image

Belastingdienst beveiligde gegevens onvoldoende

woensdag 1 februari 2017, 07:29 door Redactie, 75 reacties

De financiële en persoonlijke gegevens van 11 miljoen belastingbetalers en 2 miljoen bedrijven zijn in de periode van 2013 tot 2016 onvoldoende beveiligd door de Belastingdienst. Dat meldt het televisieprogramma Zembla op basis van bronnen en documenten. De problemen speelden bij de "Broedkamer".

Deze afdeling van de fiscus houdt zich bezig met data-analyse. Tussen 2013 en 2016 had de afdeling het autorisatiesysteem niet op orde en vond er ook geen logging en monitoring van de dataverwerking plaats. Daardoor kon niet worden achterhaald wie er op welk moment met de data heeft gewerkt. Niet alleen Belastingdienstmedewerkers hadden toegang tot de gegevens, ook tientallen externe consultants.

Staatssecretaris Wiebes van Financiën stelt in een reactie dat voor de Broedkamer "de reguliere beveiligingseisen" golden. Wel erkent hij dat er geen monitoring plaatsvond. Op de vraag of de beveiliging inmiddels wel op orde is blijft de staatssecretaris onduidelijk, aldus Zembla. Uit documenten die het televisieprogramma in handen kreeg blijkt dat er in maart 2015 al werd gewaarschuwd dat er maatregelen moesten worden genomen om aan de Wet Bescherming Persoonsgegevens te voldoen. De Autoriteit Persoonsgegevens (AP) is een onderzoek naar de databeveiliging bij de Belastingdienst gestart.

Reacties (75)
01-02-2017, 08:19 door Anoniem
Hij blijft onduidelijk.

Gokje wagen: het is nog steeds een puinhoop en hij probeert het onder het vloerkleed te vegen om te voorkomen dat weer een keer duidelijk wordt dat hij de boel niet onder controle heeft.
Wat een faalhaas!
01-02-2017, 08:45 door Secu_jay
Dat regels gelden, zegt niets over de naleving. Ben benieuwd of journalisten door durven te vragen op dergelijke open deuren. Ik ben benieuwd waarom men naar Zembla is gegaan. Was dit intern niet aan te kaarten?
01-02-2017, 08:59 door Anoniem
Ga er maar vanuit dat de broedkamer goed afgesloten is en dat de gegevens niet naar buiten kunnen. Dit is een in house afdeling en je komt er niet in. "Slechte" beveiliging bij de belastingdienst is altijd nog veel beter dan bij het gemiddelde bedrijf. De belastingdienst ligt al onder vuur, wat is er leuker dan iemand die al ligt nog na te trappen... Beetje sensatie verhaal als je het mij vraagt. De Nederlandse belastingdienst is de meest complexe en geavanceerde in de wereld en de afhandeling is van de belastingen gaat, in vergelijking met de rest van de wereld, super...
01-02-2017, 09:00 door Anoniem
WAAR was Dijsselbloem?????

z'n nieuw baantje in Brussel aan het voorbereiden
01-02-2017, 09:07 door Anoniem
Wordt het niet eens tijd voor een minister van ICT, die beschikking heeft tot een team auditors. Dit in combinatie met een zwart lijst voor kut bedrijven en personeel zou veel moeten helpen.
01-02-2017, 09:30 door Ron625
Door Anoniem: Wordt het niet eens tijd voor een minister van ICT, die beschikking heeft tot een team auditors.
We hebben natuurlijk de Digicommisaris (https://www.digicommissaris.nl), geef die meer bevoegdheden.
Daarnaast is Logius ook van de overheid, die moeten misschien meer en vaker controleren.
01-02-2017, 09:49 door karma4
Vermoedelijk het gangbare verhaal. Big data ci markering.
Ict faalt al jaren (+20 jaar) om iets behoorlijks te doen voor dat soort omgevingen. Vervolgens ontstaat er door uitbesteding en zelf doen iets wat wel werkt maar niet aan de secùrity beleidsregels voldoet. Het begon ooit met lotus123a nu maak ik me meer zorgen over alle zelfbouw desktop invullingen en het rondsturen (csv excel) van alle informatie dan centrale omgevingen.

Die centrale omgevingen kunnen nog goed worden mits die OS nerds eens aanvulling en medewerking aan de eisen met het gebruik gaan geven. Bijvoorbeeld vele privileged accounts en een hele boel groepen.
Die ervaring komt uit het bedrijfsleven waar dat een gangbare faal is inclusief alles overlaten aan externe leveranciers zonder de interne richtlijnen af te stemmen.

Ben benieuwd of Zembla al die gevallen wil oppakken.
01-02-2017, 09:54 door PietdeVries
Gelukkig is het bij het bedrijfsleven beter geregeld! Of nee - toch niet...
01-02-2017, 09:58 door Anoniem
Door Anoniem: Ga er maar vanuit dat de broedkamer goed afgesloten is en dat de gegevens niet naar buiten kunnen. Dit is een in house afdeling en je komt er niet in. "Slechte" beveiliging bij de belastingdienst is altijd nog veel beter dan bij het gemiddelde bedrijf. De belastingdienst ligt al onder vuur, wat is er leuker dan iemand die al ligt nog na te trappen...
Heb je de gelinkte pagina bij Zembla niet gelezen? Daar wordt gesproken over waarschuwingen waar niets mee gedaan is (wat bronnen tot op directieniveau onder ede zouden verklaren), de Auditdienst Rijk verklaart dat het beveiligingsmaatregelen daar niet geëffectueerd zijn, het autorisatiesysteem was jarenlang niet op orde, logging en monitoring ontbrak waardoor niet bekend is wie wat heeft ingezien, waaronder tientallen externe krachten.

Ik kan best geloven dat ze het daar nog altijd beter op orde hebben dan een gemiddeld bedrijf, zoals jij stelt, maar dat wil niet zeggen dat het goed genoeg is of dat kritiek erop hebben natrappen is. De belastingdienst zit op een enorme berg privacygevoelige gegevens, veel groter dan de meeste bedrijven hebben, en ze hebben zich te houden aan de regels die voor het omgaan daarmee gelden.

Daar komt bij dat als de overheid zijn eigen regels niet naleeft het de morele basis ondergraaft om aan anderen te vragen zich wel aan regels te houden. In een rechtsstaat hoort de overheid onkreukbaar te zijn, en het is prima dat de pers herrie schopt wanneer dat niet zo blijkt te zijn.
01-02-2017, 10:16 door Anoniem
Door PietdeVries: Gelukkig is het bij het bedrijfsleven beter geregeld! Of nee - toch niet...
Het is daar wel beter geregeld. Een heel klein beetje maar, maar toch. En wel zo:

Je kan ervoor kiezen geen zaken te doen met een bedrijf. Ze kunnen failliet gaan. Er zitten dus op zijn minst theoretische gevolgen aan al te opzichtig falen. Voor de meeste bedrijven geldt, er is zelfs een "authoriteit" die ervoor zorg moet dragen dat je alternatieven hebt. Ook dat is niet perfect *kuch* ziggo *kuch* maar het is meer bescherming dan je bij de overheid krijgt. Ga maar kijken hoe dat zit met "keuze" en "overheid". Toe maar, ik wacht wel even.
01-02-2017, 10:27 door karma4
Door Ron625: .....
Daarnaast is Logius ook van de overheid, die moeten misschien meer en vaker controleren.
Ze hebben zich wetgevend opgesteld met een samenwerking via het ncsc. Je kent noraonline vast wel.

Controlerend handhavend is niet ingevuld of dat zou het AP moeten zijn. Dan kom je in de zelfregulering waarbij het bestuur een verklaring instuurt en daar blijft het dan bij.
Heel herkenbaar vanuit het bedrijfsleven en de financials. De DNB heb ik bijvoorbeeld nog nooit echte iets zien controleren op dat vlak ook al geven ze er richtlijnen voor aan.
01-02-2017, 10:29 door Anoniem
De Nederlandse belastingdienst is de meest complexe en geavanceerde in de wereld en de afhandeling is van de belastingen gaat, in vergelijking met de rest van de wereld, super...
Je praat als rutte, Nedeland is overal te beste de slimste en ga zo maar door in.
Helaas dit kabinet maakt blunder op blunder, alleen langer door werken blijkt een succes.
Niets met security te maken, denk dan maar eens goed na.
01-02-2017, 10:30 door Anoniem
Ik vraag me af of de Belastingdienst hierop alle betrokkenen gaat informeren...
01-02-2017, 10:31 door Anoniem
Misschien moet de autoriteit persoonsgegevens eens een onderzoekje instellen naar de legaliteit van al dit soort brede visnet methodeacties waarbij elke Nederlander bij voorbaat een verdachte is. Even los van de noodzaak om echte criminelen uiteraard aan te pakken. Maar dat moet toch wel met de nodige zorgvuldigheid gebeuren. Kwestie van projectleiders en managers opvoeden dat er echt grenzen zijn aan het verkloten van informatiebeveiliging. Tijd om eens een voorbeeld te stellen?
01-02-2017, 10:56 door Anoniem
Door Anoniem: Ga er maar vanuit dat de broedkamer goed afgesloten is en dat de gegevens niet naar buiten kunnen. Dit is een in house afdeling en je komt er niet in. "Slechte" beveiliging bij de belastingdienst is altijd nog veel beter dan bij het gemiddelde bedrijf. De belastingdienst ligt al onder vuur, wat is er leuker dan iemand die al ligt nog na te trappen... Beetje sensatie verhaal als je het mij vraagt. De Nederlandse belastingdienst is de meest complexe en geavanceerde in de wereld en de afhandeling is van de belastingen gaat, in vergelijking met de rest van de wereld, super...

