentiële datalekken. Iedere registratie wordt goed onderzocht en gelukkig is het merendeel geen echt lek.

Ik vind het uiterst prettig dat het melden ook actief wordt aangemoedigd. Ook op mijn afdeling moedig ik iedereen aan om elk mogelijk lek te melden.

Bij ons komt dus de post binnen. Het gebeurt vaak dat stukken onbestelbaar retour komen maar onderweg wel zijn geopend. Daar moet je dan wat mee.

Ook ontvangen wij dagelijks post dat niet voor UWV is bestemd. Meestal sturen wij dat door. Soms wordt het poststuk onverhoopt wel geopend waarna deze wordt gemeld.

Het melden en registreren is veel werk al werpt het z'n vruchten af. In de afgelopen paar jaar heb ik het aantal interne meldingen zien afnemen. Heel mooi omdat wij dagelijks een zeer grote hoeveelheid poststukken verwerken.

Anoniem: 2195394 @bazs2000 • 20 december 2024 14:51

Even een vraag uit interesse, werkt dat heel veel melden niet juist een beetje tegen bij het gevoel van urgentie creëren?

Als ik dit bericht zie gaat het om ~2 meldingen per dag, dus ik kan me voorstellen dat het op een gegeven moment binnen de organisatie niet meer als heel gek wordt gezien om een datalek op je naam te hebben (motto: het gebeurt iedereen wel eens).

Verder natuurlijk positief! Fouten zoals verkeerd bezorgde post gebeurt iedereen en zal tot het einde ter tijd blijven gebeuren, dus alleen maar goed om te zien dat organisaties er voor uit willen komen en er actief mee bezig zijn.

bazs2000 @Anoniem: 2195394 • 20 december 2024 15:07

Je zou het kunnen denken, gelukkig is het tegendeel waar.

Bij ons werken ongeveer 120 mensen. Deze nemen de post in ontvangst (postzakken) waarna het eerste sorteren wordt uitgevoerd. Hier wordt soms al het één en ander uitgevist.

Daarna wordt alles machinaal geopend en gesorteerd naar aandachtsgebied. Vervolgens wordt het naar de afdelingen gebracht waar het uitpakken van de poststukken en het scanklaar maken (vrijwel alles wordt gedigitaliseerd). Tijdens dat proces komen de verkeerde poststukken aan het licht en worden apart gehouden.

Uiteindelijk bepaalt de staat van het poststuk wat er vervolgens mee gebeurt. Ongeopend gaat retour. Geopend wordt voorzien van een speciale stempel en wordt uitgezocht waarna registratie volgt.

Alles wat wij met de post doen is vastgelegd en hiervoor zijn strikte processen ingericht. Nieuwe medewerkers zullen bijvoorbeeld niet direct met dergelijke poststukken aan de gang gaan, dat vereist wat meer ervaring.

De gedrevenheid onder de medewerkers om het juiste te doen is groot. Bij ons wordt niemand 'meldingsmoe'.

Memori @bazs2000 • 20 december 2024 18:08

waar het uitpakken van de poststukken en het scanklaar maken (vrijwel alles wordt gedigitaliseerd)

Mogen jullie dit doen / hebben jullie daar toestemming voor, of hangt dit complete systeem los van wat voor netwerk dan ook? Voor het digitaal verwerken van persoonsgegevens heb je namelijk toestemming nodig, en als iemand je een brief stuurt, komt die niet met een vinkje "akkoord met de voorwaarden"

jochemd @Memori • 21 december 2024 01:33

Toestemming? Hoezo? Vanuit de AVG maakt het niet uit of je digitaal of analoog verwerkt. En toestemming is slechts 1 van de 6 grondslagen. En juist voor de overheid geld dat de grondslag toestemming een probleem is omdat je door de machtsongelijkheid er niet zomaar op kan vertrouwen dat de toestemming daadwerkelijk vrij (i.e. vrijwillig) is gegeven.

Memori @jochemd • 21 december 2024 03:16

Klopt inderdaad. Ik zat met het DPA van 1998 in mijn hoofd.

