Lijkt mij gelijk aan corruptie. Hebben we geen organisaties in Nederland die corruptie bestrijden? Dan zou dit een geval bij uitstek zijn om daar onder de aandacht te brengen :)

Gewoon weglopen als de boel je niet bevalt.

Rotte plekken zijn er overal in de wereld.

Just move along!

Men reageert slechts op affaires of wacht tot ze gaan optreden.

UWV, Gemnet en de Belastingdienst hebben bepaalde koppelingen nodig. Wat ze uitwisselen is natuurlijk deels onduidelijk, deels logisch.

Dat had die CISO je ook kunnen vertellen.

Maar hoeveel aanvragen denk je dat ze binnenkrijgen over de AVG/GDPR omdat iemand denkt het "gouden ei" gevonden te hebben ? Soms is het alleen maar om te pesten. Want activistisch overheid pesten bestaat ook.

Volgens mij is hiervoor de AVG/GDRP juist niet voor bedoelt. UWV handelt dus ook gewoon juist. Daarnaast is ik een hoop gezeur zonder juiste context of dat iemand begrijpt hoe de IT bij het UWV echt werkt.

Is er hier sprake van een relatie uit het verleden die je gewist wilt hebben ("het recht om vergeten te worden") of
krijg je maandelijks je geld van UWV en wil je dat ze dat vergeten?

Het ernstigste dat ik hoor is een eventuele weigering foutieve informatie te corrigeren. Ik houd me op de vlakte, want 'foutief' wil ook wel eens staan voor 'ongewenst'. Maar anderzijds heeft ook UWV een zekere reputatie...

Een organisatie die ik niet genoemd zie is de Autoriteit Persoonsgegevens. Juist zij zijn er voor om de AVG te handhaven. En een klacht moeten ze in principe onderzoeken. Let wel, je staat aanmerkelijk sterker als je klacht specifiek en gefundeerd is. Emotionele rants leiden best tot sympathie, maar zijn veel lastiger als (ik noem maar een voorbeeld uit de losse pols): "Het UWV is bekend (bijgevoegd brief waarin ze dat erkennen) dat gegevens over een teveel ontvangen uitkering onjuist zijn. Echter ik heb op datum XYZ een correctieverzoek ingediend en daar tot op heden geen antwoord over ontvangen."

Ik vind het een zeer warrig verhaal. In het kort:

- Hoor en wederhoor is belangrijk. Jouw verhaal zegt me niet heel veel zonder de andere kant te horen.

- Je uit beschuldigingen zonder deze te staven. "Onrechtmatig verkregen gegevens." Hoe weet je of de gegevens onrechtmatig zijn verkregen? Welke wetten zijn overtreden? Welke gegevens zijn onnodig voor ze, en hoe weet je dat?

- Een directeur gaat jou niet te woord staan. Je bent niet belangrijk genoeg. Dat geldt voor iedere grote instantie. Denk je dat je de directeur van Philips "aan zijn jasje" kunt trekken voor een staafmixer die niet werkt?

- Je hebt een whitehat pentest gedaan (ik neem aan dat je een pentest bedoelt waar jij goedkeuring voor hebt gekregen?) en gooit hier niet te staven resultaten op het forum? Ik neem aan dat je een NDA hebt moeten ondertekenen voordat je hier aan begon? Zo ja, dan zou ik dit soort zaken niet op een forum plaatsen. Dat maakt je acties schimmig. Waarom moet je trouwens naar het NCSC een bericht sturen voor een pentest in dat ministerie? Ik ben niet werkzaam in de overheidswereld, maar het lijkt me dat je naar de opdrachtgever rapporteert. Vanwaar deze keuze?

- Hoe weet je dat geen ambtenaar integer wil handelen? Sterke uitspraak zonder bewijs maar die alle ambtenaren wel makkelijk in een hoek zet.

- Aangaande de weggelopen CISO: misschien heeft hij gelijk, maar ook hier: zijn mening, die jij misschien gekleurd hier weergeeft. "Ik heb van horen zeggen dat...". Dat ministeries bolwerken zijn van politieke spelletjes en grote onkunde is niets nieuws. Moet je ook eens in het bedrijfsleven kijken wat je daar tegen komt. Wellicht is het bij de overheid erger, maar dan nog, zonder bewijs kan ik hier niets mee.

- Wil je over die koppelingen zeggen dat ze lek zijn, of dat ze niet zouden moeten bestaan? Ook hier: wie zegt me dat jij de waarheid spreekt over de veiligheid van de koppelingen? Ben je van alle controls op de hoogte? Weet je waar die koppelingen voor dienen? Ben je genoeg op de hoogte om te bepalen dat die koppelingen niet moeten bestaan?

Dat bij het UWV dingen niet deugen staat als een paal boven water. Dat externe bedrijven koninkrijkjes bouwen binnen de overheid weet iedereen die een tijdje werkzaam is in de IT. Als die "Kroniek van een faalfabriek" serie op Geenstijl slechts deels waar is, dan hebben ze daar een groot probleem. Maar dit plempsel? Ik kan er niks mee.

Ik zie dat in veel van de items, waar mensen hun ongenoegen uiten over het UWV en het regelmatige gedoe met de ICT systemen van datzelfde UWV, stuurlui staan die vanaf de wal wel simpel zeggen dat men naar stuur- of naar bakboord moet om het beter te gaan doen.

