image

Minister moet opheldering geven over nieuw datalek bij UWV

donderdag 16 augustus 2018, 14:50 door Redactie, 15 reacties

Minister Koolmees van Sociale Zaken moet opheldering geven over een nieuw datalek bij het UWV. Gisteren werd bekend dat het UWV door een fout met een e-mailbijlage de privégegevens van 2400 werkzoekenden in Noord-Holland-Noord had gelekt.

Het ging onder andere om namen, geboortedata, burgerservicenummers, informatie over werkloosheidsuitkeringen, opleidingsniveau, het laatste beroep en de laatste werkgever. Volgens de uitkeringsinstantie was de oorzaak van het datalek een menselijke fout. SP-Kamerlid Van Kent wil van de minister weten hoe het kan dat de systemen van het UWV zo zijn ingericht, dat door een menselijke fout de privégegevens van 2400 cliënten als bijlage verzonden kunnen worden.

Ook moet Koolmees laten weten of het UWV in het kader van de Algemene Verordening Gegevensbescherming (AVG) en overige privacywetgeving de zaken voldoende op orde heeft. Van Kent wijst ook naar een eerder datalek bij de uitkeringsinstantie in 2016, waarbij de gegevens van 11.000 mensen door een blunder met een e-mailbijlage op straat kwamen. Toenmalig minister van Sociale Zaken Asscher liet destijds weten dat het UWV acties had ondernomen om dergelijke fouten in de toekomst te voorkomen (pdf).

Van Kent vraagt de minister dan ook hoe het kan dat ondanks de toegezegde acties, waaronder het onleesbaar maken van bestanden, het op een andere plaats opslaan van bestanden en het verbod op het versturen van bulkberichten, het toch weer fout is gegaan. Afsluitend moet Koolmees duidelijk maken wat hij gaat doen om nieuwe datalekken bij het UWV te voorkomen. De minister heeft drie weken de tijd om de vragen te beantwoorden (pdf).

Reacties (15)
16-08-2018, 15:18 door Anoniem
Wanneer levert dit nu boetes op? Oh wacht, is overheid zelf... die zijn natuurlijk gevrijwaard van boetes.

Dit gaat zeker nog 2 a 3 jaar door. Na 5 jaar zijn we eindelijk zo ver dat er ook boetes worden uitgedeeld. Echter dan is de data van alle Nederlanders al een keer gelekt door een overheids instelling en heeft boetes totaal geen nut meer. Data is al verspreid.

Maak het algemeen bestuur hoofdelijk aansprakelijk. Dan komen er wel beveiligingsmiddelen om dit te voorkomen. Dan komt er wel focus op veiligheid... Nu is er totaal geen straf.... en de minister komt weer met zijn riedeltje dat het verbeterd wordt...

TheYOSH
16-08-2018, 15:34 door Anoniem
Minister: Ïk snap het probleem niet, het UVG heeft bewezen, dat het duidelijk verbeteringen in de processen heeft aangebracht. Waar het vorige keer om 11000 personen ging, waren het er nu nog maar 2400. Het UVG heeft toegezegd om door te gaan met het verbeteren van de processen."

Of een antwoord van gelijkwaardige strekking natuurlijk.
16-08-2018, 15:49 door Anoniem
Toenmalig minister van Sociale Zaken Asscher liet destijds weten dat het UWV acties had ondernomen om dergelijke fouten in de toekomst te voorkomen (pdf).

Tja, toezeggingen van politici. Da's meestal mooi weer spelen, om politieke schade te voorkomen. Niet verbaasd dat het kennelijk niet heeft geholpen.
16-08-2018, 16:32 door Anoniem
Door Anoniem: Wanneer levert dit nu boetes op? Oh wacht, is overheid zelf... die zijn natuurlijk gevrijwaard van boetes.