Maar volgens mij wordt je door het GDPR/AVG verplicht om transparant te zijn. Het lijkt mij dus noodzakelijk om te vermelden dat brieven gedigitaliseerd worden bij ontvangst, en hoe lang deze data wordt bewaard. Brieven digitaliseren creëert namelijk digitale sporen, en een burger kan redelijkerwijs verwachten dat een brief die ze sturen, analoog blijft. En dan is er de vraag of er is nagedacht om een opt-out mogelijk te maken (dan wel niet door middel van het recht om bezwaar te maken). En uiteraard de overweging of het digitaliseren van brieven echt strikt noodzakelijk is (dat zal het vast zijn met honderden/duizenden brieven per week). Nogmaals; mijn interpretatie.

Misschien kan @bazs2000 hier wat meer inzicht over delen?

bazs2000 @Memori • 22 december 2024 02:06

Doelbinding en proportionaliteit zijn de sleutelwoorden hier.

Wij hebben wettelijke taken uit te voeren, daarvoor zijn gegevens nodig. Een BSN bijvoorbeeld is een belangrijk sleutelkenmerk. Zonder dat zijn wij niet in staat te functioneren en dus hebben wij dit nodig.

Hoe deze sleutelkenmerken worden ingezet zijn strak omkaderd en alles buiten deze kaders wordt nauwlettend gevolgd.

Dagelijks komen er meerdere stukken voorbij waar twijfels over bestaan. Als teammanager heb ik meerdere opties deze stukken goed te laten landen. Zo heb ik contact met meerdere partijen waar de zogeheten twijfelgevallen worden besproken. Deze partijen omvatten uitkeringsdeskundigen maar ook procesarchitecten. Een twijfelgeval wordt dan omgezet naar een geanonimiseerde casus opdat er gekeken kan worden hoe te handelen.

Daarnaast archiveren wij de poststukken. Hierbij wordt onderscheid gemaakt tussen medische en niet medische informatie. Wat medisch is wordt bepaald door een strikte definitie. Deze definitie bepaalt wie deze informatie kan zien en wie niet.

Bij twijfel wordt gekozen voor medische classificatie om ieder risico uit te sluiten dat informatie wordt ingezien door medewerkers die het vanuit hun functie niet mogen inzien.

Mocht blijken dat informatie toch wel inzichtelijk moet zijn voor meer partijen dan kan daar intern een verzoek worden ingediend. Dit verzoek wordt vervolgens afgewogen tegen diverse criteria voordat de gewenste documentaanpassing wordt ingezet.

Deze methodiek is effectief al heeft het een grote beperking, tijd! Iedere afweging kost tijd en gaat ten koste van effectiviteit. Intern speelt men dus op safe waardoor in specifieke gevallen informatie niet tijdig beschikbaar is.

Dit is de spagaat tussen het uitvoeren van de wet en het nemen van de menselijke maat.

Als teammanager heb ik de keuze om bepaalde informatie via een fastlane alsnog te openbaren, in de praktijk kom ik weinig een situatie tegen waarbij ik deze keuze moet maken. Als er zich een keuze aandient dan volg ik mijn morele compas. Wat zou ik willen in eenzelfde situatie en wat zou mij verder helpen?

Ik heb een grote schare ter beschikking die daarbij kunnen helpen. En dit past prima binnen de strikte kaders.

En zelfs dan kan het gebeuren dat een casus een urgentie kent dat kaders overschreidt en daar kan ik persoonlijk de boer mee op. Het komt niet vaak voor maar wanneer een dergelijke casus de revue passeert laat ik alles vallen en is dat mijn prio.

Doelbinding en proportionaliteit. Belangrijke sleutelwoorden, als teammanager en als mens.

Memori @bazs2000 • 22 december 2024 02:58

Bedankt voor de inzicht; heel erg informatief. Een wereld die voor mij anders ontzichtbaar zou zijn geweest. Het kost inderdaad veel tijd, maar je mag dan trots zijn dat alles als een geoliede machine volgens de regels gaat.

Helaas gaat het vaak fout wanneer informatie met derde partijen wordt gedeeld, of als intern te veel voor iedereen beschikbaar is (zie bijv. het debacel rond het coronasysteem van GGD). Het systeem is zo sterk als de zwakste schakel. Van elkaar leren (dingen serieus te nemen) is dus belangrijk.