Er zitten wel wat slagen om de arm in het verhaal vind ik, er staat nergens dat er daadwerkelijk data op straat zijn komen te liggen en van wie dan precies. Potentieel is het gevaar er altijd zodra je dat ergens hebt staan, dat kun je spannend brengen maar het houdt niet veel in.
En dat ergens externe consultants bij kunnen, ja, dat houd je met inhuur toch en daar heb je normaal gesproken NDA's voor.

Ik vind het nog niet spannend genoeg eerlijk gezegd. Van mij mag Zembla wel met wat meer komen. En degene die zulke data aan Zembla geeft is een matennaaier.
01-02-2017, 11:20 door Anoniem
ik heb het item niet bekeken. maar interesante vraag is. wat zijn de gevolgen voor de mensen wiens data geraakt is. en wat heeft dit voor hun voor gevolgen.
daarnaast wat gebeurd er intern.

binnen mijn bedrijf is er ook wel eens discussie geweest waar we keihard de regel hebben geen productie data in ota.
Als een ontwikkelaar dan vraagt hoe hij zijn werk moet doen krijgt hij een leuke discussie.
01-02-2017, 11:34 door karma4
Door Anoniem:
Er zitten wel wat slagen om de arm in het verhaal vind ik, er staat nergens dat er daadwerkelijk data op straat zijn komen te liggen en van wie dan precies. Potentieel is het gevaar er altijd zodra je dat ergens hebt staan, dat kun je spannend brengen maar het houdt niet veel in.
En dat ergens externe consultants bij kunnen, ja, dat houd je met inhuur toch en daar heb je normaal gesproken NDA's voor.

Ik vind het nog niet spannend genoeg eerlijk gezegd. Van mij mag Zembla wel met wat meer komen. En degene die zulke data aan Zembla geeft is een matennaaier.

Interessant is dan waar deze escalatie vandaan komt.
Als we weten.
- deze aanpak is gewoon gangbaar (hij moet wel verbeterd worden)
- er velen door vernieuwing en verbetering bedreigd worden in hun huidige manier van werken.
Komt het voort uit een situatie dat her en der met de data op eigen Desktops Excel etc gewerkt wil worden en men dat niet kwijt wil. Dan is er een veel slechtere situatie die op deze wijze voortbestaan zoekt.
01-02-2017, 12:05 door Anoniem
Door Anoniem: Er zitten wel wat slagen om de arm in het verhaal vind ik, er staat nergens dat er daadwerkelijk data op straat zijn komen te liggen en van wie dan precies. Potentieel is het gevaar er altijd zodra je dat ergens hebt staan, dat kun je spannend brengen maar het houdt niet veel in.
Als het risico vergroot is doordat men zich niet aan de voorschriften houdt is er wel degelijk iets nieuwswaardigs aan de hand. Je bent toch hopelijk niet een van die mensen die denkt dat het risico op alles 50% is omdat het óf wel, óf niet gebeurt?
En dat ergens externe consultants bij kunnen, ja, dat houd je met inhuur toch en daar heb je normaal gesproken NDA's voor.
Ik denk dat het belangrijkste punt is dat ook hun toegang tot de gegevens niet is gelogd en gemonitord.
Ik vind het nog niet spannend genoeg eerlijk gezegd. Van mij mag Zembla wel met wat meer komen. En degene die zulke data aan Zembla geeft is een matennaaier.
Het gaat hier niet alleen om hoe collegiaal je bent, dit gaat om vertrouwelijke gegevens van heel Nederland. Als ze daar niet goed mee omgaan naaien ze de hele Nederlandse bevolking. Er is een woord voor matennaaiers die snappen dat sommige belangen groter zijn dan die van hun eigen kliek: klokkenluiders.

Ook als er geen data zijn gelekt (wat kennelijk niet is te verifiëren) is wat publieke druk op een organisatie die kennelijk een jaar na te zijn gewaarschuwd nog niet in beweging is gekomen geen gek idee.
01-02-2017, 12:05 door Anoniem
Door Anoniem: Wordt het niet eens tijd voor een minister van ICT, die beschikking heeft tot een team auditors. Dit in combinatie met een zwart lijst voor bedrijven en personeel zou veel moeten helpen.
Hear, hear!!
01-02-2017, 12:29 door sjonniev - Bijgewerkt: 01-02-2017, 12:30
Door Anoniem:
Er zitten wel wat slagen om de arm in het verhaal vind ik, er staat nergens dat er daadwerkelijk data op straat zijn komen te liggen en van wie dan precies. Potentieel is het gevaar er altijd zodra je dat ergens hebt staan, dat kun je spannend brengen maar het houdt niet veel in.
En dat ergens externe consultants bij kunnen, ja, dat houd je met inhuur toch en daar heb je normaal gesproken NDA's voor.

Ik vind het nog niet spannend genoeg eerlijk gezegd. Van mij mag Zembla wel met wat meer komen. En degene die zulke data aan Zembla geeft is een matennaaier.

Volgens de wet moet in het geval van een vermeend datalek de vermeende datalekker bij de AP aannemelijk maken/aan kunnen tonen dat er geen sprake kan zijn van een datalek. Dit is best lastig zonder aantoonbaar adequate beschermingsmaatregelen, en helemaal onmogelijk zonder logging en monitoring. Dus ze zijn sowieso de klos.

imho:
Degene die deze informatie met Zembla heeft gedeeld is een held en moet als klokkenluider beschermd worden.

ook imho:
Dit is een op hol geslagen hobbyproject, gerund door hotemetoten die vinden dat regels er voor de anderen zijn.
01-02-2017, 13:05 door Anoniem
Meer belasting betalen.
Mijnheer Rutte, welk rekeningnummer kan ik mijn werkgever in het vervolg mijn salaris op laten overmaken.
01-02-2017, 13:06 door karma4
Door sjonniev:
Volgens de wet moet in het geval van een vermeend datalek de vermeende datalekker bij de AP aannemelijk maken/aan kunnen tonen dat er geen sprake kan zijn van een datalek. Dit is best lastig zonder aantoonbaar adequate beschermingsmaatregelen, en helemaal onmogelijk zonder logging en monitoring. Dus ze zijn sowieso de klos.

imho:
Degene die deze informatie met Zembla heeft gedeeld is een held en moet als klokkenluider beschermd worden.

ook imho:
Dit is een op hol geslagen hobbyproject, gerund door hotemetoten die vinden dat regels er voor de anderen zijn.
Waarop baseer je al die aannames?
- Aparte machines per applicatie en dat is de security inrichting volgens de norm vanuit ict OS inrichting.
- afgesloten desktops met de onmogelijkheid usb gebruik is de norm in dit soort organisaties
- als je naar huis mailt of aparte websites gebruikt dan wordt dat gelogd
- eigen apparatuur of wat dan ook is no way. Externe consultants moeten meerdere apparaten gebruiken. Een allen voor werk bij de klant een ander voor het eigen bedrijf.
Dat is voor het bedrijfsleven zo en voor de overheid, het maakt geen verschil.
01-02-2017, 14:05 door Anoniem
"Leuker kunnen we het niet maken, wel onveiliger" :-)
01-02-2017, 14:06 door Anoniem
Door karma4:
Door sjonniev:
Volgens de wet moet in het geval van een vermeend datalek de vermeende datalekker bij de AP aannemelijk maken/aan kunnen tonen dat er geen sprake kan zijn van een datalek. Dit is best lastig zonder aantoonbaar adequate beschermingsmaatregelen, en helemaal onmogelijk zonder logging en monitoring. Dus ze zijn sowieso de klos.

imho:
Degene die deze informatie met Zembla heeft gedeeld is een held en moet als klokkenluider beschermd worden.

ook imho:
Dit is een op hol geslagen hobbyproject, gerund door hotemetoten die vinden dat regels er voor de anderen zijn.
Waarop baseer je al die aannames?
- Aparte machines per applicatie en dat is de security inrichting volgens de norm vanuit ict OS inrichting.

Een machine om te emailen; een machine om te browsen; een machine voor de tekstverwerking; een machine voor het rekenvel; een machine voor bedrijfsapplicatie A; een machine voor bedrijfsapplicatie B, etc.

Kortom: je zoekt naar manieren om nog meer geld te kunnen verdienen aan de arme digibeet?
01-02-2017, 14:08 door sjonniev - Bijgewerkt: 01-02-2017, 14:12
Door karma4:
Waarop baseer je al die aannames?
- Aparte machines per applicatie en dat is de security inrichting volgens de norm vanuit ict OS inrichting.
- afgesloten desktops met de onmogelijkheid usb gebruik is de norm in dit soort organisaties
- als je naar huis mailt of aparte websites gebruikt dan wordt dat gelogd
- eigen apparatuur of wat dan ook is no way. Externe consultants moeten meerdere apparaten gebruiken. Een allen voor werk bij de klant een ander voor het eigen bedrijf.
Dat is voor het bedrijfsleven zo en voor de overheid, het maakt geen verschil.

