image

UWV meldde vorig jaar 342 datalekken bij toezichthouder AP

dinsdag 14 mei 2019, 17:28 door Redactie, 16 reacties

Het UWV heeft vorig jaar 342 keer een datalek bij de Autoriteit Persoonsgegevens gemeld en waar mogelijk aan betrokken klanten of medewerkers. Een sterke stijging ten opzichte van 2017, toen het nog om 84 meldingen ging. Dat staat in het vandaag verschenen jaarverslag (pdf).

"Het aantal gemelde datalekken stijgt nog steeds. De invoering van de AVG heeft geleid tot meer publiciteit en een grotere bewustwording rond datalekken", zo laat het uitvoeringsinstituut weten. De meeste meldingen van datalekken gaan over foutief geadresseerde brieven en het bijvoegen van een verkeerde bijlage bij een brief aan een klant.

Om dergelijke datalekken zo veel mogelijk te voorkomen stapt het UWV steeds meer over van handmatige werkprocessen naar centrale, digitale aanmaak en verzending van poststukken. Zo wordt bij het opstellen van brieven het invoerveld van het burgerservicenummer automatisch geleegd, zodat een menselijke fout er niet meer toe kan leiden dat een brief naar de verkeerde persoon wordt gestuurd.

Tevens heeft het UWV maatregelen genomen om het risico op datalekken met exportbestanden te minimaliseren. Sinds half december 2018 is het niet meer mogelijk om bijvoorbeeld Excelbestanden met uit systemen geëxporteerde gegevensbestanden bij Werkmapberichten te voegen. Verder heeft het UWV het onmogelijk gemaakt om bepaalde gedigitaliseerde stukken nog te printen.

Volgens het UWV is het ook belangrijk dat medewerkers zich bewust zijn van het belang om op een veilige manier om te gaan met (persoons)gegevens. Vorig jaar zijn zeshonderd UWV-managers opgeleid op het gebied van informatiebeveiliging en privacy. Daarnaast zijn er roadshows georganiseerd rondom specifieke informatiebeveiligingsthema's zoals de AVG, het ontwikkelen van veilige software, geanonimiseerde testdata en social engineering.

Reacties (16)
14-05-2019, 17:37 door Anoniem
Zo, dat zijn dus 342 / (52 * 5) = 1.3 datalekken PER DAG! Er wordt dus gemiddeld elke dag gelekt. En dat is alleen nog maar het UWV. En dat na bijna 1 jaar nadat de AVG is ingevoerd en 3 jaar na aankondiging.

Dit laat maar weer pijnlijk zien dat de overheid gewoon niet met ICT overweg kan. En dat alleen regels niet werken. Er moeten sancties komen. Echter, dat zal dan weer meer belasting kosten, want het zijn steeds weer overheidsinstellingen die lekken.

Conclusie: overheid kan nog steeds niet zelf houden aan HUN EIGEN regels. Want belastingdienst lukt het ook al niet.

TheYOSH
14-05-2019, 17:43 door Anoniem
Goh. Elke dag eentje. 'Bijna goed' zeg maar.
Het zal je data maar zijn. Gelukkig heb ik met die toko niks te maken.
14-05-2019, 19:18 door karma4 - Bijgewerkt: 14-05-2019, 19:37
Zie ik daar het woord informatiebeveiliging staan, dat is fraai. Nu wel hopen dat ze dat goed inuvllen ,, managers.
En weer een dtalek.
https://www.nu.nl/internet/5890938/storing-maakte-inzien-documenten-op-uwvnl-dinsdagochtend-onmogelijk.html
14-05-2019, 20:16 door Anoniem
Bij het UWV zoeken ze sociale media af (schrijven ze zelf, in iets andere woorden op hun site) om fraude op te sporen. Ze zullen dus waarschijnlijk via de zoekfunctie op zo'n website jouw naam intikken en die site ziet waarschijnlijk dat de zoekopdracht afkomstig is van het UWV.

Is dit niet ook een vorm van een datalek? Ze delen tenslotte zonder jouw toestemming jouw gegevens met derden.
14-05-2019, 21:23 door Anoniem
Door karma4: Zie ik daar het woord informatiebeveiliging staan, dat is fraai. Nu wel hopen dat ze dat goed inuvllen ,, managers.
En weer een dtalek.
https://www.nu.nl/internet/5890938/storing-maakte-inzien-documenten-op-uwvnl-dinsdagochtend-onmogelijk.html
Datalek schrijven gaat ook al niet goed en een storing, waardoor je GEEN data te zien krijgt is geen lek!
14-05-2019, 22:41 door Anoniem
Zo dat is wel eens een boete waard
15-05-2019, 07:48 door Anoniem
Door karma4: Zie ik daar het woord informatiebeveiliging staan, dat is fraai. Nu wel hopen dat ze dat goed inuvllen ,, managers.
En weer een dtalek.
https://www.nu.nl/internet/5890938/storing-maakte-inzien-documenten-op-uwvnl-dinsdagochtend-onmogelijk.html