Blokker_1999

Datalek
Nederland
Privacy

@Anoniem: 2195394 • 20 december 2024 18:55

Het is niet aan de persoon die de melding doet om de urgentie van die melding te bepalen. Voor hen die het melden mag het dus niet uitmaken of je 1 melding per jaar maakt of 5 meldingen per dag maakt.

Een datalek op je naam hebben, net zoals fouten maken, mag niet snel een probleem zijn en wordt, wat mij betreft, nog te vaak als iets negatiefs aanzien. Zelf ben ik grote voorstander van de zogenaamde just culture waarbij je net probeert van niemand de schuld in de schoenen te schuiven wanneer blijkt dat processen slecht zijn, wanneer een fout niet met opzet is gemaakt.

Missen is menselijk, en hij die zonder zonde is werpe de eerste steen.

toekie @bazs2000 • 20 december 2024 14:28

Dit zijn prettige berichten om te lezen. Dank voor de inzet.

kabelmannetje 20 december 2024 13:48

Oftewel, Truus van de administratie die "toevallig" even de gegevens van de buurvrouw inkijkt?

Paul @kabelmannetje • 20 december 2024 14:11

Nee, Klaas op ABC-straat 12 die een brief opent die voor de vorige bewoner bedoeld is. Of Pietje op XYZ-laan 53 die een brief voor Jantje opent die op XYZ-laan 35 woont (typfout in systeem of verkeerd bezorgd door postbode).

Interne lekken zoals jij ze noemt zijn in veel moderne systemen niet mogelijk, of hebben een "break the glass"-functie die je vraagt of je zeker weet dat je deze gegevens in wil zien want "het systeem" denkt dat je dat niet mag, en dat doorgaan wel inhoudt dat je de gegevens te zien krijgt, maar ook dat dit wordt gemeld aan je leidinggevende.

Gezien deze lekken gemeld zijn, lijkt het me dat ze ofwel een dusdanig systeem hebben, of de gemelde lekken een andere oorzaak hebben

En, bij een bedrijf dat er zo bovenop zit (en als ze 769 lekken melden, ook als ze zo "klein" zijn, dan lijkt het me dat ze er bovenop zitten) sterft dat soort misbruik vanzelf uit want onbevoegd gegevens inzien is grond voor berisping of zelfs ontslag.

morphje @Paul • 20 december 2024 15:04

Ja bij moderne systemen is die mate van controle inderdaad ingebouwd. Maar we hebben het hier over het UWV, dat is niet modern, consistent en met nul besef van echte cybersecurity gebouwd. At-best is dat tegen bestaande systemen geplakt voor de truus van accounting of klaas van support, maar dat is zeker niet modern en zeker niet consistent uitgevoerd. En niemand bij het UWV die mij kan garanderen (want oud spul) dat er geen gaten zijn. Het loopt ook over van de consultants bij het UWV en die willen dat soort oude meuk niet repareren, laat staan analyseren. De bestaande medewerkers snappen het niet, willen het niet snappen of ze worden actief onderdrukt door management waardoor het nooit opgelost gaat worden.

En ik durf er om te wedden dat bij het UWV meer dan genoeg "upper management interfaces" zijn die totaal buiten de logging staan en dus ook toezicht. We weten het alleen als het te laat is, zoals bij het toeslagen schandaal. Ook zo'n blinkend voorbeeld van een moderne organisatie met moderne applicaties, moderne richtlijnen voor uitvoering en controle

RobVI @morphje • 20 december 2024 15:58

Als het werkelijk zo'n puinzooi zou zijn bij het UWV m.b.t. cybersecurity, zouden er allang miljoenen persoonsgegevens op straat zijn beland. Dat dat nog niet is gebeurd, bewijst dat het UWV toch wel iets goed doet op het gebied van cybersecurity.

morphje @RobVI • 20 december 2024 17:07

Oh het kan van buiten prima dichtgetimmerd zijn. Dit soort organisaties werken vaak nog met protocollen die alleen maar geschikt zijn voor LAN of VPN. Elke organisatie gebruikt RDP voor het beheer van windows servers en dat is historisch altijd een waardeloos protocol geweest. En toch kan je het beveiligen met andere netwerklaagjes. Pentests en audits focussen vaak op de externe toegang, want dat is de grootste aanvalsvector. Maar met dat soort logica (die ik helaas te vaak zie en hoor) blijft de interne controle achterwege of is minimaal.

