image

Onderzoek: persoonsgegevens niet veilig bij gemeenten

zaterdag 20 juni 2015, 15:47 door Redactie, 22 reacties

Persoonsgegevens van Nederlanders zijn niet veilig bij gemeenten, zo concludeert het radioprogramma Argos na onderzoek naar het overheidssysteem Suwinet. Daardoor hebben derden toegang tot allerlei gevoelige informatie gekregen. Suwinet is een speciale database waarin instanties als de Belastingdienst, de IB-groep, Kadaster, Rijksdienst Wegverkeer en het UWV hun persoonsgegevens met gemeenten uitwisselen.

Via Suwinet, dat al 13 jaar bestaat, kan veel informatie over iemand worden verkregen. Dit kan bijvoorbeeld gaan om gegevens over arbeidsverleden, opleiding, salarisgegevens, hypotheek- of huurkosten, wat voor auto er wordt gereden, alimentatie, uitkering, saldo op de spaarrekening, studieschuld of boetes. Het systeem is bedoeld om te controleren of iemand recht heeft op een uitkering of om fraude met uitkeringen op te sporen.

In 2012 werden van bijna 5,5 miljoen Nederlanders de persoonsgegevens in Suwinet bekeken, terwijl er in dit jaar maar 3,7 miljoen mensen een uitkering kregen. Volgens Argos lappen de meeste gemeenten de beveiliging van Suwinet nog steeds aan hun laars en komt het voor dat er in de salarisgegevens van bekende Nederlanders wordt gezocht en dat er adresgegevens van vrouwen in blijf-van-mijn-lijfhuizen aan gewelddadige ex-partners worden verstrekt. Ook zouden commerciële incassobureaus het systeem gebruiken.

Voorlichting

De problemen met Suwinet zijn niet nieuw. Zo verscheen er begin dit jaar nog een onderzoek waarin onderzoekers de beveiliging van het systeem hekelden. De Vereniging Nederlandse Gemeenten (VNG) heeft de komende maanden verschillenden voorlichtingssessies over het systeem gepland staan, genaamd "Suwinet, veilig omgaan met elkaars gegevens". Eind 2013 bleek uit onderzoek van de inspectie SZW dat maar 4% van de gemeenten voldeed aan de normen voor het gebruik van Suwinet. Op 4 juni 2015 voldeed 17%. De VNG vindt de verbetering niet voldoende en houdt daarom met de inspectie regionale voorlichtingssessies.

Reacties (22)
20-06-2015, 16:26 door Anoniem
En wat gaan we er aan doen? Oh, ik weet al wat er voorgesteld gaat worden. Meer koppelen!
20-06-2015, 16:32 door karma4
Dat resultaat was te verwachten. Verantwoordelijkheden worden naar gemeten geschoven. Echter de kunde en het budget voor de kennis mist.
Er was een bewustzijnscampagne opgezet voor de bestuurders. En daarmee is alles politiek afgedekt.

Dat de realiteit niet gelijk is aan de politieke gedachte is maar bijzaak.
Dan is het resultaat van onveilige data governance iets voor een volgende parlementaire enquête als dat ooit mogelijk is in een big brother maatschappij.
20-06-2015, 17:10 door [Account Verwijderd] - Bijgewerkt: 20-06-2015, 17:11
[Verwijderd]
20-06-2015, 20:01 door [Account Verwijderd]
Door Anak Krakatau: je kunt een verzoek aan het bkwi in utrecht richten met de vraag wie er in jouw dossier heeft gesnuffeld.

document is hier te downloaden:
http://content1c.omroep.nl/urishieldv2/l27m1a17d8b438e5c81a0055857e7a000000.94c6470b1f4f6fa1d85ea076c7ef4f23/kro/documents/journalistiek/argos/Verzoek%20BKWI.pdf

Die link wordt geblocked vanwege copyright.
Kun je aangeven hoe/waar te vinden?
20-06-2015, 21:06 door Reinder
@NedFox:

Ik heb het document van Anak Krakatau niet kunnen vinden, ik ben wel hierop gestuit, via :
http://www.bkwi.nl/producten/suwinet-services/suwinet-inkijk/rapportage-suwinet/
het document
http://www.bkwi.nl/fileadmin/downloads/Suwinet/Informatie_over_logging_gebruik_Suwinet-Inkijk_v2010_01.pdf