Hoezo is dit een (nieuw) datalek? Pas als de UWV als gegevensverantwoordelijke de controle verliest over haar data is het een datalek. Uit de berichtgeving is niet te halen dat dat het geval is.
15-05-2019, 08:24 door Anoniem
Door Anoniem: Dit laat maar weer pijnlijk zien dat de overheid gewoon niet met ICT overweg kan. En dat alleen regels niet werken. Er moeten sancties komen.
Ik zie de regels juist wel werken. In de AVG zijn sancties geregeld, en forse ook. Je kan, gewoon in het korte artikel hierboven, lezen dat UWV wel degelijk maatregelen neemt om dit aan te pakken, inclusief het vervangen van het handwerk dat hier de foutgevoeligheid veroorzaakt door een geautomatiseerd systeem. Je kan ook lezen dat het grotere aantal meldingen een gevolg is van toegenomen bewustwording van de regels. Genoeg signalen dat er muntjes aan het vallen zijn.

Ik wil daarmee niet doen alsof de situatie bij UWV niet tenenkrommend is. Maar juist omdat het er zo'n puinhoop is snap ik dat het verdomd moeilijk is, vermoedelijk onmogelijk, om dat even snel opgelost te krijgen. Een zware sanctie maakt werkelijk onhaalbare dingen niet opeens haalbaar.

De speelruimte van een organisatie die de officiële uitvoerder van wetgeving is kleiner dan die van een commerciële organisatie. Een commercieel bedrijf dat veel te veel hooi op zijn vork heeft genomen kan ervoor kiezen een hoop af te stoten en zich voortaan te richten op wat ze wel aankunnen. Het UWV kan er helemaal niet voor kiezen om zijn situatie te versimpelen door zich bijvoorbeeld voortaan alleen op de WW te richten en de WAO, WIA, Ziektewet, Wajong, Toeslagenwet en WAZ voortaan aan andere marktpartijen over te laten.
15-05-2019, 09:05 door Anoniem
Met 17600 medewerkers betekent dat dus dat gemiddeld 1 op de 51 medewerkers in dat jaar een fout heeft gemaakt waardoor persoonsgegevens zijn gelekt. Ik zeg niet dat het UWV het goed doet (verre daarvan) maar het aantal gemelde datalekken als maatgevend beschouwen voor de mate van privacybescherming klopt niet. Ik ken ook grote organisaties waar praktisch niets gemeld wordt terwijl die lekken er wel zijn. De enige conclusie die je kunt trekken op basis van dit rapport is dat de bewustwording m.b.t. het melden van datalekken relatief goed is. De hoop is dan dat ze leren van de gemelde datalekken en maatregelen hebben genomen om herhaling te voorkomen.
15-05-2019, 10:54 door MZi038
Klasse UWV! Dit laat zien dat jullie privacy steeds beter tussen de oren hebben en daar transparant over zijn. 1 datalek per dag valt me eerlijk gezegd nog mee, gezien de aard van de gegevens die jullie verwerken. Nu hopen dat de AP instanties aan gaat pakken die helemaal niets melden!

Voor de 'experts' hierboven: er bestaat geen 100% veilig en (menselijke) fouten worden altijd gemaakt. Als je 0% risico wil, moet je stoppen met (ver)werken! De AVG vereist dat je verantwoordelijkheid neemt, ook bij fouten. En dat doet het UWV in dit geval.
15-05-2019, 11:22 door Anoniem
Dat zijn 342 fouten op tientallen miljoenen handelingen van ongeveer 20000 mensen. Beetje realiteitszin lijkt me wel op zijn plaats... Dat is dus geen 1,3 fout per dag. Maar 48* 5 * 20000 = =4.800.000 werkdagen in het jaar voor 20.000 mensen.


Dit komt neer op 1 fout per 14.035 gewerkte dagen!

Meten is weten als je weet wat je meet!

Dus doet UWV het hier absoluut niet zo slecht als je kijkt naar wat er is gerapporteerd!
15-05-2019, 11:35 door Anoniem
Door Anoniem: Goh. Elke dag eentje. 'Bijna goed' zeg maar.
Het zal je data maar zijn. Gelukkig heb ik met die toko niks te maken.
Als je dit naast het aantal (en type) gebruikers vs type data bekijkt, dan valt dit nog al erg mee.