Het heeft geen zin om de overheid boetes te geven want die worden dan alleen rondgepompt in de overheidsbegroting.
De administratieve kosten komen via de belastingen uiteindelijk ten laste van de burger.
16-08-2018, 17:18 door Anoniem
Het is heel makkelijk: Verbied uitgaande mail met attachments en/of >10 email adressen in de CC. Zorg voor een dienst waarmee je bestanden kan uitwisselen.

Bijkomend voordeel: Email folders zijn een broednest van AVG overtredingen. Dat ben je dan gelijk kwijt.
16-08-2018, 18:03 door karma4 - Bijgewerkt: 16-08-2018, 18:05
Er werd een voorstel gedaan om alle deelnemers in een netwerk café samen te brengen voor het vinden van nieuw werk. De bedoeling was dat ze elkaar met naam en toenaam zouden ontmoeten. Nodig nooit meer je vrienden uit. Als je ze gezamenlijk uitnodigd is er een datalek. Alle tweede Kamerleden zijn met naam en toenaam bekend, dat is een datalek. Wanneer gaan we een beetje normaal doen?

Ik had liever gezien dat de politiek zich druk zou maken rond het onwettelijk gedrag rond de wabb artikel 12.
17-08-2018, 07:21 door Anoniem
Door karma4: Er werd een voorstel gedaan om alle deelnemers in een netwerk café samen te brengen voor het vinden van nieuw werk. De bedoeling was dat ze elkaar met naam en toenaam zouden ontmoeten. Nodig nooit meer je vrienden uit. Als je ze gezamenlijk uitnodigd is er een datalek. Alle tweede Kamerleden zijn met naam en toenaam bekend, dat is een datalek. Wanneer gaan we een beetje normaal doen?


Maar waarom stond in datzelfde bestand dan ook oa. geboortedatum. BSN.
Heb je dat allemaal nodig om elkaar in een internetcafe te ontmoeten? Of om dat als UWV te organiseren?
Moet je echt weten waneer en waar je gesprekspartners geboren zijn? Of welke sociaal-fiscaal nummer ze bij de belastingdiemnst hebben?


Maar goed. Waar mensen werken, worden hele domme fouten gemaakt. Dat is de (normale) mens eigen.
("Wie zonder zonde is, werpe de eerste steen")

Dan kun je nog zulke "mooie" wetten bedenken. Geblunderd wordt er toch wel.
En dan heeft de minister opeens iets uit te leggen over een organisatie waar hij niet rechtstreeks sturing aan geeft.
17-08-2018, 09:13 door Anoniem
Door karma4: Er werd een voorstel gedaan om alle deelnemers in een netwerk café samen te brengen voor het vinden van nieuw werk. De bedoeling was dat ze elkaar met naam en toenaam zouden ontmoeten.
Niet alle 2400 personen zouden elkaar ontmoeten, dat was een groepje van slechts 97 die toch gegevens over al die 2400 personen hebben ontvangen.

Ook voor die 97 geldt dat UWV niet zonder hun toestemming hun gegevens aan de andere deelnemers mag geven. En mensen hebben tijdens zo'n ontmoeting gelegenheid om zelf gegevens uit te wisselen als ze dat willen.
Nodig nooit meer je vrienden uit. Als je ze gezamenlijk uitnodigd is er een datalek.
Wel eens van Bcc gehoord?
Alle tweede Kamerleden zijn met naam en toenaam bekend, dat is een datalek.
Vreselijk, zijn die gegevens zonder hun instemming bekend gemaakt? Heeft AP de Kiesraad al dwangsommen opgelegd? Of zou het zo kunnen zijn dat mensen die gebruik maken van hun passief kiesrecht daarmee bewust kiezen om zichzelf bekend te maken?
Wanneer gaan we een beetje normaal doen?
Doen we al. Als je het serieus nemen van de AVG normaal vindt, althans.
Ik had liever gezien dat de politiek zich druk zou maken rond het onwettelijk gedrag rond de wabb artikel 12.
Heb je al eens de overheid of politieke partijen hierover benaderd? Je kan vragen stellen op rijksoverheid.nl en via de website van elke politieke partij. Mijn ervaring is dat je op een serieuze vraag meestal ook een serieus antwoord krijgt. Wie weet is het heel verhelderend, en kom je er bijvoorbeeld achter dat er wat meer speelt dan je tot nu toe besefte.
17-08-2018, 09:53 door Anoniem
Door Anoniem:
Maar waarom stond in datzelfde bestand dan ook oa. geboortedatum. BSN.
Heb je dat allemaal nodig om elkaar in een internetcafe te ontmoeten? Of om dat als UWV te organiseren?