Dan zit je met de security awareness van medewerkers. Die zien vaak dat soort issues niet als probleem. Dus hoe moet de controleur uberhaupt weten dat er een probleem is? Hoewel je zou willen dat iedereen bewust is en alles meld, blijkt de praktijk helaas vele malen weerbarstiger.

En dat is juist waar ik op doel. De interne protocollen/programma's die niet volledig gecontroleerd worden. Die niet modern zijn. etc etc. Management interfaces die veel te complex zijn om te beveiligen of dat er zo weinig gebruik van gemaakt wordt, het niveau van effort <> reward te laag wordt. Auditors hebben simpelweg te weinig specifieke kennis/tijd om goed dat soort architecturen te analyseren.

Ik heb dat laatste nu al een aantal keer meegemaakt. Ik heb meerdere keren gepraat met experts/pentesters, auditors. Direct en indirect. Hele diepte uitleg over onze opzet. En dan haalt zo'n auditor er 1 simpel ding uit zoals "Hey, je wachtwoord voor applicatie X vervang je jaarlijks ipv elke 3 maanden". Terwijlk er hele goede redenen voor zijn. Of "je gebruikt Keepass, dat is ouderwets. Je moet een cloud based password manager zoals lastpass gebruiken". Samengevat, ik heb genoeg vertrouwen in dergelijke oude bedrijven, culturen en auditors om te garanderen dat er heeeeeeel veel over het hoofd gezien wordt.

Pas als NIS2 effectief ingaat, dan pas verwacht ik pas echte aandacht van management vanwege de ketenverantwoordelijkheid die erin gestopt is.

RobVI @morphje • 20 december 2024 17:25

Uit de tekst van bazs2000 in 'UWV meldde tot november dit jaar 769 datalekken bij AP, met laag risico' maak ik op dat bij het UWV het melden van potentiële datalekken actief wordt aangemoedigd.

Zo te lezen heb je geen ervaring met de situatie bij het UWV en baseer je je mening op ervaringen bij andere bedrijven/ overheidsinstellingen.

Skamba 20 december 2024 14:10

Kan me voorstellen dat een brief die naar een verkeerd adres wordt gestuurd al aangemerkt wordt als een laag risico datalek. Goed dat ze het goed bijhouden en rapporteren.

WouterL @Skamba • 20 december 2024 14:33

Laag risico datalekken moeten niet gemeld worden. Zo is onze wet geconstrueerd. En met een reden: om overbelasting van de AP te voorkomen. Met de introductie van de meldplicht datalekken in 2016 was dat niet zo: toen moest elke poep en scheet gemeld worden.

Let wel: niet melden betekent wel intern registeren, en zorgen dat het een leerproces wordt.
Laag risico datalekken melden aan de toezichthouder is cyoa compliance (cover your own ass…)

Quintiemero @WouterL • 20 december 2024 15:29

‘Geen risico’ datalekken moeten niet gemeld worden. De AVG spreekt over ‘enig’ risico. Alhoewel daar in de praktijk vaak wel wat speelruimte zit. Als je het intern iig maar scherp hebt en adequaat oppakt.

WouterL @Quintiemero • 20 december 2024 15:32

De avg spreekt niet over “enig”. De avg spreekt over (hoog) risico. Risico classificatie is dus een maatstaf om te gebruiken bij het niet of wel melden. Daarbij zijn “laag risico” datalekken dus vaak niet meldplichtig. Niet spannende gegevens in combinatie met één getroffene zal je in de regel niet vaak hoeven melden.

De AP is overigens de mening toegedaan dat indien er slechts één bijzonder persoonsgegeven bijzit, ongeacht het aantal getroffenen, dat het risico hiermee (kwalitatief) als hoog risico te kwalificeren valt. En dus meldplichtig aan betrokkene en de AP.
Wellicht kun je hier de lezing trekken dat bedoeld wordt met “laag risico” = “geen hoog risico”, maar dat kan ik hier niet goed uithalen

[Reactie gewijzigd door WouterL op 20 december 2024 15:35]

Quintiemero @WouterL • 20 december 2024 19:39

Onzin: art. 33 Avg: het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

De grens is dus heel laag, is er een risico=melden, dus ook laag risico.