Alles boven imho is geen aanname. Alles daaronder wel. Het is imho een aanname dat organisaties zich hieraan houden. In het verhaal op de Zembla website staat dat er geen sprake is van logging en monitoring. Diefstal en verlies kunnen niet worden uitgesloten, staat er letterlijk. Het maakt niet uit hoe er phone home gedaan wordt, mail/web/ftp/scp/usb/dvd, het hoort niet te kunnen.

- Aparte machines per applicatie en dat is de security inrichting volgens de norm vanuit ict OS inrichting.
Is ook altijd mijn advies, dat meestal vrolijk wordt weggelachen. Ik kan mij als de dag van gisteren herinneren dat toen ik meldde dat de instellingen van een bepaalde webservice eindelijk goed stonden, en er alleen een iisrestart nodig was, er de agenda bij moest om te bepalen wanneer dat dan kon. Vanwege de andere reut die er ook op draaide. Het werd de volgende week donderdag om 11:00u.

- afgesloten desktops met de onmogelijkheid usb gebruik is de norm in dit soort organisaties
Normen zijn er wat "de managementlaag" betreft voor de anderen, niet voor hen.

- als je naar huis mailt of aparte websites gebruikt dan wordt dat gelogd
Naar huis mailen of uploaden naar websites moet geblokkeerd worden, of versleuteld plaatsvinden (en dan niet alleen maar met TLS, want dat is alleen maar een tunneltje), of minimaal gelogd en gemonitord worden.

- eigen apparatuur of wat dan ook is no way. Externe consultants moeten meerdere apparaten gebruiken. Een allen voor werk bij de klant een ander voor het eigen bedrijf.
Hoe bedoel je no way als je het wel naar huis mag mailen?

Er zijn organisaties die het goed genoeg voor elkaar hebben, en er zijn (nog steeds) organisaties waar elke beheerder met "%userdomain%\administrator aanmeldt, om maar een van de "lichtere" vergrijpen te noemen, en daar zit van alles tussen.
01-02-2017, 14:41 door Anoniem
Maar gelukkig kon Wiebes er niks aan doen want niemand vertelt hem ooit wat, toch? Dat ADR rapport, dat trouwens waarschijnlijk gewoon naar de 2e Kamer is gegaan, heeft niemand daar wat mee gedaan? Of is daarna alles opgelost en gaat het om de periode daarvóór en is daar dus niks meer aan te doen?

Zoals ik het nu lees gaat het erom dat de gegevens kwetsbaar zijn geweest, er staat niet bij of dat nog zo is? Hoe fout het verleden ook, je verandert er achteraf weinig meer aan.
01-02-2017, 15:35 door karma4 - Bijgewerkt: 01-02-2017, 15:36
Door sjonniev: In het verhaal op de Zembla website staat dat er geen sprake is van logging en monitoring. Diefstal en verlies kunnen niet worden uitgesloten, staat er letterlijk.
Met de aanname dat Zembla de enige waarheid uitdraagt. Is dat zo en wat is er echt aan onderzocht?

Het maakt niet uit hoe er phone home gedaan wordt, mail/web/ftp/scp/usb/dvd, het hoort niet te kunnen.
Daarmee sluit je elke mogelijkheid van communicatie uit. Dat is gewoon onzin. Als je kam mailen commucieren omdat bij je werk hoort is uitwisseling altijd mogelijk. Per ongeluk insluiten omdat het op de desktop staat beter niet. Screen shots etc zijn opzettelijk dat is iets wat je monitored in de generieke infra.

- Aparte machines per applicatie en dat is de security inrichting volgens de norm vanuit ict OS inrichting.

Is ook altijd mijn advies, dat meestal vrolijk wordt weggelachen. Ik kan mij als de dag van gisteren herinneren dat toen ik meldde dat de instellingen van een bepaalde webservice eindelijk goed stonden, en er alleen een iisrestart nodig was, er de agenda bij moest om te bepalen wanneer dat dan kon. Vanwege de andere reut die er ook op draaide. Het werd de volgende week donderdag om 11:00u.
Wat mij betreft beslist niet aparte machines.
De data moet leidend zijn met zo min mogelijk onnodige kopieën. Het is gangbare nachtmerrie in bi en Analytics dat een idee zijn eigen kopietje moet maken. Hou de data centraal en zet daar behoorlijke secùrity op naar doel gebruik.
In echte big data setting is het server based. Je geeft net aan waar een van de oorzaken in de problematiek zit. Ict-ers die dat niet inzien. Wou je veronderstellen dat ze (analysten) alles met Excel zitten te doen?

- afgesloten desktops met de onmogelijkheid usb gebruik is de norm in dit soort organisaties

Normen zijn er wat "de managementlaag" betreft voor de anderen, niet voor hen.
Hier wordt niet verwezen naar managers. Die kunnen helemaal niets met de tools en alles wat daar gebeurt. Analysten programmeurs die geacht worden de processen te bouwen en af te leveren wordt als issue weggezet.

(--' mailen als generieke infra hadden we al benoemd. Dat is niet iets waar ellke afdeling zelf achter aan moet. Dus off topic voor Zembla die zich op een enkele afdeling richt. Dat geld ook voor de apparatuur.

Bedenk eens, wat is er aan de hand dat er 1 afdeling geschoten wordt. Wat is er aan de hand in dat organisatie steekspel.

Er zijn organisaties die het goed genoeg voor elkaar hebben, en er zijn (nog steeds) organisaties waar elke beheerder met "%userdomain%\administrator aanmeldt, om maar een van de "lichtere" vergrijpen te noemen, en daar zit van alles tussen.
Een beetje off topic maar herkenbaar. Gewoon domain administratie gebruiken want het is zo makkelijk om op die manier spreadsheets af te leveren. Bedrijfsleven praktijk.
01-02-2017, 15:50 door Briolet - Bijgewerkt: 01-02-2017, 15:51
Ik zie heel wat discussie over de vooraankondiging van een TV programma. Zembla overdrijft wel eens vaker en in een vooraankondiging worden zaken soms nog scherper geformuleerd dan in de uitzending zelf, waar beter genuanceerd wordt.

Mij valt b.v. op dat verschillende personen iets onder ede verklaard zouden hebben. Bij welke rechtbank is dit dan gebeurd? Ik denk dat er dus nog niets onder ede verklaard is, want anders was dit al eerder bekend uit rechtbankverslagen.

En hoe zouden bedrijven met deze data gechanteerd kunnen worden? Bedrijven moeten nu al een balans opstellen en bij de KvK deponeren. Dat zijn dezelfde gegevens die de belastingdienst krijgt. Ik denk eerdere dat de belastingdienst gechanteerd zal worden als blijkt dat ze onderhandse deals met bedrijven gemaakt hebben.

Laten we eerst maar de uitzending zelf bekijken om te zien of de beweringen in de vooraankondiging ook zo net zo eenduidig in de uitzending vermeld worden.
01-02-2017, 15:54 door Anoniem
Door Briolet: Ik zie heel wat discussie over de vooraankondiging van een TV programma. Zembla overdrijft wel eens vaker en in een vooraankondiging worden zaken soms nog scherper geformuleerd dan in de uitzending zelf, waar beter genuanceerd wordt.
...
Laten we eerst maar de uitzending zelf bekijken om te zien of de beweringen in de vooraankondiging ook zo net zo eenduidig in de uitzending vermeld worden.

Een dergelijke discussie kan je over artikelkoppen voeren.

Wanneer je voorbij gaat aan de functie en de ruimte van een artikelkop en vooraankondiging.
Als het alomvattend was was het artikel zelf of de uitzending zelf niet meer nodig nietwaar?
01-02-2017, 16:01 door PietdeVries - Bijgewerkt: 01-02-2017, 16:02
Hmm... Incompetentie? Ik denk dat dit iedereen kan gebeuren. Sterker nog, vandaag heeft GitLab een productie database met 310GB aan data door de plee getrokken terwijl alle 6 (!!!) backup methodes niet werkten...

Waarmee ik maar wil zeggen dat zelfs als je een IT ruimte vol nerd zet de meest basale dingen misgaan. Dus met (zelfs) GitLab de mist in zullen de issues bij de belastingdienst zullen vast ook bij "ons" optreden, niet?

Een medewerker probeerde een lege directory te wissen, maar deed dit met db1.cluster.gitlab.com in plaats van met db2.cluster.gitlab.com. Toen hij erachter kwam, was er nog maar 4,5GB van de in totaal 310GB aan data over. Daar kwam bij dat verschillende back-upmethodes niet werkten.
(https://tweakers.net/nieuws/120733/gitlab-ondervindt-problemen-door-gewiste-productiedata.html)
01-02-2017, 16:37 door [Account Verwijderd] - Bijgewerkt: 01-02-2017, 16:46
[Verwijderd]
01-02-2017, 17:13 door Anoniem
Door PietdeVries: Hmm... Incompetentie? Ik denk dat dit iedereen kan gebeuren. Sterker nog, vandaag heeft GitLab een productie database met 310GB aan data door de plee getrokken terwijl alle 6 (!!!) backup methodes niet werkten...