Daaraan verwijzend denk ik dat het mogelijk is een inzageverzoek te doen. Ik weet niet of dat dan een WOB verzoek moet zijn of niet. Waarschijnlijk is dat kant-en-klaar document eenvoudiger, hopelijk kan Anak die nog opdiepen.
21-06-2015, 00:58 door Anoniem
En gaan er nog personen hun volksvertegenwoordigers aanmanen eindelijk eens de verantwoordelijke personen ter verantwoording te roepen? Heel veel blaat, weinig wol als het om opkomen van de eigen gegevens gaat.
21-06-2015, 08:17 door Anoniem
De overheid moet onze privacy beschermen, zie artikel 10 van onze Grondwet. Het tegendeel is hier aan de orde. De Wetgever die de wetten overtreed en de controleur die men niet kan controleren. Ik ben benieuwd hoelang dit nog doorgaat.
21-06-2015, 09:06 door Anoniem
Bij elke raadpleging zou de persoon waar het over gaat moeten automatisch worden gewaarschuwd met alle details van de persoon die de raadpleging doet (volledige naam, naam organisatie, werkgever en adres, telefoon en email) inclusief een volledige omschrijving van de reden van de raadpleging en noodzaak.

Bij misbruik moet de persoon of bestuurder strafbaar worden gesteld. De regering wil bestuurders van bedrijven steeds strenger aanpakken, maar dan mag er geen verschil zijn met publieke bestuurders.
21-06-2015, 09:15 door Anoniem
> Verantwoordelijkheden worden naar gemeten geschoven. Echter de kunde en het budget voor de kennis mist.

Je hebt dus geen idee waar je het over hebt. De Gemeenten willen wel, inderdaad is budget een probleem, maar met de kunde valt het echt wel mee. Het probleem zit in "Den Haag". Schuinte is niet iets wat een gemeente beheert, maar een landelijke dienst. Helaas heeft men in Den Haag geen idee van de werkelijkheid bij gemeenten en worden daardoor de meest onzinnige verplichtingen opgelegd. Schuinte is net zo goed als DigiD en talloze andere ellende, die allemaal landelijk gemaakt zijn.
Daar kan een gemeente zelf niets aan doen.
21-06-2015, 11:42 door Anoniem
Type "Verzoek BKWI.pdf" in duckduckgo.com en de eerste link je te zien krijgt, dat is 'm (Voor degenen die het document willen inzien van Anak Krakatau)

Bizar dat de hyperlink niet werkt. De publieke is echt de kluts kwijt, volgens mij vergeten zij dat zij betaald worden van ons belastinggeld en wij dus mogen bepalen wat er met de inhoud gebeurt.
21-06-2015, 12:09 door Anoniem
Link voor het inzage verzoek:

http://content.omroep.nl/kro/documents/journalistiek/argos/Verzoek%20BKWI.pdf
21-06-2015, 16:07 door [Account Verwijderd] - Bijgewerkt: 21-06-2015, 16:10
[Verwijderd]
21-06-2015, 16:11 door Anoniem
Door Anoniem: En wat gaan we er aan doen? Oh, ik weet al wat er voorgesteld gaat worden. Meer koppelen!

Nee, we brengen het onder bij een Amerikaans bedrijf, die onder de patriot act valt. En de database zetten we in Frankrijk, want.... eh...
21-06-2015, 17:38 door karma4
Door Anoniem: > Verantwoordelijkheden worden naar gemeenten geschoven. Echter de kunde en het budget voor de kennis mist.

Je hebt dus geen idee waar je het over hebt. De Gemeenten willen wel, inderdaad is budget een probleem, maar met de kunde valt het echt wel mee. Het probleem zit in "Den Haag". Suwinet is niet iets wat een gemeente beheert, maar een landelijke dienst.

Leuk die spellingschecker........We hebben beide een onbedoeld veranderd woord. Wat de uitspraak betreft over "Den Haag" zijn we het wel eens. Ze zijn er zelfs trots op niets van ICT te snappen.
De aansluiting naar suwinet moet elkegemeente zelf bouwen met een eigen ICT aanpak. Regelen van en beoordelen van bijstand en gezondheidszorg is echt naar de gemeenten als taak weggezet. Dat is uitgebreid in het nieuws geweest met alle ellende rond PGB's.
De ICT van de gemeente is daarbij verantwoordelijk geworden voor de data governance waarbij de burgemeester de rol van de CEO heeft.
Een beetje lastige link naar een pdf big van vng noemt specifiek suwinet. Het gaat om vrij om op vrij hoog niveau eisen normenkaders die aan de gemeentelijke ICT gesteld worden.
http://www.google.com/url?sa=t&source=web&cd=1&ved=0CBwQFjAA&url=http%3A%2F%2Fwww.vng.nl%2Ffiles%2Fvng%2F20141127-suwi-big-ibd.pdf&rct=j&q=vng%20iso%2027002%20suwinet&ei=jdiGVdyKG8mSU4bCrKgM&usg=AFQjCNE4RB63_3XOdfImBcl5gokB8otOBA
21-06-2015, 18:29 door Anoniem
Er wordt al jaren gewaarschuwd dat je niet ongecontroleerd (lees: onbestraft) allerlei mensen in allerlei gevoelige data moet laten lezen. Iets met dat de menselijke factor vaak de zwakste schakel in de beveiligingsketen vormt.