BSN lijkt me niet nodig, exacte geboortedatum ook niet, maar geboortejaar of leeftijd lijkt me een nuttig gegeven.


Maar goed. Waar mensen werken, worden hele domme fouten gemaakt. Dat is de (normale) mens eigen.
("Wie zonder zonde is, werpe de eerste steen")

Dan kun je nog zulke "mooie" wetten bedenken. Geblunderd wordt er toch wel.
En dan heeft de minister opeens iets uit te leggen over een organisatie waar hij niet rechtstreeks sturing aan geeft.

Nou op het mailsysteem wat wij gebruiken kun je "regels" definieren die matchen met allerlei criteria zoals het
aantal ontvangers, en het aantal gedetecteerde BSN nummers in de mail. Je kunt die regels zo afstellen dat bijvoorbeeld
een mail aan meerdere ontvangers of waarin meerdere BSN nummres voorkomen geblokkeerd wordt.
Je had mogen verwachten dat UWV ook zo iets heeft.

(het systeem wat wij hebben is van Microsoft en dus is het idioot beperkt. je zou verwachten dat je zelf een
willekeurige expressie bestaande uit matches en boolean operators (AND, OR, NOT) zou kunnen maken maar helaas
dat gaat in de GUI world van Microsoft natuurlijk niet zo gemakkelijk dus is het matching systeem extreem dom
en moet je heel veel rules maken. maar goed in ieder geval is er IETS aanwezig wat je kunt gebruiken zonder
zelf meteen te moeten gaan bouwen)
17-08-2018, 10:16 door Anoniem
Door Anoniem: Wanneer levert dit nu boetes op? Oh wacht, is overheid zelf... die zijn natuurlijk gevrijwaard van boetes.
Je kan natuurlijk ook even opzoeken hoe het zit in plaats van wat je zelf verzint voor waar aan te nemen. In de AVG wordt het aan landen overgelaten of boetes aan overheden worden opgelegd. In de Nederlandse UAVG is geregeld dat dat wel gebeurt.
AVG: https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=OJ:L:2016:119:TOC, artikel 83.
UAVG: https://zoek.officielebekendmakingen.nl/stb-2018-144.html, artikel 18.
Door Anoniem: Het heeft geen zin om de overheid boetes te geven want die worden dan alleen rondgepompt in de overheidsbegroting.
De boete gaat van een specifieke overheidsinstantie naar de algemene middelen. De overheidsinstantie die de boete betaalt heeft er wel degelijk last van dat er een gat in zijn budget wordt geslagen.
De administratieve kosten komen via de belastingen uiteindelijk ten laste van de burger.
Het onderzoek dat voorafgaat aan de boete kost aanzienlijk meer dan het verwerken van een overboeking en in de gaten houden of die wel gedaan is.
17-08-2018, 12:20 door PJW9779
Door TheYOSH: Dit gaat zeker nog 2 a 3 jaar door. Na 5 jaar zijn we eindelijk zo ver dat er ook boetes worden uitgedeeld.

Maar natuurlijk, dat wisten we toch al?
Om de haverklap kom je DPO's tegen die doodkalm beweren dat ze druk bezig zijn met bewustwording binnen de organisatie, en bijv. dat het nog wel twee jaar kan duren voordat ze compliant zijn.
Behalve die DPO's weet iedereen beter, maar weet ook dat ze qua handhaving, laat staan qua boetes, nauwelijks risico lopen. Hetgeen de afgelopen twee jaren tóch al de zelf-belonende strategie was.
18-08-2018, 16:01 door Anoniem
Door Anoniem:
Door Anoniem:
Maar waarom stond in datzelfde bestand dan ook oa. geboortedatum. BSN.
Heb je dat allemaal nodig om elkaar in een internetcafe te ontmoeten? Of om dat als UWV te organiseren?