Waarmee ik maar wil zeggen dat zelfs als je een IT ruimte vol nerd zet de meest basale dingen misgaan. Dus met (zelfs) GitLab de mist in zullen de issues bij de belastingdienst zullen vast ook bij "ons" optreden, niet?

Een medewerker probeerde een lege directory te wissen, maar deed dit met db1.cluster.gitlab.com in plaats van met db2.cluster.gitlab.com. Toen hij erachter kwam, was er nog maar 4,5GB van de in totaal 310GB aan data over. Daar kwam bij dat verschillende back-upmethodes niet werkten.
(https://tweakers.net/nieuws/120733/gitlab-ondervindt-problemen-door-gewiste-productiedata.html)

Ach Pieter, kom, het is juist zo leuk roepen over de overheid. Enerzijds is de overheid overal te dom voor, anderzijds is de overheid een kwade genius die achter ons allen aanzit. Men vindt dat It en overheid niet samengaat maar is ook niet bereid om een helpende hand toe te steken "want het betaalt zo slecht", anderzijds mag de overheid niks kosten want het is al zo duur allemaal. En ik vraag me inmiddels af: stel nu dat we de Belastingdienst maar gewoon opheffen, wat dan?
01-02-2017, 17:16 door Anoniem
Door Secu_jay: Dat regels gelden, zegt niets over de naleving. Ben benieuwd of journalisten door durven te vragen op dergelijke open deuren. Ik ben benieuwd waarom men naar Zembla is gegaan. Was dit intern niet aan te kaarten?

Naleving is inderdaad een andere zaak. Het is echter best lastig om dat heel hard af te dwingen, met 100% zekerheid, zonder een Stasi in te richten; en dan nog. Het aantal ambtenaren verdubbelen zodat ze elkaar in de gaten houden lijkt me nogal kostopdrijvend en of je dan bereikt wat je wilt, daar ben ik niet zeker van.

Waarom men naar Zembla gegaan is weet ik niet, persoonlijk vind ik het matennaaien, maar er zijn ook mensen die het juist als heel erg dapper beschouwen. Wat er precies zo dapper aan is weet ik niet, want de consequenties zullen beperkt zijn gezien de anonimiteit, maar goed.

Ik denk dat er wel zaken in Nederland zijn die meer aandacht verdienen. Maar goed, het leidt wel lekker af en de Belastingdienst kan inderdaad wel wat verbetering gebruiken (al zal alle ge-bash echt niet helpen) en is altijd een dankbaar onderwerp om op te schelden. Misschien moet het maar weer vermarkt worden. Dat werkte vroeger ook.
01-02-2017, 17:19 door Anoniem
Wat ik niet zo snap in het verhaal, er wordt verwezen naar een rapport van de ADR. Die zijn, dacht ik, openbaar en worden in ieder geval aan de staatssecretaris en de 2e Kamer gedeeld. Dan wist iedereen die het moest weten, dit toch al sinds maart 2016? Het is dus geen goed bewaard geheim, en het is ook niet nieuw.
01-02-2017, 20:03 door Anoniem
Afgezien van wat er op het gebied van beveiliging misgaat bij Financien, is de afbraak van de Belastingdienst het domste plan in de recente geschiedenis. De Belastingdienst zorgt voor inkomsten, mensen daar wegjagen is geen goed plan. Je riskeert daarmee de inkomstenbron van de staat en de stabiliteit. Bezuinigen op de instelling die voor inkomsten zorgt is voor iedereen die langer dan een seconde nadenkt vanzelfsprekend een slecht idee. De op automatisering gezette hoop zal altijd falen. Belastingen innen is en blijft mensenwerk. Investeer dat geld en verwerp het misplaatste vertrouwen in big data. En dan komen we toch weer aan bij dit artikel: het zou niet nodig zijn geweest als je geen clubjes "consultants" ongecontroleerd laat grasduinen in data in de hoop een besparing te vinden die lager uitvalt dan de kosten van opsporen.
01-02-2017, 20:30 door [Account Verwijderd]
[Verwijderd]
02-02-2017, 03:40 door Anoniem
nog maar eens proberen dan?

Een Oorzaak en Een Oplossing: www.dinsdag.org/index.php?news=74

Maar lijkt meer op moedwillige volledig lak hebben aan de wet door de staat zelfe. er is 0 handhaving.. Er hadden nu een paar amtenaren direct naar voorlopige hechtenis gemoeten volgens de wet!!
Nederland blijkt geen steek ethischer dan putin's wit-rusland.
02-02-2017, 07:51 door Anoniem
Er zitten wel wat slagen om de arm in het verhaal vind ik, er staat nergens dat er daadwerkelijk data op straat zijn komen te liggen en van wie dan precies.
Er staat wel iets over tientallen externen. Dat is niet anders dan 'op straat'... Als je externen al met zoiets laat werken, dan zijn in elk geval persoonsnummers, adressen ed. niet meer traceerbaar. En daarmee gaat nou net de hele sleepnetmethode op z'n muil.
Dus hoe dan ook is het niet goed (maar helaas niet onverwacht).
02-02-2017, 07:54 door Anoniem
Door Anoniem: Ach Pieter, kom, het is juist zo leuk roepen over de overheid. Enerzijds is de overheid overal te dom voor, anderzijds is de overheid een kwade genius die achter ons allen aanzit. Men vindt dat It en overheid niet samengaat maar is ook niet bereid om een helpende hand toe te steken "want het betaalt zo slecht", anderzijds mag de overheid niks kosten want het is al zo duur allemaal. En ik vraag me inmiddels af: stel nu dat we de Belastingdienst maar gewoon opheffen, wat dan?

Chappeau!
02-02-2017, 09:41 door Anoniem
Het grote probleem is nou eenmaal dat de Belastingdienst áltijd gelijk en voorrang heeft. Dat zorgt ervoor dat ze daar ook ge(mis)bruik van maken.

Als burger ben je dus altijd de klos, mits je het tegendeel kunt bewijzen. En hoe bewijs je dat tegen een Moloch die in eerste instantie altijd gelijk heeft?

Wie beschermd ons tegen de 'beschermer' ?
02-02-2017, 10:04 door karma4
De uitzending gezien?
Vreselijk slechte journalistiek. Zou rijp zijn voor een aanklacht wegens smaad. Feiten doen er niet toe als er maar een beeld gekweekt wordt.

Een half uur lang alleen maar suggesties en veronderstellingen wat als en zou dat..... De externe specialisten met antwoorden "als dat waar is dan ...." vervolgens wordt de veronderstelling derstelling als waarheid met de conclusie geponeerd.

Een paar opmerkelijke zaken:
- fysieke toegangsbeveiliging zou niet bestaan. Probeer maar eens een Bd kantoor binnen te komen. Lukt niet. Die opnames hadden ze ook niet.
- downloaden en big data. Veel succes het heet niet voor niets big data.
- downloaden gebeurt massaal naar Excel maar dat heeft niets met big data te maken.
Deze zaken zijn heel normaal in elke grotere organisatie.

Intussen heb ik dat soort politiek vaker meegemaakt de afgelopen vele jaren. Je wordt er gevoelig voor en herken het makkelijker maar nog steeds pijnlijk.
Hier speelt iets van onvrede bij oude machten die wat kwijt dreigen te raken en zo via het nieuws in verzet gaan. Gewoonlijk komt het niet naar buiten in het bedrijfsleven.
02-02-2017, 10:11 door [Account Verwijderd] - Bijgewerkt: 02-02-2017, 10:12
[Verwijderd]
02-02-2017, 10:12 door Anoniem
In principe is er nu dus een schending van Integrity and confidentiality. De belastingdienst heeft echt een enorm probleem nu. Het betekent dat die database van ze nu onbetrouwbaar is.

nonrepudation!

Avalability van die data is nu dus onverantwoord.

Daarnaast was imago toch al niet zo best maar nu is er in feite ook nog imago schade bij.

En voor de volledigheid Ik ben nog nooit een bedrijf om het zomaar uit te drukken... tegen gekomen waarbij logging en monitoring goed geregeld is. Het faalt altijd op de kosten. Maw accounting/accountability is bijna nergens goed ingeregeld.

Dit is bijzonder ernstig. Maar dit geldt in feite voor echt heel veel bedrijven. En dit is natuurlijk geen excuus voor de belastingdienst.

Afgezien bovenstaande ben ik daarnaast voorstander van een ander dataclassificatemodel meer richting het militare model.

Als je gaat voor de 100% zal er nu dus controleerd worden of die database van ze nog integer is en zal alles geverifieerd moeten worden. De data zal vergeleken moeten worden met voorgaande jaren en elke afwijking zal gecontroleerd moeten worden. Dit is per definitie een enorme kostenpost.

Ik ben benieuwd welke maatregelen de belastingdienst opgelegd worden en welke ze gaat ondernemen.

Waar was de due diligence?

De CSO van de belasting dienst heeft nu wel wat uit te leggen dacht ik zo.