Een voorbeeld. Onderbetaalde medewerker met weinig toekomstverwachting en vastigheid, mogelijk zelfs chanteerbeer is, heeft toegang tot gegevens waar derden zeer in geïnteresseerd zijn. Zou die persoon op het idee kunnen komen een alternatieve inkomstenbron te benutten? Of daartoe aangezet kunnen worden? Nu zal dat met 1 persoon niet zo'n vaart lopen, maar bij 100, 1.000, 10.000 wordt het al snel een ander verhaal.

Pakkans zou aanzienlijk vergroot worden als mensen geautomatiseerd (via Digid mail?) zouden weten, niemand uitgezonderd, wie wanneer in hun privé gegevens zit te neuzen. Maar ja, dat heeft weer als nadeel dat mensen dan te weten komen hoe vaak, en door hoeveel, mensen er in hun privé gegevens wordt geneusd. En dat mogen de mensen niet weten, want blah blah blah.

Dat criminelen, en anderen mensen die wet en regelgeving slechts als een instrument zien om anderen mee onder de duim te krijgen, sinds jaar en dag zich op creatieve wijze toegang weten te verschaffen tot gevoelige informatie mag als een historisch feit worden gezien.

Het begrip "a rat", "a snitch", en dergelijke zijn zeker enkel Hollywoord fantasie termen?

Dat overheden met dergelijke scenario's geen rekening houden mag als onbehoorlijk bestuur worden gezien.
Zo snel als mogelijk wordt er met vingertjes naar anderen gewezen, en de eigen handen in onschuld gewassen.
Kortom, zij doen er helemaal niets aan, want het is niet hun probleem, en ondertussen is het maar wat makkelijk.

Zie daar het overheidsbeleid voor de (nabije) toekomst in een notendop.

De overheden zien graag dat zij gezien worden als de heilige graal waar enkel onkreukbare heiligen zich plichtsgetrouw aan de talloze opgelegde richt- en regelgeving houden, maar de praktijk van alle dag is dat corruptie en onkunde hoogtij vieren. Van hoog naar laag, van links naar rechts, van intern naar extern en omgekeerd.

De pakkans is minimaal, de straffen een lachertje en de persoonlijke verrijkingsmogelijkheden bijzonder ruim.

Wat er dan zou kunnen gebeuren is iets wat de praktijk leert, en niet de papieren werkelijkheid der gepolitiseerde kantoortijgers.
21-06-2015, 21:00 door Anoniem
Door Anoniem: Er wordt al jaren gewaarschuwd dat je niet ongecontroleerd (lees: onbestraft) allerlei mensen in allerlei gevoelige data moet laten lezen. Iets met dat de menselijke factor vaak de zwakste schakel in de beveiligingsketen vormt.

Een voorbeeld. Onderbetaalde medewerker met weinig toekomstverwachting en vastigheid, mogelijk zelfs chanteerbeer is, heeft toegang tot gegevens waar derden zeer in geïnteresseerd zijn. Zou die persoon op het idee kunnen komen een alternatieve inkomstenbron te benutten? Of daartoe aangezet kunnen worden? Nu zal dat met 1 persoon niet zo'n vaart lopen, maar bij 100, 1.000, 10.000 wordt het al snel een ander verhaal.

Pakkans zou aanzienlijk vergroot worden als mensen geautomatiseerd (via Digid mail?) zouden weten, niemand uitgezonderd, wie wanneer in hun privé gegevens zit te neuzen. Maar ja, dat heeft weer als nadeel dat mensen dan te weten komen hoe vaak, en door hoeveel, mensen er in hun privé gegevens wordt geneusd. En dat mogen de mensen niet weten, want blah blah blah.

Dat criminelen, en anderen mensen die wet en regelgeving slechts als een instrument zien om anderen mee onder de duim te krijgen, sinds jaar en dag zich op creatieve wijze toegang weten te verschaffen tot gevoelige informatie mag als een historisch feit worden gezien.

