Ambtenaren wroeten in privégegevens BN'ers
Ambtenaren hebben 146 keer zonder geldige reden de privégegevens van bekende Nederlanders opgevraagd, zo blijkt uit een steekproef van de Inspectie SZW die vorig jaar werd gehouden. De Inspectie deed onderzoek naar de beveiliging van gegevens die gemeenten binnen het Suwinet uitwisselen.
Suwinet is een speciale database waarin instanties als de Belastingdienst, de IB-groep, Kadaster, Rijksdienst Wegverkeer en het UWV hun persoonsgegevens met gemeenten uitwisselen. Naast de bescherming van privégegevens bij 80 geselecteerde gemeenten keek de Inspectie ook naar de zoekgeschiedenis van ambtenaren en het 'onnodig' speuren in de privédata van honderd willekeurig gekozen bekende Nederlanders.
Bij 14 van de 80 onderzochte gemeenten (18%) werden in 2012 gegevens van bekende Nederlanders middels Suwinet geraadpleegd, zonder dat hiervoor een goede reden werd gegeven. Eén van deze gemeenten gaf volgens de Inspectie een plausibele verklaring. De overige dertien konden de raadplegingen niet verklaren.
Het Bureau Drechtsteden, waaronder gemeenten als Dordrecht, Zwijndrecht en Alblasserdam vallen, spant de kroon. 51 keer werden gegevens van bekende Nederlanders via Suwinet opgevraagd. Ook bij de sociale dienst van Utrecht (28), Alblasserwaard-Vijfheerenlanden (19), Orionis Walcheren (10) en Huizen (9) wordt de privacy van Nederlanders geschonden.
De Inspectie noemt het gebrek aan beveiliging van persoonsgegevens bij gebruik van Suwinet 'zorgwekkend'. Slechts vier procent van alle gemeenten voldoet aan alle essentiële normen voor databescherming via Suwinet, terwijl 13 procent nergens aan voldoet.
Rapport
Het rapport 'Veilig gebruik Suwinet 2013' van de Inspectie SZW verscheen vorig jaar augustus al en zorgde in november voor de nodige ophef. Vanwege het rapport kondigde Jetta Klijnsma, Staatssecretaris van Sociale Zaken en Werkgelegenheid, verschillende maatregelen aan. Het ging onder andere om het laten uitvoeren van een Privacy Impact Assessment en het onderzoeken van nieuwe technologische toepassingen voor de gegevensuitwisseling in het Suwidomein. Vandaag kwam het AD met aanvullende informatie over het onderzoek, waaronder het aantal overtredingen en de gemeenten die de fout in gingen.
Het betekent dat --alweer-- de overheid laat zien niet met de steeds groter wordende berg steeds makkelijker toegankelijke gegevens vertrouwd kan worden. Dit wisten we overigens al jaren, want het is zeker niet de eerste keer dat er bevraaglijke dingen gebeuren waar hooguit van geroepen zal worden dat het "binnen de wet valt" of je het nou leuk vindt of niet, burger.
En hoe zit het eigenlijk met het aantal burgers dat om de haverklap medeburgers 'Googled'? Worden die ook een keer op de vingers getikt??
Had die wel volledige toegang of is dit juist de dooddoener?
'S effe kijken hoe m'n buren er bijstaan.
Daaag gemeente Dordrecht.
En nu maar eens proberen of je je eigen gegevens eens mag inzien.
Dat kan natuurlijk niet i.v.m. de wet op de privacy..
een serieus onderwerp is. In mijn ogen zijn de betreffende organisaties
daarom de hoofdverantwoordelijke.
En hoe zit het eigenlijk met het aantal burgers dat om de haverklap medeburgers 'Googled'? Worden die ook een keer op de vingers getikt??
Ook BNers zijn mensen. En, meer nog dan niet BNers afhankelijk van hun publieke imago, waar de realiteit misschien anders is.
Wat je in google vindt is openbare informatie .
De informatie die ministeries hebben is absoluut niet openbaar, en zeker niet vrijwillig afgestaan, maar slechts afgestaan onder druk van een wet.
Dat is heel wat anders dan het in google terugvinden van foto's die iemand zelf op facebook (of partyflock) zet.
Dit onderzoekt lijkt meer een steekproef op basis van een triggers die hangen aan een aantal voor de hand liggende slachtoffers van glurende ambtenaren.
Feitelijk wil je de pakkans veel groter maken, ook als het gaat om buurvrouw kijkers (cq vriendenkring van de kinderen etc etc).
Of corruptie, waarbij iemand voor een paar centen voor een bevriend onderzoeksburo'tje even wat opzoekt.
Een dossiernummer moeten ingeven bij een bevraging maakt het vrij makkelijk om statistische patronen te zien;
Mensen die weinig dossiers afwerken maar veel bevragen, nummers waarop excessief veel bevragingen geboekt worden, dossiernummers waar de bevrager helemaal niet aan werkt, en als achteraf in het dossier niet te snappen valt waarom informatie opgezocht heeft de bevrager heel veel uit te leggen.