Leve de uitdrukking "adequate beveiliging"

Echt een totaal onacceptabele situatie. En 3 jaar geduurd...ik heb wel een vermoeden waarom het zo lang duurde...die externen hadden natuurlijk van die wurg contracten op straffe van 4 jaar gevangenisstraf als ze hun mond open deden. En niemand doet zijn mond open want de angst om je job kwijt te raken overheerst.
02-02-2017, 10:17 door Ron625
Door Rinjani:Hun site meent 't beter te weten en kapt afspelen voortijdig af.
Stuur ze een bericht, dat ze niet aan de OpenStandaarden voldoen en wijs ze op de website van forumstandaardisatie.nl.
Ze stellen hun subsidie hiermee in de waagschaal .........
02-02-2017, 10:21 door [Account Verwijderd]
[Verwijderd]
02-02-2017, 10:30 door [Account Verwijderd]
[Verwijderd]
02-02-2017, 11:07 door Anoniem
Door karma4: De uitzending gezien?
Vreselijk slechte journalistiek. Zou rijp zijn voor een aanklacht wegens smaad. Feiten doen er niet toe als er maar een beeld gekweekt wordt.
Leef je in een alternatieve werkelijkheid? Ik heb de uitzending zojuist gezien en wat ik zag is ronduit ernstig. Hoe breng je "feiten doen er niet toe" precies in verband met het feit dat bronnen bij een notaris, onder ede, hun verklaringen hebben afgelegd? Hoe breng je "feiten doen er niet toe" in verband met het feit dat ze een USB-stick vol documenten hebben ontvangen waar ze zich op baseren?
Een half uur lang alleen maar suggesties en veronderstellingen wat als en zou dat..... De externe specialisten met antwoorden "als dat waar is dan ...." vervolgens wordt de veronderstelling derstelling als waarheid met de conclusie geponeerd.
Het pleit voor die deskundigen dat ze zich zorgvuldig uitdrukken. Die zien de documenten en verklaringen, en geven aan dat "als dat waar is" er iets heel ernstigs aan de hand is. Die deskundigen hebben de bronnen niet kunnen controleren, Zembla wel, met behulp van verklaringen onder ede bij een notaris zelfs, dus dat programma is inderdaad in een positie om "als dat waar is" te combineren met hun eigen fact-checking en stelliger te zijn dan die deskundigen.

De deskundigen zijn met naam en toenaam genoemd, de notaris ook. Daarmee maken ze de informatie van anoniemen bronnen zo controleerbaar als die maar te maken is zonder de anonimiteit van die bronnen op te geven. Doen feiten er niet toe als er maar een beeld gekweekt wordt? Ik denk dat je hier juist een voorbeeld van oerdegelijke journalistiek gezien hebt.
02-02-2017, 11:16 door Anoniem
Een vraagje voor karma4: werk jij voor de overheid, ik heb deze uitzending ook gezien maar dan wel iets anders dan jij.
Als dit allemaal waar is, dan kunnen we onderhand wel spreken van corruptie.
02-02-2017, 11:50 door karma4
Door Rinjani:
Slechte journalistiek? De identiteit van hun bronnen is bij de notaris geverifieerd en verklaringen zijn onder ede afgelegd.
een verklaring onder ede is alleen bij de rechter van toepassing. De notaris heeft enkel het paspoort bekeken of de persoon daar bij hoort.Het zegt niets over de betrouwbaarheid van wat de pesoon daar gezegd heeft.
In normaal recht geld hoor en wederhoor.

Heb jij de uitzending wel bekeken?
Ik wel maar denk ook na wat daar gebeurt. Ik ben niet goedgelovig die alles gelooft wat geroeptoeterd wordt.

Intussen heb ik dat soort politiek vaker meegemaakt de afgelopen vele jaren. Je wordt er gevoelig voor en herken het makkelijker maar nog steeds pijnlijk.
Je lult uit je nek!
Ik zou willen dat je gelijk had.al van meer dan 20 jaar terug de interne politiek strijden gedeeltelijk over me heen gekregen.
Voorkeuren voor leveranciers tools in voortraject en waar je niet dwars moet zijn. Successen van projecten die in werkelijkheid een faal zijn. Fusies splitsingen met alles van oude voorkeuren wat meekwam. De leugens machiavellisme en her der geheel gebrek aan empathie naar de mensen.

Door karma4:Hier speelt iets van onvrede bij oude machten die wat kwijt dreigen te raken en zo via het nieuws in verzet gaan.
Dat is een suggestie die grenst aan smaad en op geen enkel feit is gebaseerd.
[/quote]Gezien mijn eerdere ervaringen is zoiets herkenbaar gedrag. Heb jij enig echt feit gezien in de uitzending? Ik niet.
02-02-2017, 12:41 door [Account Verwijderd] - Bijgewerkt: 02-02-2017, 13:00
[Verwijderd]
02-02-2017, 14:10 door Anoniem
Door karma4:
Door Rinjani:
Slechte journalistiek? De identiteit van hun bronnen is bij de notaris geverifieerd en verklaringen zijn onder ede afgelegd.
een verklaring onder ede is alleen bij de rechter van toepassing. De notaris heeft enkel het paspoort bekeken of de persoon daar bij hoort.Het zegt niets over de betrouwbaarheid van wat de pesoon daar gezegd heeft.
Heeft die notaris echt alleen maar de identiteit van bronnen gecontroleerd of hebben ze ook bij de notaris getekend voor hun verklaring? Ik weet niet wat dat dan precies voor status heeft in deze context, maar ik weet wel dat in rechtzaken is voorgekomen dat van getuigen die een reëel gevaar op repressailes liepen verklaringen die onder ede door een notaris waren afgenomen als bewijs zijn geaccepteerd door de rechter. Als Zembla zegt dat mensen iets onder ede hebben verklaard bij een notaris zou het zo kunnen zijn dat ze iets onder ede hebben verklaard bij een notaris, dat is een mogelijkheid die je niet kan uitsluiten denk ik.

Een eed is niet alleen maar van toepassing bij de rechter, de ambtseed die ambtenaren moeten vastleggen is er ook een, en het overtreden daarvan is ook meineed en strafbaar (en dan kom je wel weer bij de rechter terecht). Wat de juridische status is van een eed die iemand als bron van een journalist bij een notaris aflegt overzie ik niet, maar ik kan me voorstellen dat het hoe dan ook iets oplevert dat minder vrijblijvend is dan een gesprek achterin een kroeg.
In normaal recht geld hoor en wederhoor.
Dit is geen rechtzaak, dit is journalistiek. En als je de uitzending hebt gezien weet je dat verschillende partijen om reacties is gevraagd en dat die nogal afhoudend waren. Wederhoor is dus wel degelijk toegepast.
Heb jij de uitzending wel bekeken?
Ik wel maar denk ook na wat daar gebeurt. Ik ben niet goedgelovig die alles gelooft wat geroeptoeterd wordt.
Het is naïef om alles wat je tegenkomt blind te geloven, maar het is net zo naïef om alles blind niet te geloven. Je kan onmogelijk alles wat er in de wereld gebeurt persoonlijk verifiëren, en als je niets vertrouwt kan je alleen maar op je eigen fantasieën afgaan zonder te weten hoe realistisch die zijn. Heb je reden om te geloven dat Zembla geen USB-stick met documenten heeft ontvangen? Heb je reden om aan te nemen dat die documenten niet echt zijn? Heb je reden om aan te nemen dat die bronnen hebben gelogen? Dat ze niet bij die notaris zijn geweest? Dat de naam van het notariskantoor dat in beeld is geweest er niet bij betrokken is of meedoet met liegen? Heb je reden om aan te nemen dat die hoogleraren niet echt zijn? Dat ze niet oprecht op voorgehouden documenten en verklaringen hebben gereageerd?

Dat is nogal veel om even als geroeptoeter aan de kant te schuiven, weet je?

Hoe dan ook, de Autoriteit Persoonsgegevens, aangenomen dat die echt bestaat, gaat onderzoek doen naar de broedkamer (als die echt bestaat) bij de Belastingdienst (als die echt bestaat). Het zit er dik in dat iemand als Pieter Omtzigt (als die echt bestaat) kamervragen gaat stellen (als de kamer echt bestaat) en dan zullen we er ongetwijfeld meer over horen, onder andere hier op security.nl (als dat echt bestaat).
02-02-2017, 15:01 door [Account Verwijderd]
[Verwijderd]
02-02-2017, 15:30 door Ron625
Door Rinjani:
Door Anoniem: Het is naïef om alles wat je tegenkomt blind te geloven, maar het is net zo naïef om alles blind niet te geloven.

