Van Rij: gebrekkige logging Belastingdienst hindert onderzoek naar corruptie
Dat systemen van de Belastingdienst de zoekopdrachten van personeel niet kunnen loggen hindert onderzoek naar corruptie, zo heeft staatssecretaris Van Rij van Financiën laten weten. Hij reageerde op Kamervragen van de VVD over berichtgeving dat corruptie bij de fiscus lastig is te traceren. Volgens Van Rij klopt het dat dat computersystemen van de Belastingdienst niet loggen welke informatie medewerkers opvragen. "Omdat deze systemen niet zijn opgezet om dit soort informatie vast te leggen."
Een andere reden dat logginggegevens ontbreken is dat de Belastingdienst met zo'n negenhonderd verschillende systemen werkt die meestal niet aan elkaar zijn gekoppeld. Ook is in de oude systemen van de Belastingdienst het loggen van het raadplegen van informatie niet meegenomen in het ontwerp en is er geen rekening gehouden met principes zoals het need-to-know of privacy-by-design principe.
Volgens de staatssecretaris wordt bij de nieuwe systemen van de Belastingdienst wel rekening gehouden met de principes van need-to-know en privacy-by-design. De Belastingdienst kijkt nog of en hoe logging in de toekomst verbeterd kunnen worden, voegt Van Rij toe. De staatssecretaris erkent dat de afwezigheid van loggegevens van alle handelingen van medewerkers het onderzoek naar corruptie bemoeilijkt.
Uit onderzoek door de Rijksrecherche blijkt dat vertrouwelijke gegevens van de Belastingdienst terecht zijn gekomen in het criminele milieu, merkt Van Rij op, maar hij wil geen verdere informatie over lopende onderzoeken geven. Verder stelt de staatssecretaris dat het klopt dat tienduizend medewerkers van de in totaal 25.000 mensen die bij de Belastingdienst werken toegang tot specifieke delen van informatie over burgers en bedrijven hebben.
Reacties (20)
Volgens mij wordt er best veel gelogd bij de belastingdienst (https://www.blackhat.com/us-19/speakers/Karl-Lovink.html)
Zullen we de belastingdienst maar zo lang stil leggen tot ze hun systemen vernieuwd hebben.
Dan wordt er misschien wat sneller gewerkt om het wel op orde te brengen. En dat geeft ze de rust om het goed te doen.
Dat vernieuwen wordt namelijk al jaren en jaren beloofd. Maar met weinig resultaten.
:-)
Dan wordt er misschien wat sneller gewerkt om het wel op orde te brengen. En dat geeft ze de rust om het goed te doen.
Dat vernieuwen wordt namelijk al jaren en jaren beloofd. Maar met weinig resultaten.
:-)
"Gebrekkige logging" is het digitale equivalent van "geen actief geheugen".
"verkeerde AI" is het digitale equivalent van het jaren '80 "foutje van de computer" (ooit computers fouten zien maken?)
En dat zogeheten "verkeerd algoritme" was gewoon de wens van Staatsecretaris Rutte die daarop op Artikel 1 van de grondwet is veroordeeld, en desondanks als Minister-President uitermate goed op de hoogte was, maar dus niet optrad, wel aftrad, ongegeneerd opnieuw aantrad, tot nu toe nog steeds niet optrad, nog steeds niet optreed, en waarschijnlijk nooit problemen werkelijk gaat aanpakken (als in oplossen).
"verkeerde AI" is het digitale equivalent van het jaren '80 "foutje van de computer" (ooit computers fouten zien maken?)
En dat zogeheten "verkeerd algoritme" was gewoon de wens van Staatsecretaris Rutte die daarop op Artikel 1 van de grondwet is veroordeeld, en desondanks als Minister-President uitermate goed op de hoogte was, maar dus niet optrad, wel aftrad, ongegeneerd opnieuw aantrad, tot nu toe nog steeds niet optrad, nog steeds niet optreed, en waarschijnlijk nooit problemen werkelijk gaat aanpakken (als in oplossen).
Joh, het gaat maar om de gegevens van burgers.
Verder niet interessant. Heeft toch geen gevolgen.
Verder niet interessant. Heeft toch geen gevolgen.