Het maakt de bevraging duidelijk meer verantwoordbaar .
Nog meer trouwens voor CIOT bevragingen. In theorie worden die allemaal in het kader van een onderzoek gedaan.
Ik moet het eerste sollicitatiegesprek nog tegenkomen, waarbij integriteit een serieus onderwerp is.
In mijn ogen zijn de betreffende organisaties daarom de hoofdverantwoordelijke.
Dan wil je dit niet lezen:
http://www.inspectieszw.nl/Images/NvB-Veilig-gebruik-Suwinet_tcm335-346931.pdf (de link in het artikel)
... Een van de taken van een SO is om het hoogste management te adviseren over de beveiliging van Suwinet; bij de onderzochte gemeenten heeft de inspectie niet gezien dat aan deze adviesfunctie enige invulling werd gegeven...
In welke mate voldoen gemeenten aan de eisen van vertrouwelijkheid die worden gesteld aan de beveiliging van informatie die wordt uitgewisseld binnen het Suwinet in 2012?
Antwoord:
4% van de onderzochte gemeenten voldoet aan alle zeven door de inspectie getoetste normen inzake de informatiebeveiliging en voldoen daarmee op deze punten aan hun wettelijke verplichtingen.
Aantal:
Gemeente voldoet aan 7 normen......3......4%
Gemeente voldoet aan 6 normen......3......4%
Gemeente voldoet aan 5 normen......8.....10%
Gemeente voldoet aan 4 normen......6......8%
Gemeente voldoet aan 3 normen....15.....19%
Gemeente voldoet aan 2 normen......9.....11%
Gemeente voldoet aan 1 norm........26.....33%
Gemeente voldoet aan 0 normen.....10....13%
Totaal...........................................80....100%
Het is weer huilen met de pet op.
En dan nog verbaasd zijn dat velen tegen centrale (of centraal toegankelijke) dataopslag zijn.
Het is toch vreselijk handig dat iedereen overall bij kan en dat je het als leidinggevende kan aanpassen als je dat nodig lijkt (NZA). Waarom zou je alles regelen met een goede afscherming en controleerbaarheid. Nora is er wel op papier http://www.noraonline.nl/wiki/NORA_online maar vraag eens naar de invulling van de datakwalificatie.. (risico/impact).
Controleerbaarheid is kennelijk toch niet gelukt geheel achterwege te laten. Er is een nieuwsbericht met meetgegevens.
Het helpt ook niet dat waar het vroeger de kroon op een carriere was, de mensen op het pluche er tegenwoordig echt alleen maar voor zichzelf nog zitten. Niemand die nog zin heeft serieus na te denken over lange termijngevolgen van het beleid, of het moet gaan over het plezieren van de organisaties waarbij commisariaten beoogd worden.
Zorgwekkender vind ik het dat het kennelijk alleen interessant en het onderzoeken waard is als het 'bekende Nederlanders' betreft.
Over de inmiddels volstrekt geaccepteerde geïnstitutionaliseerde privacy schendingen van tienduizenden zo niet honderdduizenden minder tot niet bekende Nederlanders hoor je niemand.
De grensloos lijkende onderzoeks- en controle verrichtingen, met bijkomende dossier opbouw, door de sociale diensten in het algemeen interesseert zelfs een sociale partij als de SP geen ene privacy en klasse zier.
Een probleem is alleen interessant als daar politieke invloed zit, middenklasse en bovenmodaal klasse. Hoezo geen klasse onderscheid?
..
Daar noem je wat
Invoeren van techniek waarvan je de technische en nadelige implicaties niet van kan overzien, doordat je er in aanvang al niets van begrijpt.
Controle en toezicht op uitvoer en naleving van ingevoerde techniek, gedoemd tot mislukken omdat je er niets van begrijpt.
http://webwereld.nl/overheid/82475-commissie-ict-fails-overheid-worstelt-met-jargon
"Als voorbeelden van voor de commissie 'ondoorgrondelijke' ict-jargon worden genoemd function creep, vendor lock-in en agile. Renkema in NRC Handelsblad: "Maak bijvoorbeeld van vendor lock-in klantverslaving. Dat dekt de lading wel.""
Een wikipedia bezoekje kan helpen, in het kader van de voorbereiding, of is dat ook al te ingewikkeld?
https://nl.wikipedia.org/wiki/Vendor_lock-in
Hoezo klantverslaving?
Dat dekt de lading bepaald niet eenduidig. Alsof het probleem aan de kant van de klant veroorzaakt wordt.
Geen misverstanden, de klant wordt afhankelijk gemaakt door een leverancier.
Dat is geen verslaving maar gedwongen winkelnering, koppelverkoop.
Zullen we op deze commissie maar gelijk een nieuwe commissie zetten?
De commissie of inspectie 'commissie kennis-fails'.
.... via Stuwinet.
Er zijn namelijk ook nog een hoop andere systemen in andere sectoren waarin dezelfde gegevens ook te benaderen zijn.
Het werkelijke aantal ligt dan ook - zonder enige twijfel - vele malen hoger dan 146 keer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