BSN lijkt me niet nodig, exacte geboortedatum ook niet, maar geboortejaar of leeftijd lijkt me een nuttig gegeven.


Maar goed. Waar mensen werken, worden hele domme fouten gemaakt. Dat is de (normale) mens eigen.
("Wie zonder zonde is, werpe de eerste steen")

Dan kun je nog zulke "mooie" wetten bedenken. Geblunderd wordt er toch wel.
En dan heeft de minister opeens iets uit te leggen over een organisatie waar hij niet rechtstreeks sturing aan geeft.

Nou op het mailsysteem wat wij gebruiken kun je "regels" definieren die matchen met allerlei criteria zoals het
aantal ontvangers, en het aantal gedetecteerde BSN nummers in de mail. Je kunt die regels zo afstellen dat bijvoorbeeld
een mail aan meerdere ontvangers of waarin meerdere BSN nummres voorkomen geblokkeerd wordt.
Je had mogen verwachten dat UWV ook zo iets heeft.

(het systeem wat wij hebben is van Microsoft en dus is het idioot beperkt. je zou verwachten dat je zelf een
willekeurige expressie bestaande uit matches en boolean operators (AND, OR, NOT) zou kunnen maken maar helaas
dat gaat in de GUI world van Microsoft natuurlijk niet zo gemakkelijk dus is het matching systeem extreem dom
en moet je heel veel rules maken. maar goed in ieder geval is er IETS aanwezig wat je kunt gebruiken zonder
zelf meteen te moeten gaan bouwen)
Dit hangt natuurlijk allemaal erg af, van wat je hebt draaien. Verschillende versies bieden verschillende mogelijkheden. En vaak hangt er nog een systeem voor, wat in de DMZ draait.

Maar inrichten kost tijd, geld en effort en heel veel gebruikers ellende.
18-08-2018, 16:31 door karma4
Door Anoniem: Maar waarom stond in datzelfde bestand dan ook oa. geboortedatum. BSN.
Heb je dat allemaal nodig om elkaar in een internetcafe te ontmoeten? Of om dat als UWV te organiseren?
Moet je echt weten waneer en waar je gesprekspartners geboren zijn? Of welke sociaal-fiscaal nummer ze bij de belastingdienst hebben? ….
En dan heeft de minister opeens iets uit te leggen over een organisatie waar hij niet rechtstreeks sturing aan geeft.
Het BSN is verplicht bij overheidsorganisaties om persoonsverwisseling te voorkomen.
De NAW en geboortedatum/jaar zijn de menselijke ouderwetse manieren om zekerheid over de juiste persoon te controleren. Een download met filter van alle relevante personen in het UWV klantenbestand zal wel als optie bestaan. Het is de uitweg om de medewerker met het handmatige werk op te zadelen.

Een BSN zegt niets over de persoon, het heeft geen kenmerken of wat dan ook. Leg eens uit wat het zien van andermans BSN als risico meebrengt? Ik ga er vanuit dat je wel voor de handhaving van artikel 12 WABB bent wat nu overal onwettelijk nagelaten wordt. #freethebsn.

Ter info: Het sofinummer was het oude belastingdienst klantnummer en is nu het BSN. Zoals Appie en de bank ook een klantnummer hanteren om persoonsverwisselingen te voorkomen.