Door Anoniem: Volgens mij wordt er best veel gelogd bij de belastingdienst (https://www.blackhat.com/us-19/speakers/Karl-Lovink.html)
Dat is een boeiende presentatie - en inderdaad doet de BD / Karl & team goed werk op het vlak van dat onderwerp : phishing/spoofing detectie en preventie . En die DNS trucen zijn handig en de moeite waard.
Alleen dat wil niet zeggen dat interne query-logging over die brei aan systemen ook goed voor elkaar is. Gezien het antwoord van de stas , blijkbaar niet heel goed.
Door Anoniem: Zullen we de belastingdienst maar zo lang stil leggen tot ze hun systemen vernieuwd hebben.
Dan wordt er misschien wat sneller gewerkt om het wel op orde te brengen. En dat geeft ze de rust om het goed te doen.
Dat vernieuwen wordt namelijk al jaren en jaren beloofd. Maar met weinig resultaten.
:-)
Dan wordt er misschien wat sneller gewerkt om het wel op orde te brengen. En dat geeft ze de rust om het goed te doen.
Dat vernieuwen wordt namelijk al jaren en jaren beloofd. Maar met weinig resultaten.
:-)
Dat kan natuurlijk nooit.
U hebt blijkbaar de deskundigheid om deze beweringen te kunnen doen?
Hoe kunt U aannmelijk maken dat Uw verdere beweringen juist zijn?
Ik heb namelijk van wat ik lees over de belastingdienst wel de indruk dat men hard werkt aan vernieuwing.
Dat dat tijd kost snap ik.
Ik kan geen oordeel vormen of het te langzaam gaat.
Lijkr me ook meer een taak voor de volksvertegenwoordiging.
"Omdat deze systemen niet zijn opgezet om dit soort informatie vast te leggen."
Wonderlijk omdat elk DBMS dan namelijk wel uitgebreid doet. De logging ontbreekt voor centraal onderzoek zodra het een LOA (bijvoorbeeld excel) wordt. Helaas zijn er zoveel systemen als gevolg van ondoorzichtige wetgeving waarbij loa's het laatste redmiddel voor uitvoering zijn.Door Anoniem: Alleen dat wil niet zeggen dat interne query-logging over die brei aan systemen ook goed voor elkaar is. Gezien het antwoord van de stas , blijkbaar niet heel goed.
Er zit nog een wonderlijke tegenstrijdigheid het opvragen en loggen zelf kan een privacy uitdaging worden doordat alles nog eens vastgelegd moet worden. De eerder opdrachten waren om dat allemaal te verwijderen.Door karma4:
"Omdat deze systemen niet zijn opgezet om dit soort informatie vast te leggen."
Wonderlijk omdat elk DBMS dan namelijk wel uitgebreid doet. Nee karma4, dat is niet zo.
Je kunt eventueel zeggen dat elk DBMS geconfigureerd _kan_ worden om alle queries te loggen.
En dat ongeveer iedere DBA dat uitzet op productie omdat het erg veel data is en best wat (IO) performance kost .
Verder is het loggen van de queries op DBMS niveau fors ondoorzichtig als je (meer) de vraag uit het gebruikersfrontend wilt weten .
Het kan een hele keten van SQL zijn die gegenereerd wordt door het frontend (of middleware) voor een , vanuit gebruikersperspectief, heel logische vraag .
Met genoeg kennis van de DB en de frontends/middleware is dat uiteindelijk te reverse engineeren, maar dat kan heel ondoorzichtig zijn. En dus lastig voor audits .
Verder is niet gezegd dat de queries naar de DB (nog) de gebruiker bevatten die de frontend gebruikte - ook dat is nodig voor dit type audit vraag.
De logging ontbreekt voor centraal onderzoek zodra het een LOA (bijvoorbeeld excel) wordt. Helaas zijn er zoveel systemen als gevolg van ondoorzichtige wetgeving waarbij loa's het laatste redmiddel voor uitvoering zijn.
Ook dat is mogelijk , en inderdaad zijn lokale excellen al helemaal lastig te auditen.
Door Anoniem: Alleen dat wil niet zeggen dat interne query-logging over die brei aan systemen ook goed voor elkaar is. Gezien het antwoord van de stas , blijkbaar niet heel goed.