En de beste stuurlui staan altijd aan wal. Die weten het altijd beter, maar ze hebben eigenlijk geen enkel idee, waar ze over praten. Is weer duidelijk zichtbaar hier.
15-05-2019, 11:45 door Dystopia
Door Anoniem: Zo, dat zijn dus 342 / (52 * 5) = 1.3 datalekken PER DAG! Er wordt dus gemiddeld elke dag gelekt.
TheYOSH

Dat zijn 342 fouten op tientallen miljoenen handelingen van ongeveer 20000 mensen. Beetje realiteitszin lijkt me wel op zijn plaats... Dat is dus geen 1,3 fout per dag. Maar 48* 5 * 20000 = =4.800.000 werkdagen in het jaar voor 20.000 mensen.

Dit komt neer op 1 fout per 14.035 gewerkte dagen!
Meten is weten als je weet wat je meet!

Dus doet UWV het hier absoluut niet zo slecht als je kijkt naar wat er is gerapporteerd!
15-05-2019, 14:31 door Anoniem
Door Dystopia:
Door Anoniem: Zo, dat zijn dus 342 / (52 * 5) = 1.3 datalekken PER DAG! Er wordt dus gemiddeld elke dag gelekt.
TheYOSH

Dat zijn 342 fouten op tientallen miljoenen handelingen van ongeveer 20000 mensen. Beetje realiteitszin lijkt me wel op zijn plaats... Dat is dus geen 1,3 fout per dag. Maar 48* 5 * 20000 = =4.800.000 werkdagen in het jaar voor 20.000 mensen.

Dit komt neer op 1 fout per 14.035 gewerkte dagen!

Inderdaad, het is maar 0,00002 datalekken per inwoner van Nederland. Mag geen naam hebben! Behalve als boetes worden uitgedeeld natuurlijk, want dan is die 14.035 volstrekt irrelevant. Als in ons bedrijf 350 medische dossiers op straat komen te liggen, dan kunnen we de deuren sluiten, ongeacht hoeveel keer het goed is gegaan.

Je gebruikt een tactiek die ik vaker zie: probeer het getal zo klein (of in dit geval zo groot) mogelijk te maken. Dat werkt ook goed met belastingen. Ja we spenderen 300 miljoen aan totale waanzin in Den Haag, maar bekijk het zo: op 17 miljoen inwoners is dit nog geen 4 cent per dag per inwoner. Zo'n klein bedrag maakt helemaal niets uit op het totale budget. Volgende onderwerp!
15-05-2019, 16:33 door Anoniem


Je gebruikt een tactiek die ik vaker zie: probeer het getal zo klein (of in dit geval zo groot) mogelijk te maken. Dat werkt ook goed met belastingen. Ja we spenderen 300 miljoen aan totale waanzin in Den Haag, maar bekijk het zo: op 17 miljoen inwoners is dit nog geen 4 cent per dag per inwoner. Zo'n klein bedrag maakt helemaal niets uit op het totale budget. Volgende onderwerp!

Ik gebruik geen tactiek. Ik plaats de feiten in context. Je kunt geen oorlog voeren zonder slachtoffers... Net zo min kun je tientallen miljoenen verwerkingen doen op allerlei locaties met duizenden mensen zonder dat er ooit iets fout gaat. En als je kijkt naar de verhoudingen tussen het aantal verwerkingen en het aantal fouten mag je mij een bedrijf aanwijzen waar ze beter scoren dan UWV in verhouding tot het aantal verwerkingen.

In de meeste commerciële organisaties komen vele malen meer fouten voor dan bij de overheid. Men meldt uiteraard nog geen fractie hiervan. Misschien is het een idee om daadwerkelijk even de cijfers voor de juiste context erbij te pakken. Om nog maar niet te beginnen over hoe dit internationaal in verhouding staat.

Maar ik zou zeggen als je een betaalbare en realistische oplossing hebt waarbij je 0 fouten kunt garanderen hoor ik het graag. Dan kan ik je vertellen dat je heel snel erg rijk zal zijn... Want die oplossing heb ik in 35 jaar in de IT security en privacy nog nergens ter wereld gezien.

Onrealistische zaken eisen zonder zelf met een werkbare oplossing te komen is geen constructieve bijdrage aan de discussie. Het is het afzeiken van mensen die hun best doen binnen zo'n organisatie werkt alleen maar demotiverend omdat ze het blijkbaar toch nooit goed kunnen doen. Wil je echt dat er iets verbeterd? Kom dan met constructieve inhoudelijke kritiek die iets bijdraagt.

Be the change that you want to see!
15-05-2019, 21:15 door Anoniem
Wat een geluk dat onze medische gegevens wél veilig zijn! Verzekeraars en andere belanghebbenden kunnen daar niet zomaar bij... Toch?

Ach ja, wie niets heeft te verbergen is er niets aan de hand... Toch?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.