+1

(Mooi verwoord ook.)
Onderzoek alles, en behoud het goede.
02-02-2017, 16:22 door karma4
Dit is geen rechtzaak, dit is journalistiek. En als je de uitzending hebt gezien weet je dat verschillende partijen om reacties is gevraagd en dat die nogal afhoudend waren. Wederhoor is dus wel degelijk toegepast.
Ik heb twee zaken genoemd die duidelijk niet kloppen. Fysieke toegang en download. 1 Gewoon omdat zelfs als bezoeker bergen binnenkomt. 2 dat downloaden. Beide zaken zin onderdeel van wat algemeen goed geregeld is. Generiek.
Daar werd in het stuk zelfs gesteld dat een afdeling dat zelf moet doen.
Die usb stick zal er zijn met wat interne beleidsdocumenten. Dat is een datalek op zich.
Mijn verdere analyse is gebaseerd op het bekende interne politieke strijden gedoe. Je kent het blijkbaar niet daarom neem je heel naïef aan dat geuitte onvrede de waarheid is.
Als we de NZA Gotlieb als voorbeeld nemen zie dat de werkvloer vrijwel kansloos is. De onvrede zit hier op managers niveau die het niet eens zijn met beleidsrichtingen. Dat hoor je ook terug uit de bewering van het hebben van interne beleidsstukken. Die circuleren niet vrijelijk maar blijven in beperkte kring. Wat we vrijelijk rond gaat is snel algemeen bekend.
Zoals gezegd je moet het ervaren hebben om te herkennen. Heb jij zulke ervaringen? Wat onbekend is neem je sneller aan voor waar ook al is dat fout. Je mist referentiekader.
02-02-2017, 19:00 door Anoniem
Heb jij zulke ervaringen? Wat onbekend is neem je sneller aan voor waar ook al is dat fout. Je mist referentiekader.
Ik ben niet anoniem 14:10, maar ben wel benieuwd als je deze zelf hebt, en zo ja hoe kom je daar dan aan.
02-02-2017, 19:58 door karma4 - Bijgewerkt: 02-02-2017, 20:39
Door Anoniem:
Heb jij zulke ervaringen? Wat onbekend is neem je sneller aan voor waar ook al is dat fout. Je mist referentiekader.
Ik ben niet anoniem 14:10, maar ben wel benieuwd als je deze zelf hebt, en zo ja hoe kom je daar dan aan.
Als je meer dan 30 jaar meeloopt heb je reorganisaties met als wat daarom heen speelt meegemaakt. De strijden tussen fusies met de oude merken. Je wordt behoorlijk vermalen maar als je goed meekijkt naar wat er gebeurt en hoe het uitgedragen wordt leer je het steeds beter te herkennen. Je krijgt tussendoor ook vrij veel inzicht in het spel met alle fratsen met leveranciers. Nee in een achteraf uitvoerende positie zie je weinig. Zit je in de bi Analytics met infra wereld dan krijg je het nodige over je heen en zie je ook veel. Daar laat ik het bij, reden: gesteld op het niet openbaar bekend zijn.
Het is met die achtergrond dat ik vaak tegen dat ophemelen van linux ageer. Het is een gangbare mismatch voor behoorlijke data governance die ik al die jaren nooit goed heb zien oppakken. Bedenk veel big data tools zijn server based gericht op Linux(unix). Met R wat als standaard wordt gepropageerd is de enige optie OS security, daar zit het echt conceptueel niet goed (met het oog op data security).

Het wrr rapport big data in de samenleving is goed geschreven. Je moet het wel kunnen begrijpen.
(update) er is net een nieuw rapport uit. https://www.wrr.nl/onderwerpen/big-data-privacy-en-veiligheid/documenten/publicaties/2017/01/31/big-data-and-security-policies-serving-security-protecting-freedom
pag 23 3 to 5 jaar is nodig om iets van de grond te krijgen. p24 je moet altijd met mismatches rekening houden. p26 transparantheid met de lopende ontwikkelingen...
03-02-2017, 09:44 door Dick99999
Door karma4:
[...]
Die usb stick zal er zijn met wat interne beleidsdocumenten. Dat is een datalek op zich.
[...]
Als er geen persoonsgegevens opstaan en dat is waarschijnlijk als het beleidsdocumenten zijn, is het geen datalek. Dat woord is namelijk door de AP toegeëigend voor hun taak.
03-02-2017, 09:47 door Anoniem
Door karma4:
Dit is geen rechtzaak, dit is journalistiek. En als je de uitzending hebt gezien weet je dat verschillende partijen om reacties is gevraagd en dat die nogal afhoudend waren. Wederhoor is dus wel degelijk toegepast.
Ik heb twee zaken genoemd die duidelijk niet kloppen. Fysieke toegang en download. 1 Gewoon omdat zelfs als bezoeker bergen binnenkomt. 2 dat downloaden. Beide zaken zin onderdeel van wat algemeen goed geregeld is. Generiek.
Daarmee is net nog steeds geen rechtzaak en wel journalistiek. Je reageert op iets anders dan je citeerde.

Het punt van Zembla is dat die zaken bij de broedkamer niet afdoende geregeld zijn. De broedkamer is een gesloten wereldje tegenover de rest van de belastingdienst, in die zin loop je er niet zomaar binnen, maar ze beschikken wél over de gegevens van alle belastingplichtigen in Nederland en bij hun zijn toegangscontroles, logging en dergelijke niet goed geregeld. Binnen de broedkamer zelf dus. Het probleem is dat er geen zicht en controle is op wat mensen binnen die broedkamer doen met die gegevens. Omdat je voor big data-toepassingen databases op een andere manier inricht dan voor traditionele administratieve systemen zit het er dik in dat ze met omgevormde kopieën van data werken. De goed geregelde generieke toegangscontroles waarvan je aanneemt dat ze daar ook gelden zijn dan niet van toepassing. De directeur heeft vermoedelijk verordonneerd dat die data geleverd moeten worden en voor de rest lijkt het erop dat die afdeling het helemaal zelf inricht.
Mijn verdere analyse is gebaseerd op het bekende interne politieke strijden gedoe. Je kent het blijkbaar niet daarom neem je heel naïef aan dat geuitte onvrede de waarheid is.
Jij denkt heel naïef dat jouw interpretatie van wat je buiten de belastingdienst mee hebt gemaakt binnen de belastingdienst zo duidelijk van toepassing is dat alles wat je hoort dat daarmee in strijd is niet waar kan zijn.
Als we de NZA Gotlieb als voorbeeld nemen zie dat de werkvloer vrijwel kansloos is. De onvrede zit hier op managers niveau die het niet eens zijn met beleidsrichtingen. Dat hoor je ook terug uit de bewering van het hebben van interne beleidsstukken. Die circuleren niet vrijelijk maar blijven in beperkte kring. Wat we vrijelijk rond gaat is snel algemeen bekend.
Zoals gezegd je moet het ervaren hebben om te herkennen. Heb jij zulke ervaringen? Wat onbekend is neem je sneller aan voor waar ook al is dat fout. Je mist referentiekader.
Ik heb ook tientallen jaren meegelopen en heb ook reorganisaties, nieuw management dat alles met de botte bijl anders ging doen, en de bijbehorende frustraties en onvrede meegemaakt. Inclusief figuren die, net als die topmanager waaronder dit is gebeurd bij de belastingdienst, de oudgedienden als sukkels beschouwden. Ik heb een referentiekader en ik herken dingen, ja.

Dat geuite onvrede niet per se de waarheid is weet ik, maar jij hebt gereageerd alsof het het daarmee per se niet de waarheid is. De klachten zijn kansloos, misschien, maar onwaar? Geuite onvrede kan wel degelijk de waarheid zijn of een hoop waarheid bevatten. Een slagvaardige topmanager die, niet gehinderd door al te veel kennis van zaken over dingen waar hij over besluit, met de botte bijl alles anders gaat doen kan schade aanrichten. In de extreemste situatie die ik heb meegemaakt was het alleen stom geluk dat het hele bedrijf niet omviel. Bedrijfskritische systemen lagen langdurig plat (lang genoeg om tot schadeclaims te kunnen leiden die overstegen wat het bedrijf kon opbrengen) omdat tweederde van de mensen met kennis waren weggereorganiseerd en de rest vrijwel zonder uitzondering overspannen was of op het laatste tandvlees liep. Medewerkers die over zoiets onvrede uiten spreken belangrijke waarheden uit. Frustratie kan zeer terecht zijn.

Ik sluit dus helemaal niet uit dat de medewerkers van de belastindienst die nu uit de school klappen inderdaad reden hebben om alarm te slaan. Ik snap dat een afdeling waar jong IT-talent vrijelijk mag "prutsen en pielen" met data die vrijheid wel kan gebruiken om grootschalige data-analyses te kunnen ontwikkelen en uitvoeren, maar dat neemt niet weg dat de strenge eisen die aan het omgaan met die data worden gesteld onverminderd van toepassing blijven. Die volgen namelijk uit de aard van de data en niet uit wat je ermee wilt doen. We hebben het hier over wat mogelijk de gevoeligste dataset is die in Nederland maar aanwezig is, en de belastingdienst is geen commerciëel bedrijf maar een overheidsdienst die, juist omdat hij over het innen van het inkomen van de staat gaat, juist omdat je een deel van je inkomen aan de belastingdienst afdraagt, onkreukbaar en stabiel moet zijn. De onvrede waar we het hier over hebben kan heel goed gaan, niet over het eigen hachie van de klagers, maar over de integriteit van de belastingdienst. Alleen al de mogelijkheid dat dat zo is maakt dit een signaal om bloedserieus te nemen.
03-02-2017, 10:36 door Anoniem
Door Dick99999: Als er geen persoonsgegevens opstaan en dat is waarschijnlijk als het beleidsdocumenten zijn, is het geen datalek. Dat woord is namelijk door de AP toegeëigend voor hun taak.
Dat is iets te stellig, wat mij betreft. Dat in AP-jargon een datalek op persoonsgegevens slaat wil niet zeggen dat je het woord niet meer voor andere dingen mag gebruiken. In algemenere zin dan het AP-jargon is datalek gewoon een samenstelling van data en lek, en betekent het een lek van data, zonder dat dat beperkt is tot een specifieke categorie. AP gaat wel over hun eigen jargon, maar niet over de Nederlandse taal.