Er zit nog een wonderlijke tegenstrijdigheid het opvragen en loggen zelf kan een privacy uitdaging worden doordat alles nog eens vastgelegd moet worden. De eerder opdrachten waren om dat allemaal te verwijderen.Je hebt wel een privacy stokpaardje , maar ik zie zo niet meteen een AVG probleem om intern systeemgebruik door interne medewerkers te loggen en te auditen .
Je moet wat regels opstellen voor welk doel en door wie (mag typisch niet gebruikt worden om werkproductie/aanwezigheid uit af te leiden) , maar dat is best te overkomen.
Door karma4:
"Omdat deze systemen niet zijn opgezet om dit soort informatie vast te leggen."
Wonderlijk omdat elk DBMS dan namelijk wel uitgebreid doet. Leg eens iets ander uit wat je bedoelt:
Een DBMS logt (als je het aanzet) alleen de bewerkingen/bevragingen in tabellen en wie dat gedaan heeft. Dan is het nog steeds een hele puzzel om daar een compleet beeld van te maken. Zelfs als de bevragingen/bewerkingen maar in 1 database plaats vinden.
En dan hebben we het nog niet over de schijfruimte die die logging weer kost.
Of doel je op de "redo-logging" die de brongegevens van alle wijzigingen bijhoudt. Ook die is niet compleert voor het soort van informatie die men zoekt.
Daarnaast is het applicatielandschap met ondetliggende dataopslag nogal divers bij de belastingdienst. Die diversiteit, en alle draadjes die ertussen hangen om data heen en weer te pompen maken het zoeken naar wie wat wanneer bekeken of gewijzigd heeft nog compexer, arbeidsintensiever en kostbaarder aan oa. opslagruimte omdat allemaal ook nog eens voor langere tijd te bewaren.
Maar ja, het is altijd simpelera als je aan de buitenkant ergens naar kijkt.
Aangezien je de waarheid in pacht hebt, zou ik zeggen, ga het eens regelen bij de belastingendienst.
Dan is het voor de kerst van dit jaar allemaal opgelost en is alles goed en permanent gelogd.
Door karma4:
"Omdat deze systemen niet zijn opgezet om dit soort informatie vast te leggen."
Wonderlijk omdat elk DBMS dan namelijk wel uitgebreid doet.Dat een DBMS (Database Management Systeem, voor degenen die de afkoring niet kennen) de mogelijkheid heeft betekend niet dat 't daarin dan ook standaard aanstaat. En als er dan al aan audit logging gedaan wordt, het kan nog knap lastig zijn om precies de goede hoeveelheid/details op te slaan. Te weinig details is nutteloos, en als meer details ook heel veel nutteloze logging oplevert moet dat ook weer opgeschoond worden, want onbeperkte opslag voor weinig bestaat niet.
En indien iemand iets doet via een ander programma/server (die geen logging heeft en van een generiek applicatie/server account gebruik maakt) dan heb je er ook niet veel aan wanneer 't DBMS wel logt, zoals iemand anders ook opmerkte met:
Door Anoniem: Alleen dat wil niet zeggen dat interne query-logging over die brei aan systemen ook goed voor elkaar is. Gezien het antwoord van de stas , blijkbaar niet heel goed.
Door karma4: De logging ontbreekt voor centraal onderzoek zodra het een LOA (bijvoorbeeld excel) wordt. Helaas zijn er zoveel systemen als gevolg van ondoorzichtige wetgeving waarbij loa's het laatste redmiddel voor uitvoering zijn.
Geen idee wat er met LOA hierboven wordt bedoelt, staat die afkorting ergens tussen de lijst op: https://acronyms.thefreedictionary.com/LOA?Misschien was het altijd al de bedoeling het zo in te richten.
Wat heeft de toeslagenaffaire eigenlijk opgeleverd als leermoment?
Wat heeft de toeslagenaffaire eigenlijk opgeleverd als leermoment?
Door Anoniem: Misschien was het altijd al de bedoeling het zo in te richten.
Wat heeft de toeslagenaffaire eigenlijk opgeleverd als leermoment?
Wat heeft de toeslagenaffaire eigenlijk opgeleverd als leermoment?
Dat de politici wel eens geconfronteerd kunnen worden met de consequenties van hun eigen opdrachten.