En dan heeft de minister opeens iets uit te leggen over een organisatie waar hij niet rechtstreeks sturing aan geeft.
Hij geeft daar wel degelijk sturing aan. Hij is de baas van ambtenaren als Secretaris Generaal .
Wat de ministers verzinnen en opleggen of wat ze aangedragen via de onderkant dat is wat er uitgevoerd wordt.
https://www.rijksoverheid.nl/ministeries/ministerie-van-financien/organisatie/organogram
https://www.rijksoverheid.nl/ministeries/ministerie-van-sociale-zaken-en-werkgelegenheid/organisatie/diensten-en-instellingen https://www.uwv.nl/overuwv/wat-is-uwv/organisatie/detail/raad-van-bestuur
18-08-2018, 16:38 door karma4
Door Anoniem: ...
(het systeem wat wij hebben is van Microsoft en dus is het idioot beperkt. je zou verwachten dat je zelf een
willekeurige expressie bestaande uit matches en boolean operators (AND, OR, NOT) zou kunnen maken maar helaas
dat gaat in de GUI world van Microsoft natuurlijk niet zo gemakkelijk dus is het matching systeem extreem dom
en moet je heel veel rules maken. maar goed in ieder geval is er IETS aanwezig wat je kunt gebruiken zonder
zelf meteen te moeten gaan bouwen)
Je moet niet als een nitwit gebruiker aan een gui afhankelijkheid hangen. Een ict specialist moet de producten kennen en kunnen hacken. https://docs.microsoft.com/en-us/exchange/security-and-compliance/mail-flow-rules/common-attachment-blocking-scenarios Nu heb ik niets met microsoft maar ik weet wel wat ik waar kan vinden.
18-08-2018, 18:55 door PJW9779 - Bijgewerkt: 18-08-2018, 18:58
De minister zal in ieder geval vijf dingen gaan roepen :

1. "Ik kan mij de verontwaardiging en zorgen voorstellen van de personen wier privégegevens op straat zijn komen te liggen.
Het UWV is echter een zelfstandig bestuursorgaan en heeft uit dien hoofde een eigen verantwoordelijkheid ten aanzien van IT-beveiliging, gegevens beveiliging en privacy-bescherming. Datzelfde geldt voor de uitspraken door de zegsman van het UWV
Als minister heb ik daar slechts een zeer beperkte invloed op."

"Datzelfde geldt voor de compliance van het UWV in het kader van de Algemene Verordening Gegevensbescherming. Het toezicht daarop valt onder de verantwoordelijkheid van de Autoriteit Persoonsgegevens."

2. "Het UWV heeft in zijn Informatieplan-2018-2022 aangegeven dat uitmuntende beveiliging nodig is om de stabiliteit, continuïteiten en de integriteit van de digitale dienstverlening te blijven garanderen. Goede informatiebeveiliging is essentieel bij digitale dienstverlening. Immers, de dienstverlening van UWV bevat privacygevoelige informatie zoals inkomens-, juridische - of medische gegevens. Tegelijkertijd wil het UWV dat de dienstverlening laagdrempelig toegankelijk is. UWV werkt eraan om aan zowel de eisen van informatiebeveiliging als toegankelijkheid tegemoet te komen."

3. "Het UWV voldoet reeds aan de meldplicht in het kader van de Meldplicht Datalekken maar zal per 2018 een centrale voorziening (forensische log host) inrichten die de organisatie in staat stelt om door middel van tijdige signalering van afwijkingen van de standaard patronen (logging en monitoring) actief problemen te voorkomen, op te lossen en te beperken.
Het UWV verwacht in 2019 grote stappen te zetten en met een ingerichte eigen voorziening voor logging en monitoring nog beter in staat te zijn ongeautoriseerd gebruik en datalekken te detecteren van privacygevoelige gegevens door interne medewerkers van UWV."

4. "het UWV heeft overeenkomstig de geldende regelgeving direct bij de Autoriteit Persoonsgegevens melding gemaakt van het datalek en zal aan de AP volledige medewerking verlenen bij het definiëren en uitvoeren van de nodig geachte maatregelen. Dit laatste blijft echter een verantwoordelijkheid van het UWV."

5. "Ik zal de kamer informeren over de verdere voortgang en resultaten op dit punt."
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.