image

Medewerkers Belastingdienst hebben geen data gedeeld

dinsdag 3 oktober 2017, 11:29 door Redactie, 43 reacties

Persoonsgegevens van burgers die medewerkers van de Belastingdienst naar zichzelf e-mailden zijn niet gedeeld met derden, zo heeft het Openbaar Ministerie vastgesteld. Staatssecretaris Wiebes van Financiën informeerde de Tweede Kamer over de verschillende onderzoeken naar de fiscus.

Begin dit jaar liet het televisieprogramma Zembla zien dat de financiële en persoonlijke data van 11 miljoen belastingbetalers en 2 miljoen bedrijven niet goed waren beveiligd bij de Belastingdienst. Daarop werden meerdere onderzoeken naar de beveiliging bij de fiscus aangekondigd. In juni meldde Wiebes dat zich tien gevallen hadden voorgedaan waarbij persoonsgegevens op een ongeoorloofde manier de fiscus hadden verlaten. Het ging om persoonsgegevens die per e-mail waren verstuurd. Volgens Wiebes gebeurde dit alleen voor werkdoeleinden en zijn er geen aanwijzingen gevonden dat persoonsgegevens voor andere doeleinden zijn gebruikt.

Het op deze manier omgaan met persoonsgegevens is tegen de regels en niet acceptabel, aldus Wiebes. "De belastingplichtige moet er vanzelfsprekend van kunnen uitgaan dat zijn persoonsgegevens binnen de systemen van de Belastingdienst worden verwerkt en dat de regels hierbij worden nageleefd. Juist daarom verdient de bescherming van persoonsgegevens bij de Belastingdienst de hoogste aandacht en zorg. De binnen de Broedkamer en diens opvolger Data & Analytics, met medeweten van betrokken management gehanteerde werkwijze, voldeed niet aan deze norm", laat de staatssecretaris verder weten.

Voor de gevallen die zich bij de afdeling Data & Analytics van de Belastingdienst voordeden is door de leveranciers verklaard dat persoonsgegevens die buiten het bereik van de Belastingdienst zijn gebracht, inmiddels zijn vernietigd dan wel op een dusdanige wijze zijn zeker gesteld dat er niets meer mee kan gebeuren. Tevens is voor deze gevallen op basis van onderzoek door betreffende leveranciers verklaard dat persoonsgegevens niet verder zijn verspreid. In één geval bleek dat een externe deskundige gebruikmaakte van een private clouddienst voor tijdelijke opslag van de persoonsgegevens. Wiebes meldt dat er is vastgesteld dat deze gegevens niet meer aanwezig zijn.

Geen opzet

Ook het Openbaar Ministerie voerde een onderzoek naar de Belastingdienst uit. Volgens het OM blijkt uit het strafrechtelijk onderzoek dat in een aantal gevallen door extern ingehuurde medewerkers vertrouwelijke informatie uit de werkomgeving van de afdeling D&A naar eigen apparatuur buiten de Belastingdienst is gebracht. "Als zodanig zou men zich in die gevallen niet gehouden hebben aan de door partijen ondertekende geheimhoudingsverklaringen", aldus het OM.

Uit het onderzoek is echter niet gebleken dat de informatie is gedeeld met personen buiten de groep medewerkers van de afdeling D&A. Deze informatie is ook niet voor een ander doel gebruikt dan om verder te werken. "Van enig opzettelijk handelen in het kader van Artikel 272 van het Wetboek van Strafrecht is niet gebleken. In verband hiermee is het onderzoek beëindigd", stelt het Openbaar Ministerie verder. Vanwege de incidenten zijn er verschillende maatregelen doorgevoerd of zullen later dit jaar bij de fiscus worden gerealiseerd. Daarnaast is de inhuur van de betrokken externe medewerkers per direct beëindigd.

Reacties (43)
03-10-2017, 12:09 door Anoniem
off topic:
Hoe komen belastingaangifte uit Nederland dan op de site van docplayer?
03-10-2017, 12:19 door Anoniem
Dus net als Snowden gegevens tegen de regels meenemen is niet strafbaar zolang je het maar niet deelt met derden!?
03-10-2017, 12:41 door Anoniem
Dus net als Snowden gegevens tegen de regels meenemen is niet strafbaar zolang je het maar niet deelt met derden!?

Is het juridisch strafbaar indien jij voor je werkzaamheden bedrijfsgegevens mee naar huis neemt, op een onveilige manier (wanneer je verder niet te kwader trouw bezig bent, en deze enkel gebruikt t.b.v. je werk) ? Het lijkt mij niet. Of het een overtreding is van bijvoorbeeld de security policy van je werkgever, staat daar weer los van.

Als je de akties van Snowden vergelijkt hiermee vergelijkt, dan denk ik verder dat je appels met peren een het vergelijken bent. Totaal niet vergelijkbaar.
03-10-2017, 12:44 door Anoniem
Onze zeer betrouwbare Roverheid.
Als het toch strafbaar is, maken we toch snel een regel, zodat het niet meer strafbaar is.
03-10-2017, 12:51 door karma4 - Bijgewerkt: 03-10-2017, 14:18
Door Anoniem: Dus net als Snowden gegevens tegen de regels meenemen is niet strafbaar zolang je het maar niet deelt met derden!?
Je kunt meteen elke wettelijke handhaver en toezichtshouder als persoon in de strafbank plaatsen. Uit het oogpunt van hun werk komen ze gevoelige gegevens in aanraking en dat mag niet. Nog steeds is onbekend uit welke hoek naar Zembla gestapt is en met welk doel.