Vaak genoeg worden voor een bepaald document definities aangehouden die alleen daar gelden. Een mooi voorbeeld is het onderdeel van de warenwet over jam en soortgelijke produkten:
In dit besluit wordt verstaan onder:
a. gember : de verse, gedroogde of in stroop geconserveerde eetbare wortelstokken van de gemberplant;
b. vruchten :
1° verse, gezonde, onaangetaste vruchten [...];
2° tomaten, de eetbare delen van rabarberstelen, wortelen, zoete aardappelen [...];
gember;
Daar staat dat als ze in de rest van het document vruchten schrijven daar ook bepaalde stelen, wortels en knollen onder vallen, terwijl dat biologisch gezien beslist geen vruchten zijn. Daarmee is beslist niet wettelijk voorgeschreven dat gemberwortel voortaan een vrucht is, er staat niet meer dan dat waar in die tekst "vruchten" staat je als lezer zelf even moet invullen dat ze het ook over gember hebben. Met die definitie hebben ze alleen geregeld dat ze niet telkens een hele volzin hoeven te herhalen (ik vind het woord "vruchten" wel ongelukkig gekozen). Dat je op allerlei potjes gemberjam kan zien staan hoeveel procent fruit het bevat suggereert dat lang niet iedereen begrijpt hoe je zoiets moet lezen.

En dit geldt ook voor wat de AP onder een datalek verstaat, het is geen algemeen geldende definitie maar wat zij bedoelen als zij het woord gebruiken.
03-02-2017, 11:32 door [Account Verwijderd]
[Verwijderd]
03-02-2017, 13:13 door karma4
Door Anoniem: .... , maar ze beschikken wél over de gegevens van alle belastingplichtigen in Nederland en bij hun zijn toegangscontroles, logging en dergelijke niet goed geregeld. .......
Omdat je voor big data-toepassingen databases op een andere manier inricht dan voor traditionele administratieve systemen zit het er dik in dat ze met omgevormde kopieën van data werken.
De goed geregelde generieke toegangscontroles waarvan je aanneemt dat ze daar ook gelden zijn dan niet van toepassing. De directeur heeft vermoedelijk .... lijkt het erop dat ... .
Als je dat terugleest zie je denk zelf de vele vermoedens. Je maakt wel een heel goede opmerking big-data analytics richt je anders op data/code/tools etc dan de traditionele systemen. Dat is nu net de clou waar de oude klassieke ICT faalt. Dat gebeurt als sinds Lotus123a. Doe maar een download en pruts en piel daar maar wat mee. Dat heet zijn vervolg gekregen in marketing ofwel CI die als eerste met de term big-data er vandoor gingen.
De generieke fysieke en desktop beheer controles worden zelden overruled. Nou ja zelden, doe een download geef het aan die opgeroepen externe consultant en laat die met zijn eigen tools aan de slag gaan op zijn eigen machine. Dat was het bedrijfsleven en ik heb aanwijzingen dat het daar nog steeds gebeurt.

Ik heb ook tientallen jaren meegelopen en heb ook reorganisaties, nieuw management dat alles met de botte bijl anders ging doen, en de bijbehorende frustraties en onvrede meegemaakt. Inclusief figuren die, net als die topmanager waaronder dit is gebeurd bij de belastingdienst, de oudgedienden als sukkels beschouwden. Ik heb een referentiekader en ik herken dingen, ja.
Mooi kunnen we doen wie daarvan de meeste issues heeft, Mijn lijst is een paar handjes vol figuren van slecht tot zeer slecht en wat minder lang van goed en een enkele zeer goed. En ja ik weet dat de frustratie (was het alleen maar dat) terecht kan zijn.

Dat geuite onvrede niet per se de waarheid is weet ik, maar jij hebt gereageerd alsof het het daarmee per se niet de waarheid is. De klachten zijn kansloos, misschien, maar onwaar? Geuite onvrede kan wel degelijk de waarheid zijn of een hoop waarheid bevatten.
.......
De onvrede waar we het hier over hebben kan heel goed gaan, niet over het eigen hachie van de klagers, maar over de integriteit van de belastingdienst. Alleen al de mogelijkheid dat dat zo is maakt dit een signaal om bloedserieus te nemen.
Kijk er is zeer veel beweerd en enkele zaken, die ik eerder genoemd heb, kun je al afdoen dat het niet kan kloppen.
Mijn ervaring is ook dat je BI analytics goed kan inrichten conform ISO27002 en alle interne policies. Daarvoor heb je vele high privileged accounts nodig voor zowel de tooling als voor de verschillende (ja meerdere) projecten. Je moet ook de metadata repositories zo neerzetten dat release-management mogelijk is. Niet veel anders dan je dat met een geïntegreerde DBMS in de oude ICT omgeving allemaal ook doet.
De grootste weerstand dat zoiets niet goed is is gekomen vanuit de ICT omgeving. Ze vonden het allemaal te complex dus moest het weg. Dan maak je ook nog mee dat externe leveranciers nooit van ISO27k ITIL etc gehoord hebben maar wel gevraagd en ongevraagd advies over de technische inrichting doen. Draai het maar onder één gedeeld account, tik in setup ed. Het is dat verhaal wat ik in dit gebeuren herken. De oude omgeving die zich bedreigd voelt en op een andere manier zijn gelijk moet zien te halen. Dit in de zelfde lijn al jouw voorbeelden van managers die een bedrijf ten gronde richten.

Nu is een goede technische security inrichting die ook werkbaar is niet zo voor de hand liggend voor elkaar te krijgen. Dat ook als is de basis-theorie op zich eenvoudig. Men laat het bij voorkeur aan een ander over. (ja ook die ervaren met de negatieve kanten) https://www.security.nl/posting/502433/CBS%3A+Meeste+bedrijven+besteden+ict-beveiliging+uit
03-02-2017, 13:21 door Dick99999 - Bijgewerkt: 03-02-2017, 13:22
Door Anoniem:
Door Dick99999: Als er geen persoonsgegevens opstaan en dat is waarschijnlijk als het beleidsdocumenten zijn, is het geen datalek. Dat woord is namelijk door de AP toegeëigend voor hun taak.
Dat is iets te stellig, wat mij betreft. Dat in AP-jargon een datalek op persoonsgegevens slaat wil niet zeggen dat je het woord niet meer voor andere dingen mag gebruiken. In algemenere zin dan het AP-jargon is datalek gewoon een samenstelling van data en lek, en betekent het een lek van data, zonder dat dat beperkt is tot een specifieke categorie. AP gaat wel over hun eigen jargon, maar niet over de Nederlandse taal.
[,,,,,[
Je hebt helemaal gelijk. Maar in de discussies wordt bij een datalek automatisch privacy, AP en boete meegenomen alsof die voor alle datalekken gelden. Bekijk de uitzending nog maar eens vanuit deze invalshoek.
03-02-2017, 13:35 door karma4
Door Dick99999: Dat is iets te stellig, wat mij betreft. Dat in AP-jargon een datalek op persoonsgegevens slaat wil niet zeggen dat je het woord niet meer voor andere dingen mag gebruiken. In algemenere zin dan het AP-jargon is datalek gewoon een samenstelling van data en lek, en betekent het een lek van data, zonder dat dat beperkt is tot een specifieke categorie. AP gaat wel over hun eigen jargon, maar niet over de Nederlandse taal.
[,,,,,[
Je hebt helemaal gelijk. Maar in de discussies wordt bij een datalek automatisch privacy, AP en boete meegenomen alsof die voor alle datalekken gelden. Bekijk de uitzending nog maar eens vanuit deze invalshoek.[/quote]Kijk nog eens goed er worden mensen met naam en toenaam genoemd. Namen staan ook in beleidsdocumenten die zijn niet anoniem. Er zijn persoonsgegevens in het spel.
03-02-2017, 15:15 door [Account Verwijderd] - Bijgewerkt: 03-02-2017, 15:23
[Verwijderd]
03-02-2017, 15:25 door karma4
Door Rinjani:
Ik weet niet hoe Anoniem erover denkt maar dat hoeft wat mij betreft niet: ik neem Anoniem namelijk nu al totaal, zonder enig voorbehoud serieus! Zijn/haar ethos [1] staat bij mij totaal niet ter discussie! (In tegenstelling tot dat van jou, karma4.)