Het begrip "a rat", "a snitch", en dergelijke zijn zeker enkel Hollywoord fantasie termen?

Dat overheden met dergelijke scenario's geen rekening houden mag als onbehoorlijk bestuur worden gezien.
Zo snel als mogelijk wordt er met vingertjes naar anderen gewezen, en de eigen handen in onschuld gewassen.
Kortom, zij doen er helemaal niets aan, want het is niet hun probleem, en ondertussen is het maar wat makkelijk.

Zie daar het overheidsbeleid voor de (nabije) toekomst in een notendop.

De overheden zien graag dat zij gezien worden als de heilige graal waar enkel onkreukbare heiligen zich plichtsgetrouw aan de talloze opgelegde richt- en regelgeving houden, maar de praktijk van alle dag is dat corruptie en onkunde hoogtij vieren. Van hoog naar laag, van links naar rechts, van intern naar extern en omgekeerd.

De pakkans is minimaal, de straffen een lachertje en de persoonlijke verrijkingsmogelijkheden bijzonder ruim.

Wat er dan zou kunnen gebeuren is iets wat de praktijk leert, en niet de papieren werkelijkheid der gepolitiseerde kantoortijgers.

Tja, dat krijgt men na zo'n regenachtige zondagmiddag.
22-06-2015, 00:19 door Anoniem
Door Anoniem:
Door Anoniem: Er wordt al jaren gewaarschuwd dat je niet ongecontroleerd (lees: onbestraft) allerlei mensen in allerlei gevoelige data moet laten lezen. Iets met dat de menselijke factor vaak de zwakste schakel in de beveiligingsketen vormt.

Een voorbeeld. Onderbetaalde medewerker met weinig toekomstverwachting en vastigheid, mogelijk zelfs chanteerbeer is, heeft toegang tot gegevens waar derden zeer in geïnteresseerd zijn. Zou die persoon op het idee kunnen komen een alternatieve inkomstenbron te benutten? Of daartoe aangezet kunnen worden? Nu zal dat met 1 persoon niet zo'n vaart lopen, maar bij 100, 1.000, 10.000 wordt het al snel een ander verhaal.

Pakkans zou aanzienlijk vergroot worden als mensen geautomatiseerd (via Digid mail?) zouden weten, niemand uitgezonderd, wie wanneer in hun privé gegevens zit te neuzen. Maar ja, dat heeft weer als nadeel dat mensen dan te weten komen hoe vaak, en door hoeveel, mensen er in hun privé gegevens wordt geneusd. En dat mogen de mensen niet weten, want blah blah blah.

Dat criminelen, en anderen mensen die wet en regelgeving slechts als een instrument zien om anderen mee onder de duim te krijgen, sinds jaar en dag zich op creatieve wijze toegang weten te verschaffen tot gevoelige informatie mag als een historisch feit worden gezien.

Het begrip "a rat", "a snitch", en dergelijke zijn zeker enkel Hollywoord fantasie termen?

Dat overheden met dergelijke scenario's geen rekening houden mag als onbehoorlijk bestuur worden gezien.
Zo snel als mogelijk wordt er met vingertjes naar anderen gewezen, en de eigen handen in onschuld gewassen.
Kortom, zij doen er helemaal niets aan, want het is niet hun probleem, en ondertussen is het maar wat makkelijk.

Zie daar het overheidsbeleid voor de (nabije) toekomst in een notendop.

De overheden zien graag dat zij gezien worden als de heilige graal waar enkel onkreukbare heiligen zich plichtsgetrouw aan de talloze opgelegde richt- en regelgeving houden, maar de praktijk van alle dag is dat corruptie en onkunde hoogtij vieren. Van hoog naar laag, van links naar rechts, van intern naar extern en omgekeerd.

De pakkans is minimaal, de straffen een lachertje en de persoonlijke verrijkingsmogelijkheden bijzonder ruim.

Wat er dan zou kunnen gebeuren is iets wat de praktijk leert, en niet de papieren werkelijkheid der gepolitiseerde kantoortijgers.

Tja, dat krijgt men na zo'n regenachtige zondagmiddag.

Niet alleen op zondag. Een kleine hint (want, kennelijk, populair): http://daskapital.nl/2015/06/no_shit_systeem_met_gegevens_v.html
Welterusten. Google some more. Maybe you'll get it.
22-06-2015, 10:03 door Anoniem
Oud nieuws, en Argus blijft oude voorbeelden gebruiken (gevalletje: stemmingmakerij) , jammer dat iedereen de gemeenten noemt maar bijna niemand het feit dat Suwinet in zichzelf eigenlijk niet goed ontworpen is, zeker niet gezien waarvoor het nu nodig is. Misschien moeten ze daar eens wat aan doen.