Het zou zo maar kunnen zijn dat er een groep is/was die zich bedreigd voelde in hun situatie en een zeer gerichte aanval opgezet hebben tegen collega's.
- De fysieke toegang zou niet geregeld zijn. Bleek niet waar te zijn. Gewoon de standaard procedures.
- De usb toegang zou open staan voor externen, bleek niet waar te zijn. Betrof internen overgekomen van elders.
- externen zouden met eigen laptops op Bd systemen werken bleek niet waar te zijn.
- nu het zwaarste middel van strafrechtelijk onderzoek met aanname van schuld zonder echte aanwijzingen. Bleek niet waar te zijn. Het is de omgekeerde bewijslast die gehanteerd is.

Geloof je dat er een verbetering mee bereikt is? Ik niet ik geloof dat er ergens zich een paar lopen te verkneukelen dat ze de boel gesaborteerd hebben en zelf buiten schot gebleven zijn.
03-10-2017, 13:13 door Anoniem
Door Anoniem: Dus net als Snowden gegevens tegen de regels meenemen is niet strafbaar zolang je het maar niet deelt met derden!?
Daar lijkt het wel op. Artikel 272 van het wetboek van strafrecht gaat over het schenden van een geheim. Ik denk dat dat pas geschonden is als iemand het met een onbevoegde deelt, niet als die het gebouw van de werkgever verlaat met het geheim. Als dat zo was zouden werknemers zodra ze de deur uitgaan moeten vergeten waar ze mee bezig zijn.
03-10-2017, 13:19 door Anoniem
Hoe komen belastingaangifte uit Nederland dan op de site van docplayer?

Docplayer scraped het web. Hoeveel mensen denk je dat zelf per ongeluk hun belastingaangifte publiek online heeft staan ? De fout hoeft bij jouw voorbeeld echt niet te liggen bij de belastingdienst.
03-10-2017, 13:20 door Anoniem
Door Anoniem: Dus net als Snowden gegevens tegen de regels meenemen is niet strafbaar zolang je het maar niet deelt met derden!?

Als iemand al mijn geheimen weet maar ze meeneemt in het graf, ja, dan kan me dat inderdaad weinig schelen. Het vervelende is dat je dat meestal niet zeker weet en dat het ook maar zelden zo is.

Al denk ik niet dat in dit geval iemand die gegevens heeft meegenomen naar huis om ze gierend van het lachen te delen met vrienden.
Waarschijnlijker lijkt me dat het idee was: "die systemen van de overheid zijn tergend traag en thuis heb ik een supersnel bakbeest dus ik doe het wel even thuis".

Dit in tegenstelling tot alle gevallen waarbij een (politie-, zorg-, etc) medewerker een speciaal iemand (BNer, ex, vervelende buurman, of in opdracht van een bevriende journalist of deurwaarder) opzoekt in de systemen.

Het maakt het niet minder fout, maar het voelt (voor mij dan) moreel toch een beetje anders.
03-10-2017, 13:21 door Anoniem
Hoe komen belastingaangifte uit Nederland dan op de site van docplayer?

Hier een uitleg - https://www.rtlnieuws.nl/nederland/russische-whizzkid-wordt-rijk-door-jouw-documentjes
03-10-2017, 14:28 door Anoniem
Wat maakt het nog uit of ze wel of geen gegevens delen als zelfs snotneuzen achter kassa’s om je identificatiebewijs met id nummer kunnen vragen? Nederland is totaal verstand kwijt. Strijd tegen terrorisme. Lik me reet!
03-10-2017, 14:32 door Anoniem
Raar verhaal

Alle belastinggegevens liggen op straat ..

Spindoctors doen weer goed hun best.
Het ministerie ? Te vertrouwen ?

Alle bedrijfsdata .
Al je persoonlijke info .
Staat in bestanden.
D&A heeft samen met alle binnen/buitenlandse diensten realtime inzage.

Wat is dit voor Bullshit artikel
En de media trapt erin ?? Wtf !!?
03-10-2017, 14:35 door Anoniem
Door karma4:
Door Anoniem: Dus net als Snowden gegevens tegen de regels meenemen is niet strafbaar zolang je het maar niet deelt met derden!?
Je kunt meteen elke wettelijke handhaver en toezichtshouder als persoon in de strafbank plaatsen. Uit het oogpunt van hun werk komen ze gevoelige gegevens in aanraking en dat mag niet. Nog steeds is onbekend uit welke hoek naar Zembla gestapt is en met welk doel.

Het zou zo maar kunnen zijn dat er een groep is/was die zich bedreigd voelde in hun situatie en een zeer gerichte aanval opgezet hebben tegen collega's.
- De fysieke toegang zou niet geregeld zijn. Bleek niet waar te zijn. Gewoon de standaard procedures.
- De usb toegang zou open staan voor externen, bleek niet waar te zijn. Betrof internen overgekomen van elders.
- externen zouden met eigen laptops op Bd systemen werken bleek niet waar te zijn.
- nu het zwaarste middel van strafrechtelijk onderzoek met aanname van schuld zonder echte aanwijzingen. Bleek niet waar te zijn. Het is de omgekeerde bewijslast die gehanteerd is.

Geloof je dat er een verbetering mee bereikt is? Ik niet ik geloof dat er ergens zich een paar lopen te verkneukelen dat ze de boel gesaborteerd hebben en zelf buiten schot gebleven zijn.

dit zijn speculaties die nog erger ongefundeerd zijn als de paniek voetbal die plaatsgevonden heeft nadat duidelijk is geworden dat deze externe hippe jonges (met fiat van management dus) als cowboys aan de slag gegaan zijn. het is namelijk niet mogelijk voor een andere belanghebbende vanuit de dienst zelf die data op servers van die externen te krijgen en het is ook vrij gemakkelijk te controleren wie betaald heeft en ingelogged is op de externe cloud machine waarop persoonsgegevens gelekt zijn. Ook is vrij eenvoudig na te gaan in logs wie welke mails waneer verstuurd heeft. dus stop met FUD
03-10-2017, 14:36 door Anoniem
Het lijkt erop dat het voorkomen van data-lekken een onmogelijkheid is. Temeer omdat data nu eenmaal perfect gekopieerd kan worden.

Mogelijk dat door het opvoeden van personeel welke omgaat met persoonlijk (prive) data van derden ook niet werkt.

Misschien toch maar weer terug gaan de werkwijze dat data alleen toegankelijk is op de werkvloer, en/of in een gebouw. Geen verbinden met de buiten wereld (fysiek of anders), dus thuis werken is er niet meer bij. En ook geen usb stick en dergelijke. En ga zo maar door.

De hierboven geschetste omgeving is ook niet perfect, daar een brein dump mogelijk is. Het is en blijft mensenwerk.

Dit is inderdaad een interessante case om op te lossen, als dit mogelijk is? Maar tegen welke prijs?
03-10-2017, 15:23 door Bitwiper
Als e-mail voldoende veilig zou zijn voor het uitwisselen van persoons- en belastinggegevens, hadden we sites als https://mijn.overheid.nl/ niet nodig - die notabene de Belastingdienst ons door de strot probeert te douwen.
03-10-2017, 15:28 door MathFox
Door Bitwiper: Als e-mail voldoende veilig zou zijn voor het uitwisselen van persoons- en belastinggegevens, hadden we sites als https://mijn.overheid.nl/ niet nodig - die notabene de Belastingdienst ons door de strot probeert te douwen.
Email kan privacy-veilig, met encryptie (PGP).
03-10-2017, 15:46 door Bitwiper
Door MathFox:
Door Bitwiper: Als e-mail voldoende veilig zou zijn voor het uitwisselen van persoons- en belastinggegevens, hadden we sites als https://mijn.overheid.nl/ niet nodig - die notabene de Belastingdienst ons door de strot probeert te douwen.
Email kan privacy-veilig, met encryptie (PGP).
Weet ik, kan zelfs op 2 manieren, n.l. ook met S/MIME, en daarnaast had je de vertrouwelijke informatie als versleutelde bijlage kunnen versturen.

De praktijk is echter dat bijna niemand PGP en/of S/MIME gebruikt en dat op de beveiliging ervan vaak ook veel valt af te dingen (webmail is bijv. ongeschikt hiervoor). En dat men te lui is om bijlagen te versleutelen (of kraakbare ZIP/oude MS Office encrypte gebruikt). Indien sprake is van een andere ontvanger (dan zichzelf) is natuurlijk ook vereist dat de sleutel op veilige wijze wordt uitgewisseld (en niet ook via hetzelfde kanaal).

Als aangetoond is dat de informatie fatsoenlijk versleuteld was en uitsluitend geautoriseerden toegang konden hebben tot de sleutel, is het natuurlijk een ander verhaal. Maar er staat niets over versleuteling in bovenstaand stuk, en dat is dusdanig relevante informatie dat ik die wel verwacht had - als daarvan gebruik gemaakt was.
03-10-2017, 16:01 door karma4
Door Anoniem:
dit zijn speculaties die nog erger ongefundeerd zijn als de paniek voetbal die plaatsgevonden heeft nadat duidelijk is geworden dat deze externe hippe jonges (met fiat van management dus) als cowboys aan de slag gegaan zijn. het is namelijk niet mogelijk voor een andere belanghebbende vanuit de dienst zelf die data op servers van die externen te krijgen en het is ook vrij gemakkelijk te controleren wie betaald heeft en ingelogged is op de externe cloud machine waarop persoonsgegevens gelekt zijn. Ook is vrij eenvoudig na te gaan in logs wie welke mails waneer verstuurd heeft. dus stop met FUD
Kap met je blinde haat en onzin reacties Aub. Je baseert je nergens op, je hebt niets. Je bent enkel aan het trollen.

Ik baseer me op de in de openbaarheid gebrachte stukken die als bijlagen bij de tweede kamer en eerste kamer te vinden zijn.
Die informatie geeft een beeld zoals ik eerder geschetst heb.
03-10-2017, 17:19 door Anoniem
Door karma4:
Door Anoniem:
dit zijn speculaties die nog erger ongefundeerd zijn als de paniek voetbal die plaatsgevonden heeft nadat duidelijk is geworden dat deze externe hippe jonges (met fiat van management dus) als cowboys aan de slag gegaan zijn. het is namelijk niet mogelijk voor een andere belanghebbende vanuit de dienst zelf die data op servers van die externen te krijgen en het is ook vrij gemakkelijk te controleren wie betaald heeft en ingelogged is op de externe cloud machine waarop persoonsgegevens gelekt zijn. Ook is vrij eenvoudig na te gaan in logs wie welke mails waneer verstuurd heeft. dus stop met FUD
Kap met je blinde haat en onzin reacties Aub. Je baseert je nergens op, je hebt niets. Je bent enkel aan het trollen.

Ik baseer me op de in de openbaarheid gebrachte stukken die als bijlagen bij de tweede kamer en eerste kamer te vinden zijn.
Die informatie geeft een beeld zoals ik eerder geschetst heb.

1) geef die referenties dan waar je je op baseerd.

2)

citaat uit oorspronkelijke artikel: " In één geval bleek dat een externe deskundige gebruikmaakte van een private clouddienst voor tijdelijke opslag van de persoonsgegevens. "

citaat uit jouw post : " Het zou zo maar kunnen zijn dat er een groep is/was die zich bedreigd voelde in hun situatie en een zeer gerichte aanval opgezet hebben tegen collega's. "

dus verklaar maar met referenties hoe die data op die private cloud dienst van een externe is gekomen door een andere bij de dienst betrokken belanghebbende.

Ik zeg FUD!
03-10-2017, 17:22 door Anoniem
Door Anoniem: Raar verhaal

Alle belastinggegevens liggen op straat ..

Spindoctors doen weer goed hun best.
Het ministerie ? Te vertrouwen ?

Alle bedrijfsdata .
Al je persoonlijke info .
Staat in bestanden.
D&A heeft samen met alle binnen/buitenlandse diensten realtime inzage.

Wat is dit voor Bullshit artikel
En de media trapt erin ?? Wtf !!?

Heb je het nu over je eigen post, ivm de raar verhaal?

Er is namelijk niet veel soeps van te bakken...... Daarnaast klopt er ook niet veel van.
03-10-2017, 18:26 door Anoniem
Door Bitwiper: Als e-mail voldoende veilig zou zijn voor het uitwisselen van persoons- en belastinggegevens, hadden we sites als https://mijn.overheid.nl/ niet nodig - die notabene de Belastingdienst ons door de strot probeert te douwen.

Die hebben wij inderdaad ook niet nodig!
03-10-2017, 18:52 door Anoniem
Hmm derden is ook inhuur. punt
03-10-2017, 21:08 door karma4 - Bijgewerkt: 03-10-2017, 21:27
Door Anoniem:

1) geef die referenties dan waar je je op baseerd.
2) citaat uit oorspronkelijke artikel: " In één geval bleek dat een externe deskundige gebruikmaakte van een private clouddienst voor tijdelijke opslag van de persoonsgegevens. "

citaat uit jouw post : " Het zou zo maar kunnen zijn dat er een groep is/was die zich bedreigd voelde in hun situatie en een zeer gerichte aanval opgezet hebben tegen collega's. "

dus verklaar maar met referenties hoe die data op die private cloud dienst van een externe is gekomen door een andere bij de dienst betrokken belanghebbende.

Ik zeg FUD!
Je moet de historie doorlopen. Gewoon googlen. Aangezien je dat zelf weigert en vasthoudt in je eigen denkbeelden wat links. https://www.eerstekamer.nl/overig/20150520/hoofdlijnen_aanpak_belastingdienst/document3/f=/vju4kadmk7zx.pdf
"De gegevens zitten verpakt in zeer veel verschillende (transactie)systemen, die zijn gebaseerd op veelal sterk verouderde technologieën, verticaal georganiseerd per functioneel domein, proces of belastingmiddel, niet uniform in architectuur en daarmee niet toekomstvast."

https://www.eerstekamer.nl/mobiel/behandeling/20150618/lijst_van_vragen_en_antwoorden/document3/f=/vjuwirp4uzyb.pdf
"Door een intelligent gebruik van data-analyse kan de aandacht van de Belastingdienstmedewerkers worden gericht op gebieden waar bij de aangifte de meeste fouten optreden. Daarbij kan onder andere gedacht worden aan het identificeren van fraude.7 " (bij 53)

https://www.eerstekamer.nl/overig/20161005/verslag_investment_committee/document
De Data & Analytics is volgens de Belastingdienst nu ver genoeg ontwikkeld om te starten met het aannemen van nieuwe medewerkers die op een ander (hoger) niveau het toezicht kunnen uitoefenen. De instroom van deze medewerkers wordt voorzien in de loop van 2016."

Daar hoort deze bij: https://www.eerstekamer.nl/overig/20150520/oliver_wyman_review_of/document3/f=/vju4kadmk5zw.pdf
Kijk verder https://verantwoordingsonderzoek.rekenkamer.nl/2014/fin/bedrijfsvoering/gebrekkig-inzicht-inverdieneffecten-programma-rationalisatie (ministerie van financieën). LOA-s valt het kwartje? Lokaal ontwikkelde applicaties zeer waarschijnlijk op de desktop mogelijk thuis gemaakt. Het verklaart de noodzaak tot USB gebruik voor internen bij de belastingdienst. Ik kan nog meer redenen verzinnen zoals een gebrek aan integratie en support vanuit de IV kant.

Het is gangbaar ik heb het nog nergens anders op een andere manier zien gebeuren (bedrijfsleven van 500+ man). Handige Wouter brouwt thuis wat en dan moet het op de zaak ineens gaan draaien.


De zaak van Zembla was de bewering dat Accenture alle data kopieerde en dat ze er misbruik van zouden maken. Dat iedereen daar zo maar in een uit liep etc. Van al die beweringen is niets waar gebleken.
Wat ze gevonden hebben is dat data heen en weer gekopieerd naar andere machines maar dat het werk gerelateerd was. Ook dat heb ik zo vaak zien gebeuren (vnl marketing BI) dat het me zou verbazen als het ergens niet gebeurde.

Nu kom je dat er bewezen moet worden dat iemand persoonsgegevens naar zichzelf gestuurd heeft. Zou zoiets raar zijn. Het is vrij normaal, het wordt zelfs door advocaten en andere aanbevolen als het over je eigen persoon zelf gaat.

Dus wat weten we:
- Het hele verhaal van Zembla blijkt onzin en FUD te zijn.
- Je ziet persoonlijke aanvallen om mensen weg te krijgen.
- Er zit een terugval naar oude manieren met LOA's en de ondergraving van elke vernieuwing in.
Dat zijn alle kenmerken van een politiek steekspel een TV-serie voor de achtergronden waardig.
Dan zouden de aanstichters die zolang buiten beeld gebleven wel eens naar boven moeten komen.

Als je tientallen jaren in het bedrijfsleven gedraaid hebt met vele reorganisaties fusies kantelingen splitsingen heb je op een moment gevoelige ontvangers voor zoiets ontwikkeld. Je loopt er net langs of niet en krijgt het nodige mee.
Ben je wat wereldvreemd gebleven dan zul je die signalen niet snel oppakken.
03-10-2017, 21:25 door Anoniem
@karma

en niets van dat alles verklaard dat persoonsgegevens van burgers op een private cloud terrecht is gekomen. dat kan alleen maar gedaan zijn met mede weten van die externe eigenaar van die server in de cloud. sterker nog die heeft dat ook al toegegeven als je begrijpend kan lezen. dat het bij de BD een wespennest is is iedereen duidelijk, maar je stelling dat iemand een hak probeert te zetten en dus data uit de dienst gelekt heeft (het onderwerp van de draad) om discretdiet te brengen is nog steeds gewoonweg onzin en ongefundeerd. je lange post hierboven voegt op dat vlak niets toe.

misschien valt het muntje bij jou nog niet, maar het citaat van de staatssecretaris is vrij duidelijk:

"De belastingplichtige moet er vanzelfsprekend van kunnen uitgaan dat zijn persoonsgegevens binnen de systemen van de Belastingdienst worden verwerkt en dat de regels hierbij worden nageleefd. Juist daarom verdient de bescherming van persoonsgegevens bij de Belastingdienst de hoogste aandacht en zorg. De binnen de Broedkamer en diens opvolger Data & Analytics, met medeweten van betrokken management gehanteerde werkwijze, voldeed niet aan deze norm"

en daarom dus de stelling dat het cowboys waren die met goedkeuring van leiding dit BUITEN DE WET OM aan het doen waren.

je betoog voor je ongefundeerde stelling is uitermate zwak inhoudelijk.
03-10-2017, 22:50 door Anoniem
De bevindingen lijken geen recht te doen aan zorgvuldig onderzoek naar lekken van persoonsgegevens en niet aan zorgvuldig trekken van conclusies bij datalekken.

Er is een bevinding dat persoonsgegevens per mail buiten de belastingdienst zijn gebracht. Als gegevens buiten de belastingdienst komen valt het niet meer onder de controle van de belastingdienst. Uit niets blijkt dat de gegevens veilig per mail verzonden waren, mocht dat wel het geval zijn geweest dan was dat vermoedelijk opgevoerd als argument in het voordeel van de getroffen personen. Het risico tijdens het versturen blijft buiten beschouwing. Risico's van verwerken buiten de belastingdienst blijft geheel buiten beschouwing. Het is dus aannemelijk dat de gegevens zowel bij het versturen in handen konden komen of zijn gekomen bij onbevoegden.

De onderzoekers gaan er op in dat er geen indicaties zijn gevonden, maar wenst niet te specificeren of daarbij omvattend genoeg is gelet of die indicaties gevonden kunnen worden als het gaat om bijvoorbeeld het transport van de gegevens. In een geval halen de onderzoekers er nog een verklaring van een leverancier bij over het niet verder verspreid en vernietigen. Ook hier blijft buiten beschouwing of de leverancier die verklaring heeft afgelegd met in acht neming van het niet kunnen uitsluiten van bepaalde risico's als gevolg van gebrek aan controle over de gegevens.

De belastingdienst doet het voorkomen alsof ze samen met de leverancier toch controle over de persoonsgegevens hadden terwijl ze in het zelfde rapport aangeven dat er geen controle over de gegevens was toen deze buiten de belastingdienst kwamen. Met het selectief buiten beschouwing laten van belangrijke algemeen onderkende risico's bij bescherming van persoonsgegevens volgt vervolgens de conclusie dat de gegevens niet verder naar buiten zouden zijn gebracht.

De achtergrond bij de wet bescherming persoonsgegevens geeft duidelijk aan dat als persoonsgegevens buiten je controle vallen er niet vanuit mag worden gegaan dat er nog voldoende controle is. Doordat zowel de beslastingdienst als de leverancier niet kunnen aantonen dat ze voldoende controle hadden kunnen ze dat ook op geen enkele wijze goed onderbouwd beweren. Een verklaring van een leverancier moet daarbij in twijfel worden getrokken als deze de controle niet volledig kan aantonen waar de belastingdienst deze controle verloor.
De autoriteit persoonsgegevens heeft al meermaals aangegeven dat het versturen van persoonsgegevens per e-mail als verlies van controle moet worden beschouwd als de gegevens bij het versturen niet voldoende beschermd waren. Zowel de belastingdienst als de leverancier voeren geen bewijs aan dat er bij het versturen voldoende bescherming was.

De conclusie over de bevindingen van het rapport moet derhalve zijn dat deze gebaseerd zijn op een slecht uitgevoerd onderzoek waarbij in onvoldoende mate rekening is gehouden met de bijkomende risico's van verlies van controle en dat de conclusie van het niet verder verspreid zijn geen onderbouwing hebben om deze als feit te kunnen accepteren.

Dit is helaas niet de eerste keer dat bij organisaties waar sprake is van een datalek er aannames over risico's en gevolgen worden gedaan door een aantal cruciale risico's buiten beschouwing te laten en zonder meetbare basis op te voeren. Het doet geen recht aan de wet bescherming persoonsgegevens en geen recht aan de personen op wie dit onrechtmatig verwerken van persoonsgegevens betrekking heeft. Van de overheid en de minsiter mag daarin verwacht worden juist zorgvuldig en met eerbied voor de wet een onderzoek uit te voeren en conclusies op te voeren.
04-10-2017, 08:47 door Anoniem
Door Anoniem: Wat maakt het nog uit of ze wel of geen gegevens delen als zelfs snotneuzen achter kassa’s om je identificatiebewijs met id nummer kunnen vragen? Nederland is totaal verstand kwijt. Strijd tegen terrorisme. Lik me reet!
Het gaat alleen maar om snel geld verdienen en de rest is niet belangrijk mocht het niet uitkomen dan regels veranderen.
04-10-2017, 11:10 door Whacko
Door karma4:
Door Anoniem:
dit zijn speculaties die nog erger ongefundeerd zijn als de paniek voetbal die plaatsgevonden heeft nadat duidelijk is geworden dat deze externe hippe jonges (met fiat van management dus) als cowboys aan de slag gegaan zijn. het is namelijk niet mogelijk voor een andere belanghebbende vanuit de dienst zelf die data op servers van die externen te krijgen en het is ook vrij gemakkelijk te controleren wie betaald heeft en ingelogged is op de externe cloud machine waarop persoonsgegevens gelekt zijn. Ook is vrij eenvoudig na te gaan in logs wie welke mails waneer verstuurd heeft. dus stop met FUD
Kap met je blinde haat en onzin reacties Aub. Je baseert je nergens op, je hebt niets. Je bent enkel aan het trollen.

haha iets met een pot en een ketel xD
04-10-2017, 12:49 door Anoniem
@ anoniem van 22:50

eens met je betoog, maar wel kunnen we concluderen dat de staatsecretaris en de BD hebben constateren dat gegevens onwettelijk de dienst hebben verlaten en dat dat door externen partij met goedkeuring van management is gebeurt. een strafbaar feit vandaar dat het OM zich daarmee bemoeid heeft.

ook is de conclusie van karma dat het lekken van persoonsgegevens uit de BD een politieke streek is van andere interne BD medewerkers omdat die bang voor hun positie waren totale nonsence. wel heeft karma gelijk te stellen dat het bij de BD waarschijnlijk wel meer dingen niet goed gaan en het een politiek wespen nest is.
04-10-2017, 17:37 door karma4 - Bijgewerkt: 04-10-2017, 17:37
Door Whacko: haha iets met een pot en een ketel xD
Je hebt gelijk ik kan nogal slecht tegen: valse profeten, feiten verdraaiers en meer van dat soort opzettelijk negatievelingen. De plotters en politiek extremisten even daar buiten gelaten. Gevalletje van slechte ervaringen kweekt gevoeligheid.
04-10-2017, 18:08 door karma4 - Bijgewerkt: 04-10-2017, 18:39
@ anoniem 22:50 je bent op weg, maar lees wat er in het nieuws is geweest nog eens zorgvuldiger, je zal dan draaien.

Dit is helaas niet de eerste keer dat bij organisaties waar sprake is van een datalek er aannames over risico's en gevolgen worden gedaan door een aantal cruciale risico's buiten beschouwing te laten en zonder meetbare basis op te voeren.
heb je de klokkenluidersverhalen en de eerste reactie daarop ook meegenomen. Het is helaas niet de eerste keer dat er manipulatief gehandeld wordt en het zal ook vaker gebeuren.

Je moet niet enkel de citaten zo maar geloven maar tussen de regels doorlezen wat er echt losgelaten wordt wat ze niet wilden zeggen. "De binnen de Broedkamer en diens opvolger Data & Analytics, met medeweten van betrokken management gehanteerde werkwijze, voldeed niet aan deze norm"
- Welke norm dan? Nora is duidelijk bir-tnk en de iso27002 dat wel het HBB zal zijn. https://www.noraonline.nl/wiki/NEN-ISO/IEC_27002. Dat is iets technisch waar de ICT invulling faalt. Gangbaar gebeuren dat het op die manier faalt door OS nerds. OS nerds dat is niet D&A maar dat is belastingdienst breed.
- Schaduw IT de reden is niet genoemd waarom het naar andere apparatuur met medeweten van management is gezet en dat het onderbouwd werk gerelateerd was. De enige en gangbare reden is ontbreken van adequate ICT support.
Dat strookt met het rekenkamerrapport die het over vele LOA's heeft. (waarschijnlijk zelf gebouwde desktop verwerkingen).
Dat betekent dat niet D&A specifiek is maar belastingdienst breed.

https://belastingdienst-in-beeld.nl/resultaat-nader-onderzoek-naar-gegevensgebruik-belastingdienst/ Kijk en daar citeert Wiebes "Belangrijke oorzaken liggen in de grote autonomie van de dienstonderdelen ten aanzien van hun eigen beveiliging, in combinatie met het ontbreken van centrale regie." stukje verder " en zogenoemde compartimentering. "
Leg mij eens wat grote autonomie van de dienstonderdelen inhoud als alle macht voor uitvoering en invulling bij de ICT-ers zit. Alle dienstonderdelen zetten zelf machines in de enkel datacenters en richten die zelf in? Onlogisch en zeer onwaarschijnlijk Eerder werd al gezegd dat de CSO en het SOC niet meededen. Wie zouden er bij zo'n CSO zitten, gewoonlijk de top of een vertegenwoordiging van de dienstonderdelen.

Lees eens:
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rapporten/2017/10/02/bijlage-6-adr-rapport-belastingdienst-implementatie-handboek-beveiliging-belastingdienst%2Fbijlage-6-adr-rapport-belastingdienst-implementatie-handboek-beveiliging-belastingdienst.pdf
Ai Ai het gangbare de RvB geeft op security beleid niet thuis. Ik ben niet anders gewend, waar speelt dat niet.


misschien valt het muntje bij jou nog niet, maar het citaat van de staatssecretaris is vrij duidelijk:
Iets analyseren en degelijk onderzoeken is een kunst via wetenschap. Goedgelovig napraten is wat oproerkraaiers of trouwe volgelingen(slaven) doen. Dat is niet mijn stijl.

Ik heb vaker gereageerd dat OS nerds door hun eigengereidheid de boel onwerkbaar maken. Dat is allemaal in de berichten tussen de regels te vinden. Niet leuk voor OS nerds, het zij zo. Eerst dat helder met als doel informatieveiligheid.

Als je liever dataverwerkingen op de desktop hebt omdat zoiets zo geleerd op de uni en zo makkelijk is. Jammer ik ben voor controleerde dataverwerking serverbased met duidelijke structuren. Dat is nu net wat met D&A zou kunnen, leg dan een uit waarom dat kapot moet via fud nieuws.
04-10-2017, 18:38 door Anoniem
Door karma4:
Door Whacko: haha iets met een pot en een ketel xD
Je hebt gelijk ik kan nogal slecht tegen: valse profeten, feiten verdraaiers en meer van dat soort opzettelijk negatievelingen. De plotters en politiek extremisten even daar buiten gelaten. Gevalletje van slechte ervaringen kweekt gevoeligheid.

je moet eerst maar eens opzoeken wat het spreekwoord betekend
04-10-2017, 18:41 door Anoniem
"Iets analyseren en degelijk onderzoeken is een kunst via wetenschap. Goedgelovig napraten is wat oproerkraaiers of trouwe volgelingen(slaven) doen. Dat is niet mijn stijl."

je weet duidelijk niet waar je over praat

"Ik heb vaker gereageerd dat OS nerds door hun eigengereidheid de boel onwerkbaar maken. Dat is allemaal in de berichten tussen de regels te vinden. Niet leuk voor OS nerds, het zij zo. Eerst dat helder met als doel informatieveiligheid."

je bent off-topic, de draad gaat over een BEWEZEN ONWETTELIJK DATA LEK

je komt heel sterk over als een gefrustreed manneke die de hele wereld behalve jezelf de schuld geeft en nooooooooit zal durven toegeven dat ie eesn mis zou zitten.
05-10-2017, 11:04 door karma4
Door Anoniem:
je bent off-topic, de draad gaat over een BEWEZEN ONWETTELIJK DATA LEK.
Het bewijs van lekmeversje. Meer de insteek van "als dat war is dan ..." als het bewijs zien. Ooit 1984 etc gelezen?


Ik ben uitstekend on topic. Lees de link ADR rapport over hoe de CSO rol georganiseerd is, opdracht vanuit de ict baas maar die versie eens een keer niet beperkt tot een beperkte kader als opdracht. Je kon het eerder al tussen de regels door lezen.
Nu heb je het daar als pdf geheel beschreven.

Dat jij mis zit zal je nauturlijk nooit toegeven, het is die houding van os nerd dat het zo lastig maakt om iets voor elkaar te krijgen volgens regelgeving.
05-10-2017, 12:31 door Anoniem
Door karma4:
Door Anoniem:
je bent off-topic, de draad gaat over een BEWEZEN ONWETTELIJK DATA LEK.
Het bewijs van lekmeversje. Meer de insteek van "als dat war is dan ..." als het bewijs zien. Ooit 1984 etc gelezen?


Ik ben uitstekend on topic. Lees de link ADR rapport over hoe de CSO rol georganiseerd is, opdracht vanuit de ict baas maar die versie eens een keer niet beperkt tot een beperkte kader als opdracht. Je kon het eerder al tussen de regels door lezen.
Nu heb je het daar als pdf geheel beschreven.

Dat jij mis zit zal je nauturlijk nooit toegeven, het is die houding van os nerd dat het zo lastig maakt om iets voor elkaar te krijgen volgens regelgeving.

"Voor de gevallen die zich bij de afdeling Data & Analytics van de Belastingdienst voordeden is door de leveranciers verklaard dat persoonsgegevens die buiten het bereik van de Belastingdienst zijn gebracht, inmiddels zijn vernietigd"

success verder in je kleine eenzame droom wereld
05-10-2017, 14:11 door Anoniem
" Ooit 1984 etc gelezen? "

kijk maar uit, je bent heel hard een Catch-22 situatie voor jezelf aan het creeren
05-10-2017, 14:50 door karma4
Door Anoniem:
"Voor de gevallen die zich bij de afdeling Data & Analytics van de Belastingdienst voordeden is door de leveranciers verklaard dat persoonsgegevens die buiten het bereik van de Belastingdienst zijn gebracht, inmiddels zijn vernietigd"

success verder in je kleine eenzame droom wereld

De zombies in het 1984 equivalent waren degenen die niet eenzaam waren.

Lees nog eens goedwat er nu staat en Denk er eens over na.
Werkgrerelateerd en die aantallen, het meest waarschijnlijke een poc installatie in een opstelling bij de leverancier.
Zoiets is vrij gangbaar als je in de ict wereld thuis bent. Verbied elke poc of tijdelijke Cloud oplossing en half Nederland valt om.

Kijk die docs nog eens goed door. Een security specialist met een mening over wat het werk zou zijn.
Het enige wat hij denkt dat er gebeurt is data analyse. Hij zegt wel wat over data preparatie ofwel een dwh gebeuren maar mist de impact er van. Een dwh is notoir berucht dat je altijd bijzondere gevallen tegen komt die uitgezocht moeten worden.
Ik zie nog wel meer zaken.

Aangezien je lid van de matrix wilt zijn wens ik je aangename dromen.
05-10-2017, 15:16 door Anoniem
"Aangezien je lid van de matrix wilt zijn wens ik je aangename dromen."

dude... seriously? zoek hulp...

"Werkgrerelateerd en die aantallen, het meest waarschijnlijke een poc installatie in een opstelling bij de leverancier."

maar dus een bewezen en bevestigd data lek met toestemming van management buiten de wet om. q.e.d.
05-10-2017, 17:12 door Anoniem
"Werkgrerelateerd en die aantallen, het meest waarschijnlijke een poc installatie in een opstelling bij de leverancier."

en dus een onwettelijk datalek bewezen, vast gesteld en bevestigd. door externe.
05-10-2017, 19:02 door karma4 - Bijgewerkt: 05-10-2017, 19:06
Door Anoniem: "Werkgrerelateerd en die aantallen, het meest waarschijnlijke een poc installatie in een opstelling bij de leverancier."