Daar hadden ze niet op gerekend. Meestal komt de stront pas bovendrijven als ze allang een goed heenkomen in het baantjescarousel gevonden hebben.
Het is een utopie om te denken dat deze affaire ook maar iets heeft veranderd in het denken en handelen van diezefde politici.
Laat staan bij de bovenbouw van de belastingdienst.
Die zitten allemaal compleet vastgeroest in hun denken en handelen.
Dat zie je ook in de manier dat ze met burgers omgaan. Wis was wetgeving. Sleepnet wetgeving. eID. etc.
De burger wordt niet vertrouwt, maar gewantrouwt.
18 miljoen slachtoffers in de maak.
Met dan aan de paranoia en achtervolgingswaan bij de zittende / heersende poliici.
Goed. Nederland kan zijn eigen belastingdienst dus niet eens controleren.
Maar wèl overal in buitenlanden zitten roepen dat ze daar corrupt zijn!
Ik ga dat eens fijn overal rondbazuinen in het buitenland waar ik zelf woon. Om je kapot voor te schamen zeg.
Maar wèl overal in buitenlanden zitten roepen dat ze daar corrupt zijn!
Ik ga dat eens fijn overal rondbazuinen in het buitenland waar ik zelf woon. Om je kapot voor te schamen zeg.
Wow, 900 systemen die meestal niet aan elkaar zijn gekoppeld...
In 2017 meldde De Volkskrant dat men met 600 veelal verouderde systemen werkte[1]. Zijn er dan in 5 jaar maar liefst 300 systemen bij gekomen? Dan groeit het probleem aanzienlijk sneller dan men het aan weet te pakken.
Op mij wekt dit de indruk dat men daar een zeer versnipperde manier van automatiseren aanhoudt, waarin voor allerlei deelproblemen zelfstandige systemen zijn, en nog steeds worden, ontwikkeld zonder goede sturing op het geheel.
@karma4: zijn dat die LOA's die je noemde? Net als iemand hierboven heb ik geen idee waar die afkorting voor staat. Is het misschien het interne jargon van een bepaalde organisatie? Van de Belastingdienst zelf misschien? Kan je nog even toelichten waar die afkorting voor staat, karma4?
Als het inderdaad gaat om dingen als in Excel gebouwde "systemen", dan kan ik me voorstellen hoe die aantallen zo snel zo hoog kunnen oplopen. Ik heb trouwens al vele jaren de indruk dat onze landelijke bestuurders veel te makkelijk denken dat als ze een wet aannemen of maatregel afkondigen het daarmee ook geregeld is, alsof de uitvoering altijd een kleinigheid is. Ze onderschatten ernstig hoe complex automatisering is en hoeveel tijd en inspanning het kost om het te doen zonder geleidelijk aan een chaos te creëren zoals die zich nu aftekent.
[1] https://www.volkskrant.nl/economie/hoe-de-ooit-toonaangevende-ict-systemen-van-de-belastingdienst-gevaarlijk-retro-worden~b00710c2/
In 2017 meldde De Volkskrant dat men met 600 veelal verouderde systemen werkte[1]. Zijn er dan in 5 jaar maar liefst 300 systemen bij gekomen? Dan groeit het probleem aanzienlijk sneller dan men het aan weet te pakken.
Op mij wekt dit de indruk dat men daar een zeer versnipperde manier van automatiseren aanhoudt, waarin voor allerlei deelproblemen zelfstandige systemen zijn, en nog steeds worden, ontwikkeld zonder goede sturing op het geheel.
@karma4: zijn dat die LOA's die je noemde? Net als iemand hierboven heb ik geen idee waar die afkorting voor staat. Is het misschien het interne jargon van een bepaalde organisatie? Van de Belastingdienst zelf misschien? Kan je nog even toelichten waar die afkorting voor staat, karma4?
Als het inderdaad gaat om dingen als in Excel gebouwde "systemen", dan kan ik me voorstellen hoe die aantallen zo snel zo hoog kunnen oplopen. Ik heb trouwens al vele jaren de indruk dat onze landelijke bestuurders veel te makkelijk denken dat als ze een wet aannemen of maatregel afkondigen het daarmee ook geregeld is, alsof de uitvoering altijd een kleinigheid is. Ze onderschatten ernstig hoe complex automatisering is en hoeveel tijd en inspanning het kost om het te doen zonder geleidelijk aan een chaos te creëren zoals die zich nu aftekent.