Er staat zeker één foute aanname in het artikel: "In 2012 werden van bijna 5,5 miljoen Nederlanders de persoonsgegevens in Suwinet bekeken, terwijl er in dit jaar maar 3,7 miljoen mensen een uitkering kregen...." " .. Het systeem is bedoeld om te controleren of iemand recht heeft op een uitkering of om fraude met uitkeringen op te sporen...."

Er zijn veel meer situaties waar je suwinet voor nodig hebt dan het zoeken van uitkeringsgerechtigden.....
22-06-2015, 13:46 door Ron625
Door Anoniem: jammer dat iedereen de gemeenten noemt maar bijna niemand het feit dat Suwinet in zichzelf eigenlijk niet goed ontworpen is, zeker niet gezien waarvoor het nu nodig is. Misschien moeten ze daar eens wat aan doen.
Dat lijkt mij iets, waar ze nu jaren te laat mee zijn.
Per account, of per functie, kunnen bepaalde rechten worden ingedeeld.
Neem b.v. het BSN nummer als standaard, dan is het BSN aan alle gegevens te koppelen, maar iemand zal per veld toestemming moeten krijgen.
Alleen op die manier is te bepalen wie, wanneer, wat mag lezen.
Op een zelfde manier kan het aanpassen van gegevens geregeld worden.
ICT technisch niet zo erg moeilijk, maar een leuke opdracht voor de overheden .......
23-06-2015, 13:29 door karma4
Blijft mij verwonderen dat wijzen naar suwinet als instantie die zelf data zou beheren. Ze zich enkel tot doel gesteld in het faciliteren van gegevensuitwisseling tussen overheidsinstanties. De Gemeenten hebben een duidelijk aangewezen rol voor veilige ICT inrichting. We wijzen ook niet naar w3c in geval van website hacks. http://www.bkwi.nl/veiligheid/veilig-gebruik-suwinet/
24-06-2015, 07:47 door Anoniem
Door Anoniem: Oud nieuws, en Argus blijft oude voorbeelden gebruiken (gevalletje: stemmingmakerij) , jammer dat iedereen de gemeenten noemt maar bijna niemand het feit dat Suwinet in zichzelf eigenlijk niet goed ontworpen is, zeker niet gezien waarvoor het nu nodig is. Misschien moeten ze daar eens wat aan doen.

Er staat zeker één foute aanname in het artikel: "In 2012 werden van bijna 5,5 miljoen Nederlanders de persoonsgegevens in Suwinet bekeken, terwijl er in dit jaar maar 3,7 miljoen mensen een uitkering kregen...." " .. Het systeem is bedoeld om te controleren of iemand recht heeft op een uitkering of om fraude met uitkeringen op te sporen...."

Er zijn veel meer situaties waar je suwinet voor nodig hebt dan het zoeken van uitkeringsgerechtigden.....

Er zijn veel meer situaties waar je suwinet voor nodig hebt dan het zoeken van uitkeringsgerechtigden.....[/

Daar zit hem nou juist de kneep! In veel van deze situaties mag je hier voor SuWinet-Inkijk juist NIET gebruiken (zie Wet SuWi).
Dit is bij veel geautoriseerde raadplegers niet c.q. onvoldoende bekend en wordt ook door de organisaties onvoldoende uitgedragen, gecontroleerd en geborgd. (soms zelfs juist het tegendeel!) SuWinet-Inkijk wordt dan met de beste bedoelingen geraadpleegd of omdat het praktisch is voor een rechtmatige uitvoering van de wet maar dat laat onverlet dat dan de privacy-regels geschonden worden.
Voor SuWinet-Inkijk geldt: "privacy gaat voor op praktisch werken en rechtmatigheid".
Ook voor ambtenaren geldt dat integriteit niet voortvloeit uit de functie. Dat moet echt van de persoon zelf komen.
28-06-2015, 16:10 door Anoniem
Door Anoniem: Link voor het inzage verzoek:

http://content.omroep.nl/kro/documents/journalistiek/argos/Verzoek%20BKWI.pdf
Je moet het uitgeprinte verzoek ondertekenen, een kopie bijsluiten van een geldig ID-bewijs waarop je handtekening + BSN-nummer te zien zijn en dit alles per brief opsturen. Anders gaat het feest niet door.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.