Stel: N=1 buurman krijgt brief van buurvrouw, staat rekeningnummer en klantnummer in. Dat is al meldingswaardig want er is een/enig risico.

Nogmaals, eens dat organisaties veel lage risico’s niet melden en sommige meldingen vind ik ook dusdanig laag dat het niet meldingswaardig is, maar heel strikt gezien is de drempel heel laag.

[Reactie gewijzigd door Quintiemero op 20 december 2024 19:43]

WouterL @Quintiemero • 20 december 2024 19:49

Wat goed dat jij het beter weet dan de Europese richtsnoeren inzake datalekken

Wat weet ik er ook van joh. Het is slechts mijn baan.

Risico classificeren kent volgens de marges van de Europees vastgestelde richtsnoeren wel degelijk genoeg bewegingsvrijheid om een gewogen risico inschatting te maken. Meer dan het artikel doet vermoeden wellicht.

Het uitgangspunt is: “tenzij het onwaarschijnlijk is dat het een risico oplevert”

Soms kan dit risico zich voordoen naar context. In jouw voorbeeld kan context maken dat er toch sprake is van een risico, voorstelbaar bijvoorbeeld bij een brief van schuldhulp. (Stigmatisering/reputatieschade) in veel gevallen zal een los rekening nummer met klantennummer naar de buurman niet naar alle waarschijnlijkheid een risico opleveren. (Niet waarschijnlijk)

Tl;dr
De soep wordt heus niet zo heet gegeten.

[Reactie gewijzigd door WouterL op 20 december 2024 20:12]

Quintiemero @WouterL • 20 december 2024 20:14

Ja de edpb heeft het altijd goed

Nee ik volg hun guidelines ook graag haha.

Je hebt gelijk, vatte het iets te strikt op. Maar oneens dat ‘laag risico’ niet meldenswaardig is. Onwaarschijnlijk dat het een risico oplevert vind ik nog stuk ‘lager’ dan ‘laag’ risico.

Leuke aan dit vak is dat er veel bewegingsruimte is wat het ook lastig maakt, maar dat houd je scherp.

En eens, in de praktijk is er genoeg ruimte om niet te melden, als je maar goed handelt.

[Reactie gewijzigd door Quintiemero op 20 december 2024 20:18]

cool1971 @Skamba • 20 december 2024 14:46

Zitten toch vaak medische rapporten e.d. in, echt alles doen ze digitaal, behalve het medische gedeelte wegens gevaar op lekken via de site... Het blijft een schandelijke organisatie!

bazs2000 @cool1971 • 22 december 2024 02:23

Ik ben benieuwd naar jouw motivatie waardoor je UWV als schandelijke organisatie aanmerkt.

Medische informatie kan prima digitaal worden aangeboden binnen gestelde definities. Waar UWV mee te maken heeft zijn artsen, advocaten, specialisten van buiten UWV die nog altijd stukken per post versturen (faxen zelfs). De wet legt ons op deze stukken te verwerken en alsnog beschikbaar (dus digitaal) te stellen.

Kun je verduidelijken wat UWV verwerpelijk maakt? Ik haal het namelijk niet uit jouw reactie.

Frame164 @Skamba • 20 december 2024 14:50

Hangt van de inhoud van de brief af. Als het een brief van minister Faber naar de Europese Commissie is, dan is het inderdaad een laag risico :-)

Een voorstel van echtscheidingsadvocaat die per ongeluk naar de tegenpartij wordt gestuurd kan een hoog risico vormen voor het verloop van de onderhandelingen.

Dick Ravestein 21 december 2024 15:48

Kunnen datalekken met "laag risico" als ze genoeg voorkomen op dezelfde plek cumulatief worden qua data en daardoor toch op een gegeven moment een groot risico worden als deze kleine beetjes gestolen data gekoppeld (kunnen) worden?

Op dit item kan niet meer gereageerd worden.

UWV meldde tot november dit jaar 769 datalekken bij AP, met laag risico

Lees meer

IT-banen

Reacties (27)

Sorteer op:

Weergave: