Privacy
- Wat niemand over je mag weten
UWV Deeld informatie met derden, en trekt zich niets aan van WBP.
07-12-2017, 12:49 door Anoniem, 27 reacties
UWV heeft data sets aan derden, die er data-mining/-profiling mee doen.
De email naar de UWV klanten komen van een commercieel bedrijf, via servers in Engeland.
Het onderzoek is niet daadwerkelijk anoniem, en de server gebruikt geen SSL en is bijzonder slecht beveiligd.
----
From: Ipsos namens UWV <UWV@ipsos-online.com>
TO: <email_adres>
Subject: Deel uw ervaring met UWV
Date: Thu, 07 Dec 2017 08:11 +0100
X-Mailer: MailMASTER 8.1.x
Return-Path: <UWV@ipsos-online.com>
Received: from mta07.ipsos-interactive.com ([78.136.9.126] New Media Research AB, United Kingdom)
Geachte meneer <achternaam van persoon>
UWV doet er alles aan om haar klanten de beste dienstverlening te bieden, en nodigt u daarom uit voor een onderzoek over uw ervaring rondom het aanvragen, krijgen en beëindigen van een WW-uitkering. Ipsos is een onafhankelijk onderzoeksbureau dat dit onderzoek namens UWV uitvoert, de resultaten worden anoniem verwerkt. Wilt u UWV helpen om haar dienstverlening te verbeteren? Klik dan op de onderstaande link om het onderzoek te starten. Het invullen vraagt maximaal 10 minuten van uw tijd.
Start onderzoek
http://s01.iv.nl/start/start.aspx?p=<...ID....>&languageid=NLD&id=<....ID...>&t=0"
(s01.iv.nl = IIS 8.5 / 146.177.10.220 => IRackspace United Kingdom)
---
Met vriendelijke groet,
Alex Kooistra CISO at UWV
(UWV: wij zijn de beste van Nederland in data lekken)
--
"Wij beschermen uw privacy en persoonlijke gegevens, en die van al onze klanten en alle bezoekers van uwv.nl, met de grootst mogelijke zorg. Wij houden ons altijd aan de Wet bescherming persoonsgegevens.
De verwerking van uw persoonsgegevens door UWV is gemeld bij de Autoriteit Persoonsgegevens."
De email naar de UWV klanten komen van een commercieel bedrijf, via servers in Engeland.
Het onderzoek is niet daadwerkelijk anoniem, en de server gebruikt geen SSL en is bijzonder slecht beveiligd.
----
From: Ipsos namens UWV <UWV@ipsos-online.com>
TO: <email_adres>
Subject: Deel uw ervaring met UWV
Date: Thu, 07 Dec 2017 08:11 +0100
X-Mailer: MailMASTER 8.1.x
Return-Path: <UWV@ipsos-online.com>
Received: from mta07.ipsos-interactive.com ([78.136.9.126] New Media Research AB, United Kingdom)
Geachte meneer <achternaam van persoon>
UWV doet er alles aan om haar klanten de beste dienstverlening te bieden, en nodigt u daarom uit voor een onderzoek over uw ervaring rondom het aanvragen, krijgen en beëindigen van een WW-uitkering. Ipsos is een onafhankelijk onderzoeksbureau dat dit onderzoek namens UWV uitvoert, de resultaten worden anoniem verwerkt. Wilt u UWV helpen om haar dienstverlening te verbeteren? Klik dan op de onderstaande link om het onderzoek te starten. Het invullen vraagt maximaal 10 minuten van uw tijd.
Start onderzoek
http://s01.iv.nl/start/start.aspx?p=<...ID....>&languageid=NLD&id=<....ID...>&t=0"
(s01.iv.nl = IIS 8.5 / 146.177.10.220 => IRackspace United Kingdom)
---
Met vriendelijke groet,
Alex Kooistra CISO at UWV
(UWV: wij zijn de beste van Nederland in data lekken)
--
"Wij beschermen uw privacy en persoonlijke gegevens, en die van al onze klanten en alle bezoekers van uwv.nl, met de grootst mogelijke zorg. Wij houden ons altijd aan de Wet bescherming persoonsgegevens.
De verwerking van uw persoonsgegevens door UWV is gemeld bij de Autoriteit Persoonsgegevens."
Reacties (27)
Je moet sowieso nooit aan een enquete meedoen van wie dan ook, het gaat de marktpartijen al lang niet meer om de enquete maar om profiling van jou als identificeerbaar persoon, direkt of indirekt.
Ik vind het niet duidelijk dat dit te vertrouwen is. Ipsos is op zich een bekende naam, een grote internationale marktonderzoeker uit Frankrijk, maar behalve de onversleutelde verbinding zie ik meer vreemde dingen.
• Wie of wat is iv.nl? De whois-info laat het niet zien en het is niet evident dat het Ipsos is.
• De domeinen ipsos-online.com en ipsos-interactive.com zijn geen subdomeinen van ipsos.com maar zelfstandige domeinen. Terwijl ipsos.com in Frankrijk is geregistreerd zijn die twee andere in Roemenië geregistreerd. Ze zijn geregistreerd door "Ipsos interactive services" in Boekarest maar of dat onderdeel is van het Franse Ipsos vergt meer onderzoek.
Ik zou UWV erop wijzen dat je dit hebt ontvangen en dat nergens aan te zien is dat het legitiem is. En als het allemaal wèl legitiem blijkt te zijn zou ik ze erop wijzen dat in een wereld waar phising zo'n groot probleem dat de rijksoverheid er voorlichtingscampagnes tegenaan gooit ze een erg verkeerde boodschap afgeven door mensen te vragen iets met zo'n onduidelijke herkomst te vertrouwen (waarbij ik moet aantekenen dat ik bij dat soort opmerkingen, ik heb ze gemaakt, steeds tegen een muur heb gepraat: de mensen die zoiets uitbesteden aan een marktonderzoeker lijken volslagen incapabel te zijn om te begrijpen dat als zij weten dat het goed zit ik dat niet telepatisch opvang, dat het dus niet volstaat dat iemand beweert iets namens hun te sturen, maar dat je aan een aantal technische gegevens wilt kunnen zien dat het klopt; zoals een e-mail die zichtbaar vanaf een mailserver van UWV zelf verstuurd is met een link naar een website die controleerbaar van Ipsos is).
• Wie of wat is iv.nl? De whois-info laat het niet zien en het is niet evident dat het Ipsos is.
• De domeinen ipsos-online.com en ipsos-interactive.com zijn geen subdomeinen van ipsos.com maar zelfstandige domeinen. Terwijl ipsos.com in Frankrijk is geregistreerd zijn die twee andere in Roemenië geregistreerd. Ze zijn geregistreerd door "Ipsos interactive services" in Boekarest maar of dat onderdeel is van het Franse Ipsos vergt meer onderzoek.
Ik zou UWV erop wijzen dat je dit hebt ontvangen en dat nergens aan te zien is dat het legitiem is. En als het allemaal wèl legitiem blijkt te zijn zou ik ze erop wijzen dat in een wereld waar phising zo'n groot probleem dat de rijksoverheid er voorlichtingscampagnes tegenaan gooit ze een erg verkeerde boodschap afgeven door mensen te vragen iets met zo'n onduidelijke herkomst te vertrouwen (waarbij ik moet aantekenen dat ik bij dat soort opmerkingen, ik heb ze gemaakt, steeds tegen een muur heb gepraat: de mensen die zoiets uitbesteden aan een marktonderzoeker lijken volslagen incapabel te zijn om te begrijpen dat als zij weten dat het goed zit ik dat niet telepatisch opvang, dat het dus niet volstaat dat iemand beweert iets namens hun te sturen, maar dat je aan een aantal technische gegevens wilt kunnen zien dat het klopt; zoals een e-mail die zichtbaar vanaf een mailserver van UWV zelf verstuurd is met een link naar een website die controleerbaar van Ipsos is).
Je baseert deze conclusie slechts op het feit dat er een derde partij een opdracht voor het UWV uitvoert?
Dat het UWV gebruik maakt van een derde partij betekent niet dat ze lukraak gegevens delen. Als voor deze opdracht een bewerkersovereenkomst is getekend, kunnen (en zullen) daar afspraken in staan met betrekking tot het doel en de middelen van de gegevens verwerking en de benodigde technologische veiligheidsmaatregelen. Ik neem aan dat je de inhoud van de (bewekers)overeenkomst tussen de twee partijen niet kent, en je dus een conclusie trekt op basis van aannames i.p.v. feiten.
Dat het UWV gebruik maakt van een derde partij betekent niet dat ze lukraak gegevens delen. Als voor deze opdracht een bewerkersovereenkomst is getekend, kunnen (en zullen) daar afspraken in staan met betrekking tot het doel en de middelen van de gegevens verwerking en de benodigde technologische veiligheidsmaatregelen. Ik neem aan dat je de inhoud van de (bewekers)overeenkomst tussen de twee partijen niet kent, en je dus een conclusie trekt op basis van aannames i.p.v. feiten.
Je moet sowieso nooit aan een enquete meedoen van wie dan ook, het gaat de marktpartijen al lang niet meer om de enquete maar om profiling van jou als identificeerbaar persoon, direkt of indirekt.
Iedereen moet voor zichzelf weten of hij/zij al dan niet aan een enquete meedoet. Dat een enquete een doel heeft, spreekt voor zich.
.... en trekt zich niets aan van WBP
Onderbouw die stelling eens, op welke manier overtreedt men hier wetgeving ?
Indien het UWV geen onderzoek mag doen naar klanttevredenheid, en dus de mening van burgers die met het UWV te maken hebben, impliceert dat dan ook dat men geen rekening moet houden met die meningen ? Of is er wellicht ook wat positiefs op te merken m.b.t. dit soort onderzoeken ? ;)
Door Anoniem: Indien het UWV geen onderzoek mag doen naar klanttevredenheid, en dus de mening van burgers die met het UWV te maken hebben, impliceert dat dan ook dat men geen rekening moet houden met die meningen ? Of is er wellicht ook wat positiefs op te merken m.b.t. dit soort onderzoeken ? ;)
Het lijkt me goed, dat het UWV dit soort onderzoeken doet, maar het is voor de ontvanger van zo'n verzoek beter en duidelijker, wanneer het verzoek wordt verzonden door het UWV zelf, vanaf haar mailservers. De gepresenteerde links zouden dan HTTPS moeten zijn, om vertrouwen te wekken. Dit levert ook veel meer terugkoppeling op. Er zullen altijd mensen zijn, die op deze mail ingaan, maar ook veel mensen, die door de berichtgeving huiverig zijn.Wij kregen op ons werk een mail vanaf een andere afdeling, met daarin een verkorte URL. Aangezien dit een interne mail is, heeft dit toch voor het nodige wantrouwen gezorgd.
08-12-2017, 10:36 door
cjkos
Alleen al dit:
"UWV doet er alles aan om haar klanten de beste dienstverlening te bieden"
Kom niet meer bij van het lachen.
"UWV doet er alles aan om haar klanten de beste dienstverlening te bieden"
Kom niet meer bij van het lachen.
Door Anoniem:
Dat het UWV gebruik maakt van een derde partij betekent niet dat ze lukraak gegevens delen. Als voor deze opdracht een bewerkersovereenkomst is getekend, kunnen (en zullen) daar afspraken in staan met betrekking tot het doel en de middelen van de gegevens verwerking en de benodigde technologische veiligheidsmaatregelen. Ik neem aan dat je de inhoud van de (bewekers)overeenkomst tussen de twee partijen niet kent, en je dus een conclusie trekt op basis van aannames i.p.v. feiten.
Maakt toch niks uit of je die overeenkomst wel of niet kent? Zo'n overeenkomst is niks meer waard dan het papier waaropDat het UWV gebruik maakt van een derde partij betekent niet dat ze lukraak gegevens delen. Als voor deze opdracht een bewerkersovereenkomst is getekend, kunnen (en zullen) daar afspraken in staan met betrekking tot het doel en de middelen van de gegevens verwerking en de benodigde technologische veiligheidsmaatregelen. Ik neem aan dat je de inhoud van de (bewekers)overeenkomst tussen de twee partijen niet kent, en je dus een conclusie trekt op basis van aannames i.p.v. feiten.
ie gedrukt is, zeker tegenover de eigenaar van de gegevens die verwerkt worden. Als de gegevens op straat komen te
liggen kun je hooguit constateren dat het allemaal niet volgens de (intentie van) de overeenkomst is verlopen, maar wat
schiet je daar verder mee op?
Ik denk dat het wel netjes van UWV geweest was om VOORAF te vragen of men er bezwaar tegen heeft mee te doen aan
een enquete die door een extern bureau wordt uitgevoerd onder (eerlijke) vermelding van welke gegevens daartoe gedeeld
worden.
En dan nog is eerlijkheid meestal ver te zoeken. Men claimt bijvoorbeeld graag dat het allemaal "anoniem" is maar
ondertussen staan de linkjes wel vol met deelnemer-identificerende informatie. Laatst kreeg ik zo'n soort enquete
op papier en dan staat er ineens een uniek nummer op het formulier wat ze later door de scanner halen. Dat maakt
het allemaal niet erg geloofwaardig.
Het is gewoon weg niet inzichtelijk, hoe dan ook dus voldoet het ook niet aan de GDPR. AP kom er maar in........
Maar UWV & helderheid is nooit echt een gelukkig huwelijk geweest.
Maar UWV & helderheid is nooit echt een gelukkig huwelijk geweest.
08-12-2017, 12:33 door
Tha Cleaner
Door Anoniem: Het is gewoon weg niet inzichtelijk, hoe dan ook dus voldoet het ook niet aan de GDPR. AP kom er maar in........
Kom wel met een andere... Waarom zou dit niet voldoen?UWV heeft het zelf standaard op hun website staan https://www.uwv.nl/particulieren/klantenservice/overige-onderwerpen/klantenonderzoek/index.aspx
Maar UWV & helderheid is nooit echt een gelukkig huwelijk geweest.
Sommige posts hier ook niet. Maar op basis van deze email zie ik niet echt iets wat op niet helderheid te vinden is, zeker niet als het ook nog eens op hun website staat.Er wordt gewoon duidelijk gecommuniceerd op de UWV website over mogelijke onderzoeken. Afgezien niet https, zie ik niet zoveel problemen.
Door Anoniem: Met vriendelijke groet,
Alex Kooistra CISO at UWV
Alex Kooistra CISO at UWV
Een half Engelstalige handtekening onder een uitnodiging voor een enquete, zonder verdere bedrijfsgegevens?
En dan de CISO en niet een marketing afdeling?
Lijkt mij gewoon een phishing mail die niet namens UWV verstuurd is.
Door Tha Cleaner:
UWV heeft het zelf standaard op hun website staan https://www.uwv.nl/particulieren/klantenservice/overige-onderwerpen/klantenonderzoek/index.aspx
Er wordt gewoon duidelijk gecommuniceerd op de UWV website over mogelijke onderzoeken. Afgezien niet https, zie ik niet zoveel problemen.
Door Anoniem: Het is gewoon weg niet inzichtelijk, hoe dan ook dus voldoet het ook niet aan de GDPR. AP kom er maar in........
Kom wel met een andere... Waarom zou dit niet voldoen?UWV heeft het zelf standaard op hun website staan https://www.uwv.nl/particulieren/klantenservice/overige-onderwerpen/klantenonderzoek/index.aspx
Maar UWV & helderheid is nooit echt een gelukkig huwelijk geweest.
Sommige posts hier ook niet. Maar op basis van deze email zie ik niet echt iets wat op niet helderheid te vinden is, zeker niet als het ook nog eens op hun website staat.Er wordt gewoon duidelijk gecommuniceerd op de UWV website over mogelijke onderzoeken. Afgezien niet https, zie ik niet zoveel problemen.
https://www.nu.nl/internet/5006711/privacywaakhond-tikt-uwv-vingers.html
Het lijkt me goed, dat het UWV dit soort onderzoeken doet, maar het is voor de ontvanger van zo'n verzoek beter en duidelijker, wanneer het verzoek wordt verzonden door het UWV zelf, vanaf haar mailservers.
Sure, daarin heb je 100% gelijk. Ook zou men de site binnen het UWV domein moeten draaien, voor de duidelijkheid.
https://www.nu.nl/internet/5006711/privacywaakhond-tikt-uwv-vingers.html
Deze link heeft *geen* betrekking op het onderzoek waarover we het hier hebben. Een willekeurig linkje over het feit dat het UWV *over een andere kwestie* op de vingers is getikt, zonder toelichting, voegt niets toe aan deze discussie.
Lijkt mij gewoon een phishing mail die niet namens UWV verstuurd is.
Lijkt me niet. Mail verwijst naar domein iv.nl wat geregistreerd is door Synovate B.V. ( = IPSOS, zie www.synovate.nl)
IPSOS is een legitiem marktonderzoek bureau, en werkt o.a. voor het UWV.
Het is gewoon weg niet inzichtelijk, hoe dan ook dus voldoet het ook niet aan de GDPR.
Hoe wordt de GDPR hier precies overtreden ? Kan je je bewering onderbouwen ?
Misschien een hele simpele vraag:
- Mag een bedrijf, dat van jouw persoonlijke informatie verwerkt, die zonder jouw expliciete toestemming met een andere organisatie delen? (En dat delen kan met een reden zijn, zoals het extern laten uitvoeren van een onderzoek )
- en welke informatie mag een bedrijf dan delen? Naam? Adres? Email? Telefoonnummer? BSN? Geloof? Ziektehistorie?
- Mag een bedrijf, dat van jouw persoonlijke informatie verwerkt, die zonder jouw expliciete toestemming met een andere organisatie delen? (En dat delen kan met een reden zijn, zoals het extern laten uitvoeren van een onderzoek )
- en welke informatie mag een bedrijf dan delen? Naam? Adres? Email? Telefoonnummer? BSN? Geloof? Ziektehistorie?
Het lijkt me dat de persoonsgegevens die zijn verstrekt voor het verkrijgen van een uitkering niet verstrekt zijn voor het houden van enquetes over de dienstverlening. Mocht dat wel ergens uit blijken dan is de vraag of de aanvrager van de uitkering daar in voldoende mate doelbewust toestemming voor heeft gegeven zoals de WBP vereist. Dus aan de CISO van het UWV die vraag stellen en hier het antwoord posten lijkt me een goede actie.
Maakt toch niks uit of je die overeenkomst wel of niet kent? Zo'n overeenkomst is niks meer waard dan het papier waarop
ie gedrukt is, zeker tegenover de eigenaar van de gegevens die verwerkt worden. Als de gegevens op straat komen te
liggen kun je hooguit constateren dat het allemaal niet volgens de (intentie van) de overeenkomst is verlopen, maar wat
schiet je daar verder mee op?
Er wordt door OP geclaimd dat het UWV zich niets aantrekt van de WBP, maar juist het hebben van een bewerkersovereenkomst met een dergelijke partij zou dat op dat vlak (kunnen) ontkrachten. Als de gegevens op straat komen te liggen schiet je daar inderdaad niets mee op, daarom staan in bewerkersovereenkomsten (vaak) ook bepalingen over de maatregelen om dergelijke situaties te voorkomen en hoe te handelen indien het toch voor zou komen.
Ik denk dat het wel netjes van UWV geweest was om VOORAF te vragen of men er bezwaar tegen heeft mee te doen aan
een enquete die door een extern bureau wordt uitgevoerd onder (eerlijke) vermelding van welke gegevens daartoe gedeeld
worden.
Je bent niet verplicht mee te doen en de enquete in te vullen. Dit is inherent aan een melding vooraf, aangezien mensen, indien ze bezwaar hebben, simpelweg ervoor kunnen kiezen de enquete niet in te vullen. UWV geeft heel helder aan dat Ipsos de enquete voor hun uitvoert. Verder is uit deze berichtgeving geen reden te denken dat de gegevens niet geanonimiseerd worden verwerkt. een enquete die door een extern bureau wordt uitgevoerd onder (eerlijke) vermelding van welke gegevens daartoe gedeeld
worden.
En dan nog is eerlijkheid meestal ver te zoeken. Men claimt bijvoorbeeld graag dat het allemaal "anoniem" is maar
ondertussen staan de linkjes wel vol met deelnemer-identificerende informatie. Laatst kreeg ik zo'n soort enquete
op papier en dan staat er ineens een uniek nummer op het formulier wat ze later door de scanner halen. Dat maakt
het allemaal niet erg geloofwaardig.
Als het unieke nummer verder niet naar een individu te herleiden is, zie ik het probleem niet.ondertussen staan de linkjes wel vol met deelnemer-identificerende informatie. Laatst kreeg ik zo'n soort enquete
op papier en dan staat er ineens een uniek nummer op het formulier wat ze later door de scanner halen. Dat maakt
het allemaal niet erg geloofwaardig.
Door Anoniem:
Als je er voor kiest die enquete niet in te vullen dan zijn die pesoonsgegevens toch al met het enquetebureau gedeeld?Ik denk dat het wel netjes van UWV geweest was om VOORAF te vragen of men er bezwaar tegen heeft mee te doen aan
een enquete die door een extern bureau wordt uitgevoerd onder (eerlijke) vermelding van welke gegevens daartoe gedeeld
worden.
Je bent niet verplicht mee te doen en de enquete in te vullen. Dit is inherent aan een melding vooraf, aangezien mensen, indien ze bezwaar hebben, simpelweg ervoor kunnen kiezen de enquete niet in te vullen. UWV geeft heel helder aan dat Ipsos de enquete voor hun uitvoert. Verder is uit deze berichtgeving geen reden te denken dat de gegevens niet geanonimiseerd worden verwerkt. een enquete die door een extern bureau wordt uitgevoerd onder (eerlijke) vermelding van welke gegevens daartoe gedeeld
worden.
Men stuurt dat bureau een lijst waarop minimaal naam een e-mail adres staan en tevens afgeleid kan worden dat die
mensen allemaal een WW uitkering hebben of gehad hebben. Dat lijkt me al niet erg anoniem meer en ik kan me
best voorstellen dat er mensen zijn die hier niet blij mee zijn. Die zouden liever van die lijst geschrapt zijn VOOR hij
verstuurd werd. Misschien willen ze wel bij IPSOS solliciteren en waren ze niet van plan te melden dat ze dat vanuit
een WW situatie doen?
En dan nog is eerlijkheid meestal ver te zoeken. Men claimt bijvoorbeeld graag dat het allemaal "anoniem" is maar
ondertussen staan de linkjes wel vol met deelnemer-identificerende informatie. Laatst kreeg ik zo'n soort enquete
op papier en dan staat er ineens een uniek nummer op het formulier wat ze later door de scanner halen. Dat maakt
het allemaal niet erg geloofwaardig.
Als het unieke nummer verder niet naar een individu te herleiden is, zie ik het probleem niet.[/quote]Ik kan me niet voorstellen dat er niet gewoon een administratie is van wie er welk uniek nummer gehad heeft, immers dieondertussen staan de linkjes wel vol met deelnemer-identificerende informatie. Laatst kreeg ik zo'n soort enquete
op papier en dan staat er ineens een uniek nummer op het formulier wat ze later door de scanner halen. Dat maakt
het allemaal niet erg geloofwaardig.
mailings zijn de deur uit gegaan met die info erin.
Door Anoniem: Misschien een hele simpele vraag:
- Mag een bedrijf, dat van jouw persoonlijke informatie verwerkt, die zonder jouw expliciete toestemming met een andere organisatie delen? (En dat delen kan met een reden zijn, zoals het extern laten uitvoeren van een onderzoek )
- en welke informatie mag een bedrijf dan delen? Naam? Adres? Email? Telefoonnummer? BSN? Geloof? Ziektehistorie?
Daar is geen ja of nee op te geven.- Mag een bedrijf, dat van jouw persoonlijke informatie verwerkt, die zonder jouw expliciete toestemming met een andere organisatie delen? (En dat delen kan met een reden zijn, zoals het extern laten uitvoeren van een onderzoek )
- en welke informatie mag een bedrijf dan delen? Naam? Adres? Email? Telefoonnummer? BSN? Geloof? Ziektehistorie?
Bedenk het uwv is geen bedrijf maar een overheidsinstelling met wettelijke taken. Dat de It niet door het uwv gedaan wordt maar door ibm, het zij zo. Dat is iets wat goed geregeld moet worden zoals gdpr aangeeft.
Geloof hmm ik wist niet dat ze zoiets registreerde net zoals ziekteverleden, onderbouwing dat ze zoiets doen?. Als het relevant is door een rechtszaak arbeidsconflict etc tja dat is wat anders.
UWV wil gewoon vermijden dat de slager zijn eigen vlees keurt,
en moet dus wel een onafhankelijke derde als Ipsos in de arm nemen
om zo zelfs ook maar de schijn van een verdoezeling van misstanden bij de dienstbaarheid van het UWV te voorkomen.
Ze hebben je emailadres en je achternaam in ieder geval van UWV gekregen om je te kunnen benaderen.
Dat gaat tegen hun privacyvoorwaarden in. Ze zeggen zelf:
Dus ja, dat lijkt me niet okee,
tenzij jij ergens duidelijk ermee hebt ingestemd dat ze je ook via e-mail met je achternaam mogen benaderen.
En wat ze verder willen weten is hoe jij over de dienstbaarheid van het UWV denkt. (als daar ook weer indentificerende vragen tussen staan klopt er iets niet, maar dat weet je pas als je het invult)
Maar goed, ze horen dus die gegevens alleen te gebruiken voor het onderzoek en behoren ze daarna te vernietigen.
Het beroerde is dat je zelf niet kunt controleren of ze dat ook echt doen. Het is een vertrouwenskwestie.
Maar ik voel met je mee: voorkomen is beter dan genezen zeg ik altijd. Dus ja, ik zie dit liever ook niet gebeuren.
En dan nog die http-link erbij. Dat kan echt niet meer. Vooral niet bij professionele onderzoeksbureaus.
Misschien is het een test van UWV hoe geschikt je bent voor de ICT -wereld? ; )
Als je de http-link aanklikt ben je
[ ] geschikt
[X] ongeschikt
en moet dus wel een onafhankelijke derde als Ipsos in de arm nemen
om zo zelfs ook maar de schijn van een verdoezeling van misstanden bij de dienstbaarheid van het UWV te voorkomen.
Ze hebben je emailadres en je achternaam in ieder geval van UWV gekregen om je te kunnen benaderen.
Dat gaat tegen hun privacyvoorwaarden in. Ze zeggen zelf:
Voor klantenonderzoek worden alleen uw adresgegevens aan het bureau beschikbaar gesteld. Dit gebeurt onder de strikte voorwaarde dat zij uw gegevens alleen voor het onderzoek gebruiken en daarna vernietigen.
Dus ja, dat lijkt me niet okee,
tenzij jij ergens duidelijk ermee hebt ingestemd dat ze je ook via e-mail met je achternaam mogen benaderen.
En wat ze verder willen weten is hoe jij over de dienstbaarheid van het UWV denkt. (als daar ook weer indentificerende vragen tussen staan klopt er iets niet, maar dat weet je pas als je het invult)
Maar goed, ze horen dus die gegevens alleen te gebruiken voor het onderzoek en behoren ze daarna te vernietigen.
Het beroerde is dat je zelf niet kunt controleren of ze dat ook echt doen. Het is een vertrouwenskwestie.
Maar ik voel met je mee: voorkomen is beter dan genezen zeg ik altijd. Dus ja, ik zie dit liever ook niet gebeuren.
En dan nog die http-link erbij. Dat kan echt niet meer. Vooral niet bij professionele onderzoeksbureaus.
Misschien is het een test van UWV hoe geschikt je bent voor de ICT -wereld? ; )
Als je de http-link aanklikt ben je
[ ] geschikt
[X] ongeschikt
Door Anoniem: Misschien een hele simpele vraag:
- Mag een bedrijf, dat van jouw persoonlijke informatie verwerkt, die zonder jouw expliciete toestemming met een andere organisatie delen? (En dat delen kan met een reden zijn, zoals het extern laten uitvoeren van een onderzoek )
Als UWV zelf een enquete zou organiseren en alles op hun eigen systemen zou afhandelen, inclusief het versturen van uitnodigingen om deel te nemen, zou er niets aan de hand zijn. De wet staat toe dat je verwerking aan een derde uitbesteedt zolang dat met een degelijke bewerkersovereenkomst wordt geregeld, waarbij voor alle duidelijkheid UWV zijn verantwoordelijkheid niet uitbesteedt. Het uitvoeren van de enquete inclusief het versturen van uitnodigingen mag dus uitbesteed worden.- Mag een bedrijf, dat van jouw persoonlijke informatie verwerkt, die zonder jouw expliciete toestemming met een andere organisatie delen? (En dat delen kan met een reden zijn, zoals het extern laten uitvoeren van een onderzoek )
Ik vind het overigens geen goed idee om het zo te doen. Ik zie aan de gegevens die TS heeft gepost niet dat dit werkelijk namens UWV gebeurt, en ik vind dat dat controleerbaar moet zijn zonder dat iedere ontvanger daarvoor UWV moet bellen om te vragen of het wel klopt. De tekst in de e-mail bewijst niets.
- en welke informatie mag een bedrijf dan delen? Naam? Adres? Email? Telefoonnummer? BSN? Geloof? Ziektehistorie?
Niet meer dan voor de uitbestede verwerking nodig is. En die is op anonieme basis, staat in de tekst. Ipsos heeft het e-mailadres nodig om de e-mail te kunnen sturen' naam en geslacht zijn gebruikt om de aanhef te kunnen personaliseren. De rest is domweg niet nodig voor deze verwerking en daar zou UWV problemen mee krijgen als AP het zou onderzoeken. En BSN, geloof en ziektehistorie zouden al helemaal problematisch zijn, dat zijn gevoelige gegevens waar hogere eisen aan gesteld worden dan aan "gewone" persoonsgegevens.Als UWV zelf een enquete zou organiseren en alles op hun eigen systemen zou afhandelen, inclusief het versturen van uitnodigingen om deel te nemen, zou er niets aan de hand zijn.
Jawel, dan is er wel wat aan de hand. Dat is een slager die zijn eigen vlees keurt en zijn eigen kwaliteit kan beoordelen, want hij hoeft niet noodzakelijkerwijs te luisteren naar de klantenenquete, en kan van de uitslag van die enquete maken wat hij zelf wil en een bordje ophangen "99% van de klanten vind het vlees en wordt hier heerlijk" terwijl de meeste klanten op de enquete hebben ingevuld dat het niet te vreten is. Dat zei ik nou net in post van 20:40. Bij dit soort vragen MOET UWV dus wel een onafhankelijke derde inschakelen.
En in de hier eerder genoemde link https://www.uwv.nl/particulieren/klantenservice/overige-onderwerpen/klantenonderzoek/index.aspx staat aan het eind iets over privacy, en daarin staat dat ze adressen kunnen delen met dergelijke derde partijen. Daar staat niet "emailadressen" en ook niet "namen met geslacht"!
Want uit de mail blijkt dat hij niet van UWV komt, dus ze hebben je emailadres met een derde partij gedeeld.
En ook je minstens naam en geslacht, want in de aanhef staat "Beste meneer <achternaam>".
Maar dat wordt onder het kopje Privacy in https://www.uwv.nl/particulieren/klantenservice/overige-onderwerpen/klantenonderzoek/index.aspx niet vermeld. En dus is het natuurlijk verkeerd als ze dat dan wel blijken te doen.
(tenzij UWV nog op andere manier er duidelijk blijk van heeft gegeven dat ze dit doen, of je hebt zelf ergens anders eens toestemming ervoor gegeven) Het lijkt mij dat er mensen kunnen zijn die hun emailadres liever niet gedeeld zien worden
met een dergelijke derde partij ook al beloven ze nog zo veel. Tenzij je een emailadres van UWV krijgt speciaal voor dit doel.
Door Anoniem:
Met "niets aan de hand" bedoelde ik dat ze dan geen gegevens met een externe partij hoeven te delen. En wat je zegt lijkt me onzin, Ipsos werkt in opdracht van UWV, vraagt naar de dingen die UWV wil dat ze vragen, en de uitslag wordt aan UWV geleverd. UWV kan net zo makkelijk de resultaten naast zich neerleggen als wanneer ze de vragen zelf hadden gesteld, Ipsos is geen externe toezichthouder die macht heeft over UWV. Ze keuren hun eigen vlees niet, maar bepalen wel zelf wie de keurmeester is die ze inhuren en waar die wel of niet op let.Als UWV zelf een enquete zou organiseren en alles op hun eigen systemen zou afhandelen, inclusief het versturen van uitnodigingen om deel te nemen, zou er niets aan de hand zijn.
Jawel, dan is er wel wat aan de hand. Dat is een slager die zijn eigen vlees keurt en zijn eigen kwaliteit kan beoordelen, En in de hier eerder genoemde link https://www.uwv.nl/particulieren/klantenservice/overige-onderwerpen/klantenonderzoek/index.aspx staat aan het eind iets over privacy, en daarin staat dat ze adressen kunnen delen met dergelijke derde partijen. Daar staat niet "emailadressen" en ook niet "namen met geslacht"!
En er staat ook niet "adressen". Dit staat er: Voor klantenonderzoek worden alleen uw adresgegevens aan het bureau beschikbaar gesteld.
Wat zijn adresgegevens? Aanhef ("de heer/mevrouw") en e-mailadres horen daar gewoon bij, dat zijn althans typisch zaken die je in een database met klanten/relaties bij de adresgegevens plaatst. Het begrip "adres" kan breder worden opgevat dan alleen een fysiek adres. Fysieke adressen zijn voor een benadering per e-mail duidelijk niet nodig, maar wellicht zijn er mensen die geen e-mailadres hebben die op papier benaderd worden. Want uit de mail blijkt dat hij niet van UWV komt, dus ze hebben je emailadres met een derde partij gedeeld.
En ook je minstens naam en geslacht, want in de aanhef staat "Beste meneer <achternaam>".
Maar dat wordt onder het kopje Privacy in https://www.uwv.nl/particulieren/klantenservice/overige-onderwerpen/klantenonderzoek/index.aspx niet vermeld. En dus is het natuurlijk verkeerd als ze dat dan wel blijken te doen.
Wat goed is en verkeerd wordt toch primair door de privacywetgeving bepaald en die staat toe dat verwerking wordt uitbesteed als dat zorgvuldig en met een goed contract wordt geregeld. Als je denkt dat UWV niet aan de wet voldoet, meld dat bij AP, als je vindt dat de wet die AP handhaaft niet deugt, kaart het aan bij een politieke partij.En ook je minstens naam en geslacht, want in de aanhef staat "Beste meneer <achternaam>".
Maar dat wordt onder het kopje Privacy in https://www.uwv.nl/particulieren/klantenservice/overige-onderwerpen/klantenonderzoek/index.aspx niet vermeld. En dus is het natuurlijk verkeerd als ze dat dan wel blijken te doen.
Ipsos is gewoon een gerenomeerd onafhankelijk onderzoeks bureau dat bedrijven in kunnen huren voor
o/a medewerkers tevredenheids onderzoeken e.d.
Het bedrijf waarvoor ik werk heeft dat ook gedaan, is niks raars mee.
o/a medewerkers tevredenheids onderzoeken e.d.
Het bedrijf waarvoor ik werk heeft dat ook gedaan, is niks raars mee.
Door Anoniem: Ipsos is gewoon een gerenomeerd onafhankelijk onderzoeks bureau dat bedrijven in kunnen huren voor o/a medewerkers tevredenheids onderzoeken e.d.
Het bedrijf waarvoor ik werk heeft dat ook gedaan, is niks raars mee.
Dat mag dan zo zijn, maar daarom is het nog niet altijd wenselijk dat UWV zonder te vragen je emailadres met ze deelt.Het bedrijf waarvoor ik werk heeft dat ook gedaan, is niks raars mee.
Al was het alleen maar omdat iemand er nu blijkbaar door werd overvallen, en er een security.nl melding van maakte.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.