[1] https://www.volkskrant.nl/economie/hoe-de-ooit-toonaangevende-ict-systemen-van-de-belastingdienst-gevaarlijk-retro-worden~b00710c2/
Door Anoniem: Ik heb trouwens al vele jaren de indruk dat onze landelijke bestuurders veel te makkelijk denken dat als ze een wet aannemen of maatregel afkondigen het daarmee ook geregeld is, alsof de uitvoering altijd een kleinigheid is. Ze onderschatten ernstig hoe complex automatisering is en hoeveel tijd en inspanning het kost om het te doen zonder geleidelijk aan een chaos te creëren
LoL
Dan bereik je vanzelf een kantelpunt waarbij er iemand in de politiek op het "slimme" idee komt om het dan maar weer "met de hand" te gaan doen.
Kost meer personeel dat moet kunnen rekenen (of een telmachientje gebruik), maar vermindert de complexiteit van die ICT systemen aanzienlijk.
En is ook meteen beter logbaar. :-)
2 kritieke problemen met 1 oplossing weggewerkt.
Waar ambtenarij allemaal wel niet goed voor kan zijn.
En er lopen nog voldoende digibete politici in Den Haag rond.
Nu nog de politicus die dit moedige besluit durft voor te stellen.
Door Anoniem:
LoL
Dan bereik je vanzelf een kantelpunt waarbij er iemand in de politiek op het "slimme" idee komt om het dan maar weer "met de hand" te gaan doen.
Kost meer personeel dat moet kunnen rekenen (of een telmachientje gebruik), maar vermindert de complexiteit van die ICT systemen aanzienlijk.
En is ook meteen beter logbaar. :-)
2 kritieke problemen met 1 oplossing weggewerkt.
Waar ambtenarij allemaal wel niet goed voor kan zijn.
En er lopen nog voldoende digibete politici in Den Haag rond.
Nu nog de politicus die dit moedige besluit durft voor te stellen.
Door Anoniem: Ik heb trouwens al vele jaren de indruk dat onze landelijke bestuurders veel te makkelijk denken dat als ze een wet aannemen of maatregel afkondigen het daarmee ook geregeld is, alsof de uitvoering altijd een kleinigheid is. Ze onderschatten ernstig hoe complex automatisering is en hoeveel tijd en inspanning het kost om het te doen zonder geleidelijk aan een chaos te creëren
LoL
Dan bereik je vanzelf een kantelpunt waarbij er iemand in de politiek op het "slimme" idee komt om het dan maar weer "met de hand" te gaan doen.
Kost meer personeel dat moet kunnen rekenen (of een telmachientje gebruik), maar vermindert de complexiteit van die ICT systemen aanzienlijk.
En is ook meteen beter logbaar. :-)
2 kritieke problemen met 1 oplossing weggewerkt.
Waar ambtenarij allemaal wel niet goed voor kan zijn.
En er lopen nog voldoende digibete politici in Den Haag rond.
Nu nog de politicus die dit moedige besluit durft voor te stellen.
Dit probleem speelt veel breder dan automatisering, privacy of security. Den Haag verwacht als er een wet, regel of sloot geld naar een doelgroep gaat de rest "vanzelf" goed komt. En zo werkt het nu eenmaal niet.
Politici zijn teveel bezig met het korte termijn beleid voor de buhne. Politicy die langdurig, uit de media zich in de gevolgen van beleid bijten en dat vooraf proberen te toetsen (Omtzicht & Leyten als voorbeeld) zijn schaars. Dat is deels een gevolg van de mediacratie waar we in leven. Maar ook van het kleiner worden van partijen. Het voorbeeld van de toeslagen affaire maakt dit duidelijk. Daar is door twee kamerleden heel veel tijd in gestopt. Dat is geen tijd die een kleine partij echt kan opbrengen.
De VVD heeft jarenlang de belastingdienst (finacieel) uitgekleed zodat hun achterban minder belasting hoefde te betalen en dit is het gevolg, tijd om het probleem bij de wortel aan te pakken lijkt me.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.