[1] https://nl.wikipedia.org/wiki/Middelen_van_overtuiging
Mij heb je allang overtuigd van jouw ethos. Als het je niet zint, geen gelijk krijgen dan speel je op de man. Het gedrag van squeeler.
We hebben het o vlak organisatiemodel van R.Maes nog niet genoemd. Dat is de tevens de oude organisatie waar innovatie onmogelijk is. Devops en Analytics beiden passen er niet in.
Devops wordt net als Analytics als de vernieuwing gezien. Product owner, scrum master, backlog in de tribe.
Hoe zal met met een high over visie zitten?
03-02-2017, 15:54 door [Account Verwijderd]
[Verwijderd]
03-02-2017, 16:18 door Anoniem
Door karma4: Als je dat terugleest zie je denk zelf de vele vermoedens.
Ik hoef het niet terug te lezen, ik heb het bewust zo geformuleerd omdat ik weet dat ik er niet alles van weet. Jij was behoorlijk stellig over je conclusies terwijl je die noch op wat Zembla meldde, noch op inside informatie baseerde, maar op jouw beeld van hoe de wereld in het algemeen werkt en de aanname dat dat beeld hier ook van toepassing is. Dat mag, maar je meldde het alsof je een autoriteit bent, en ging zelfs zo ver om te beweren dat ik referentiekader mis, en dat formuleerde je als een zekerheid terwijl je dat toch duidelijk niet kon weten.
Kijk er is zeer veel beweerd en enkele zaken, die ik eerder genoemd heb, kun je al afdoen dat het niet kan kloppen.
Ik denk juist dat die zaken wel degelijk kunnen kloppen in een omgeving als die broedkamer.
Draai het maar onder één gedeeld account, tik in setup ed. Het is dat verhaal wat ik in dit gebeuren herken. De oude omgeving die zich bedreigd voelt en op een andere manier zijn gelijk moet zien te halen.
In een eerdere reactie noemde je dat "oude machten die wat kwijt dreigen te raken en zo via het nieuws in verzet gaan", waardoor ik denk dat je het over mensen hebt die zich persoonlijk bedreigd voelen, en vooral weerstand bieden tegen verandering omdat ze daar zelf slechter van worden of menen te worden.

Ik heb meer dan genoeg mensen meegemaakt die tegen de klippen op, ook als ze zich bedreigd voelen in hun positie, loyaal bleven proberen het belang van de organisatie waarvoor ze werkten te dienen, zelfs als al lang duidelijk was dat (het management van) die organisatie geen enkele loyaliteit aan het personeel meer toonde. Met dat in gedachten kan ik me heel goed voorstellen dat hier mensen gelekt hebben niet om wat ze zelf kwijt dreigen te raken, maar omdat ze de organisatie zelf bedreigd zien worden in zijn integriteit. Ik sluit niet uit dat juist de meest integere en loyale medewerkers met zoiets naar buiten treden, en dat de mensen die bang zijn voor hun eigen hachie daar veel minder toe geneigd zijn.
03-02-2017, 16:25 door karma4
Door Rinjani:Dit helpt niet ;-)
Weet ik je bent voor zowel ethiek als informatica vraagstukken een hopeloos geval.
Ook al ben je dat, dan moet je het verbeterproces niet bij voorbaat opgeven.

Dacht je dat gedegen security opzetten in de big data wereld makkelijk was met alle tegenwerking en onbegrip.
Ook dat moet je niet opgeven.
03-02-2017, 17:00 door Anoniem
Door Rinjani:
Door karma4: Mooi kunnen we doen wie daarvan de meeste issues heeft, ...
Ik weet niet hoe Anoniem (09:47) erover denkt maar dat hoeft wat mij betreft niet:
Dank voor je bijval, Rinjani, ik haalde mijn schouders erbij op, maar...
Door karma4: Mij heb je allang overtuigd van jouw ethos. Als het je niet zint, geen gelijk krijgen dan speel je op de man. Het gedrag van squeeler.
Doe niet zo kinderachtig, karma4. Je reageert als een slechte verliezer terwijl er helemaal geen wedstrijd gaande is, en je speelt nu heftiger op de man dan waar in mijn ogen Rinjani van beschuldigd kan worden. Het is inderdaad niet leuk als iemand zegt dat je overtuigingskracht mist, waar de opmerking in wezen op neerkwam, maar als je daar zo slecht tegen kan sta dan even stil bij het feit dat je mij doodleuk vertelde dat ik geen referentiekader heb, en toen ik dat recht zette reageerde je ook al zo kinderachtig dat Rinjani zich geroepen voelde erop te reageren. Als wat Rinjani deed op de man spelen is dan doe je dat zelf net zo goed.

Je hebt genoeg zinnigs te vertellen om echt niet de hele tijd tegen anderen op te moeten bieden, weet je? Je maakt meer indruk, draagt meer bij en oogst meer waardering als je dat los kan laten. Tijd voor wat zelfreflectie, misschien?
03-02-2017, 17:53 door karma4 - Bijgewerkt: 03-02-2017, 18:15
Door Anoniem: Ik heb meer dan genoeg mensen meegemaakt die tegen de klippen op, ook als ze zich bedreigd voelen in hun positie, loyaal bleven proberen het belang van de organisatie waarvoor ze werkten te dienen, zelfs als al lang duidelijk was dat (het management van) die organisatie geen enkele loyaliteit aan het personeel meer toonde.
Heel herkenbaar, wat dat betreft hebben we iets gelijks.

Met dat in gedachten kan ik me heel goed voorstellen dat hier mensen gelekt hebben niet om wat ze zelf kwijt dreigen te raken, maar omdat ze de organisatie zelf bedreigd zien worden in zijn integriteit. Ik sluit niet uit dat juist de meest integere en loyale medewerkers met zoiets naar buiten treden, en dat de mensen die bang zijn voor hun eigen hachie daar veel minder toe geneigd zijn.
Kijk en hier zit het verschil. Ik heb ook de manipulaties en beeldvorming meegemaakt om die bovenstaande mensen te beschadigen dan wel te negeren. Kun je uitsluiten dat dat niet hier zo is.
Juist de stelligheid waarmee het gebracht wordt dat niets deugt is zeer verdacht. Herken een aantal zaken die niet kloppen en ik schakel om. Vergeet niet met de NZA gotlieb speelde dat op de zelfde manier, pas achteraf kwam de waarheid.

Laten we eens googlen broedkamer belastingdienst.
http://ibestuur.nl/academie/verrassing-van-de-belastingdienst 13 nov 2014 de spanningen kun je al zien
https://www.eerstekamer.nl/overig/20150520/hoofdlijnen_aanpak_belastingdienst/document3/f=/vju4kadmk7zx.pdf
Wat denk van die zaken als je het eens naast elkaar legt. Mijn visie wat er speelt daar zie ik de basis van terug..
04-02-2017, 09:13 door [Account Verwijderd]
[Verwijderd]
04-02-2017, 15:11 door Anoniem
Door karma4: Herken een aantal zaken die niet kloppen en ik schakel om.
Is dat niet je probleem? Dat je denkt dat als het niet het ene uiterste is dat het meteen het andere uiterste moet zijn?

Er zitten eindeloos veel grijstinten tussen zwart en wit, lichtgrijs is niet meteen zwart omdat het donkerder is dan wit, het is gewoon wat het is: lichtgrijs. En zelfs als je zwart ziet hoeft nog niet alles zwart te zijn, er kan een mengeling van tinten voorkomen. Als je reactievermogen beperkt is tot omschakelen stuiter je heen en weer tussen extreme interpretaties zonder situaties ooit echt te doorgronden.
04-02-2017, 18:16 door karma4
Door Anoniem:
Door karma4: Herken een aantal zaken die niet kloppen en ik schakel om.
Is dat niet je probleem? Dat je denkt dat als het niet het ene uiterste is dat het meteen het andere uiterste moet zijn?

Er zitten eindeloos veel grijstinten tussen zwart en wit, lichtgrijs is niet meteen zwart omdat het donkerder is dan wit, het is gewoon wat het is: lichtgrijs. En zelfs als je zwart ziet hoeft nog niet alles zwart te zijn, er kan een mengeling van tinten voorkomen. Als je reactievermogen beperkt is tot omschakelen stuiter je heen en weer tussen extreme interpretaties zonder situaties ooit echt te doorgronden.
Goede reactie het verhaal van Zembla is echter zwarter dan zwart geschilderd. Geen grijstinten of andere overwegingen.
Pak die links van ibestuur en eerste kamer er eens bij.

De bulgarenfraude was in het normale circuit niet op te lossen. Herkenbaar, zo ken ik de dwh voor marketing als de oplossing voor alles wat ict niet kan of wil leveren.
In die andere link (eerste kamer) vind je veel van het reorganisatie isatis plan terug. Specifiek de aparte positie van Analytics en tevens de krimp overal elders inclusief de ict. Dat betekent dat al het andere wat her en de gebeurt onder druk staat.

Je leest ook dat de ict verantwoordelijk geacht wordt voor de secùrity en inrichting. Dat is niet door de analisten op eigen houtje. Ik zou liever zien dat de business in dit geval verantwoordelijk is voor het wat de ict voor het hoe met een interne en externe auditing die echt zijn werk doet. Dat heb ik nog nooit gezien. Wel de strijden van de oude ict tegen dit soort vernieuwingen om dat aan alle kanten tegen te gaan. Helaas heb ik dat vaak mogen beleven.

Er zullen best zaken te verbeteren zijn, waar niet.
Waarom dan een bericht naar buiten brengen zwarter dan zwart gericht op een enkel onderdeel? Denk een wat verder door.
04-02-2017, 18:38 door karma4
Laten we nog een verder kijken aangiften wil je gecontroleerd hebben. Mijn voorkeur is liever een machine dan dat allemaal met de hand (door wie?)gebeurd.
Jaren terug voor euro had ik een aangifte in euros en op papier. Dat ging niet goed alleen de bedragen bleken overgenomen te zijn. Vervolgens de ene na de andere correctie. Eens gebeld en gevraagd naar dat specifieke euro veld, ja dat konden ze zien het was aangekruist. Voor mijn gevoel gebeurde er controles met mogelijk iets als Excel op de desktop. Als dat zo zijn dan ... Ik heb er daarna nooit meer wat van gehoord.
05-02-2017, 10:39 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.