Wat ik ook zie is dat men dan denkt dat er een structurele onwil is om serieus dingen aan te pakken.

Ik ben van mening dat het beeld iets genuanceerder ligt. Natuurlijk gaan er dingen niet goed, en zeker, er zijn projecten geweest waar je achteraf de toegevoegde waarde voor de burger met een vergrootglas moet zoeken.

Maar vergeet niet dat het UWV per maand ongeveer bv 800.000 arbeidsongeschikheids uitkeringen aan mensen verzorgt.
Dat proces kan men niet even een jaar of wat stilleggen terwijl ze iets nieuws aan het bouwen zijn. (bron: https://www.uwv.nl/overuwv/Images/cijfers-trends-2021-07-juli.pdf).

Ik vind het wel een heel algemene uitspraak "dat ze aan de AVG/GDPR BIO moeten gaan voldoen'.

Verder heb je het over het 'recht op vergeten worden', en zet je dat in één zin met het inzagerecht en het recht om gegevens te corrigeren.

Bij al die regels vergeet je te vermelden dat de AVG daarvan stelt dat een organisatie daar 'binnen redelijke mogelijkheden aan moet voldoen'. Je stelt in je verhaal het echter als een absoluut recht, dat is dus wat kort door de bocht.

Dat de belastingdienst gegevens van het UWV krijgt is niet 'vreemd'. Ook een werkgever heeft de verplichting om iedere maand gegevens over het loon van zijn werknemers (en meer relevante gegevens) aan de BD te verstrekken. En wanneer je werkgever de salarisadministratie bv doet met Exact, dan is de elektronische koppeling 'er out of the box'.


Tenslotte: je geeft aan een 'kort white hat pen test onderzoek' gedaan te hebben. Heb je daar vooraf toestemming voor gevraagd en de afspraak erover met het UWV in een consent form vastgelegd? Onderdeel daarvan is vast een NDA richting het publieke domein...

In dit document zie ik de contactgegevens en verdere instructies staan voor een verzoek gegevens te verwijderen, met de mededeling dat ze er meestal niet aan kunnen voldoen vanwege wettelijke bewaartermijnen voor gegevens waar ze zich aan te houden hebben (en dan heb je volgens de AVG geen poot om op te staan):
https://www.uwv.nl/Images/uwv-en-uw-privacy.pdf
Voor de specifieke bewaartermijnen verwijzen ze naar de selectielijst voor het UWV van het Nationale Archief (met link). Die staat hier:
https://www.nationaalarchief.nl/sites/default/files/field-file/selectielijsten/selectielijst_uwv_vastgesteld_stcrt_2017_9044.pdf

Als je van het kastje naar de muur bent gestuurd vraag ik me af of je je verzoek wel aan het juiste afdeling hebt gericht. Ik zeg niet dat het UWV zelf goed zit als ze je niet snel met de juiste afdeling in contact kunnen brengen, maar tegelijk is het ook zo dat ik dit binnen enkele minuten gevonden had.

En ben je op de hoogte van hoe klachtenprocedures eigenlijk werken? Je trekt bij dat soort grote organisaties niet de directeur aan zijn jasje, die hebben een afdeling die klachten afhandelt. Als je er met hun niet uitkomt kan je in het geval van UWV er vervolgens mee naar de Nationale Ombudsman stappen, en omdat het over de AVG gaat ook naar de Autoriteit Persoonsgegevens.

Maar kijk voor je dat doet naar de wettelijke bewaartermijnen voor de gegevens waar het over gaat, en beantwoord zelf de vraag of die al verstreken zijn of niet. Als UWV zich hier gewoon netjes aan de wet houdt gaat niemand je je zin geven, die wetgeving past zich namelijk niet aan jouw interpretatie ervan aan, het is de bedoeling dat jij als burger tot je door laat dringen hoe de wet werkt.

Omdat je om iedereens gedachten vraagt:

"Na telkens van kastje naar de muur verwezen te worden, maar eens de nieuwe directeur aan z'n jasje getrokken."
"Vervolgens het ministerie verzocht om aan Wetgeving te gaan voldoen."

Verwacht je serieus dat een directeur of een minister een waarschijnlijk boze mail van (voor hem) random persoon X echt gaat oppakken?

Je kunt je in zo een geval beter melden bij een klachten-instituut, of de ombudsman. Of je rechtsbijstand. Want je weet ook niet of het alleen voor jouw geldt, of voor een hele groep en zij zullen daar wel op doorpakken.

"Tijdens een kort white-hat pen-test onderzoekje".
Bedoel je Responsible Disclosure? Dan pak je de richtlijn, vraag je een laatste keer om een update en geef je aan dat je publiek gaat (Responsible Disclosure) en publiceer je dus na ze ruim de tijd te geven zoals genoemd in de richtlijn. Daarna is het publiek, schrijf je je eigen politieke partij even aan en komen er kamervragen of pakken journalisten het wel op.

Want nu roep je eigenlijk ook: "er is daar iets mis" en schiet niemand (inclusief jezelf) er iets mee op. Want diezelfde directeur leest dit topic echt niet.