en dus een onwettelijk datalek bewezen, vast gesteld en bevestigd. door externe.
Nope dat is expliciet geen datalek. Is binnen de kaders van een tendetopdracht. Nergens is namelijk vooraf exact benoemd wat wel en niet mag. Het is nog kwalijker aangezien de hele cultuur uit die onduidelijkheid bestaat. Het management had volgens de beschreven richtlijnen zelfs die verantwoording om dat beslissingen zelf te nemen. Wat hier gebeurt is het veranderen van de eisen achteraf. Dat is tegen alle normale rechtsbeginsel in.Lijkt inderdaad 1984 wel de omgekeerde werkelijkheid minitrue.
Dat heeft due onafhankelijke onderzoeker netjes vastgesteld in het iets bredere onderzoeksrapport
05-10-2017, 21:36 door Anoniem
Door karma4:
Door Anoniem: "Werkgrerelateerd en die aantallen, het meest waarschijnlijke een poc installatie in een opstelling bij de leverancier."

en dus een onwettelijk datalek bewezen, vast gesteld en bevestigd. door externe.
Nope dat is expliciet geen datalek. Is binnen de kaders van een tendetopdracht. Nergens is namelijk vooraf exact benoemd wat wel en niet mag. Het is nog kwalijker aangezien de hele cultuur uit die onduidelijkheid bestaat. Het management had volgens de beschreven richtlijnen zelfs die verantwoording om dat beslissingen zelf te nemen. Wat hier gebeurt is het veranderen van de eisen achteraf. Dat is tegen alle normale rechtsbeginsel in.Lijkt inderdaad 1984 wel de omgekeerde werkelijkheid minitrue.
Dat heeft due onafhankelijke onderzoeker netjes vastgesteld in het iets bredere onderzoeksrapport

er zijn ongeoorloofd (onwettelijk) gevoelige persoons gegevens buiten de dienst gegaan naar exteren die dit bevestigen en erkennen. je kunt je kromme standpunt niet recht lullen met geen mogelijkheid. ik stel voor dat de moderators de draad sluiten, want het gaat nergens meer over met je. begrjip je niet dat het laatste woord niet betekend dat mensen denken dat je gelijk hebt?
06-10-2017, 20:07 door karma4
Door Anoniem:

er zijn ongeoorloofd (onwettelijk) gevoelige persoons gegevens buiten de dienst gegaan naar exteren die dit bevestigen en erkennen. je kunt je kromme standpunt niet recht lullen met geen mogelijkheid. ik stel voor dat de moderators de draad sluiten, want het gaat nergens meer over met je. begrjip je niet dat het laatste woord niet betekend dat mensen denken dat je gelijk hebt?
Als je goed door de door mee gegevens zou werken. Zou je zien Dan het compleet andersom aan jouw bewering is.
Welk info heb jij? Niets behalve je aversie.
07-10-2017, 09:59 door Anoniem
Door karma4:
Door Anoniem:
er zijn ongeoorloofd (onwettelijk) gevoelige persoons gegevens buiten de dienst gegaan naar exteren die dit bevestigen en erkennen. je kunt je kromme standpunt niet recht lullen met geen mogelijkheid. ik stel voor dat de moderators de draad sluiten, want het gaat nergens meer over met je. begrjip je niet dat het laatste woord niet betekend dat mensen denken dat je gelijk hebt?
Als je goed door de door mee gegevens zou werken. Zou je zien Dan het compleet andersom aan jouw bewering is.
Welk info heb jij? Niets behalve je aversie.

https://www.rijksoverheid.nl/documenten/kamerstukken/2017/10/02/onderzoeken-belastingdienst-dataamp-analytics-handboek-beveiliging-belastingdienst-en-broedkamer

met daarin

"Mijn conclusie op basis van de bevindingen in de rapporten Onderzoek
informatiebeveiliging Broedkamer en Onderzoek gegevensgebruik D&A, inclusief
aanvullend leveranciersonderzoek is dat in een aantal casussen persoonsgegevens
buiten de Belastingdienst zijn gebracht voor werkgerelateerde bewerking of
analyse. Dat is tegen de regels en niet acceptabel. De belastingplichtige moet er
vanzelfsprekend van kunnen uitgaan dat zijn persoonsgegevens binnen de
systemen 8 van de Belastingdienst worden verwerkt en dat de regels hierbij worden
nageleefd. Juist daarom verdient de bescherming van persoonsgegevens bij de
Belastingdienst de hoogste aandacht en zorg. De binnen de Broedkamer en diens
opvolger D&A, met medeweten van betrokken management gehanteerde
werkwijze, voldeed niet aan deze norm."

success verder in je eenzame kleine wereld!
09-10-2017, 10:13 door Anoniem
Onze zeer betrouwbare Roverheid. Als het toch strafbaar is, maken we toch snel een regel, zodat het niet meer strafbaar is.

Je snapt werkelijk niet het verschil tussen het opzettelijk lekken van informatie, en het meenemen van informatie naar huis, bijvoorbeeld t.b.v. overwerk ? Of het verschil tussen het overtreden van een interne policy versus het overtreden van de wet ?
09-10-2017, 10:16 door Anoniem
er zijn ongeoorloofd (onwettelijk) gevoelige persoons gegevens buiten de dienst gegaan naar exteren die dit bevestigen en erkennen. je kunt je kromme standpunt niet recht lullen met geen mogelijkheid. ik stel voor dat de moderators de draad sluiten, want het gaat nergens meer over met je.

De wet verbiedt niet dat je de security policy van je werkgever overtreedt. En het meenemen van gevoelige persoonsgegevens ten behoeve van je eigen werkzaamheden is, ongeacht of je de policy schendt, geen overtreding van wetgeving. Het is iets anders indien je die informatie te kwader trouw meeneemt, en gaat lekken aan derden danwel deze openbaar maakt voor de hele wereld.

begrjip je niet dat het laatste woord niet betekend dat mensen denken dat je gelijk hebt?

LOL. Leer de wet kennen zou ik zeggen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.