image

SP wil garanties over bij IBM opgeslagen UWV-gegevens

maandag 3 juli 2017, 13:19 door Redactie, 39 reacties

De SP wil garanties van ministers Kamp, Asscher en Plasterk dat bij IBM opgeslagen UWV-gegevens niet in handen van de Amerikaanse overheid komen. Aanleiding is een bericht dat Google gebruikersgegevens in buitenlandse datacentra aan de Amerikaanse autoriteiten moet overhandigen.

De ministers hebben eerder laten weten dat het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een contract heeft met IBM. SP-Kamerleden Hijink en Van Raak willen dan ook garanties dat gegevens van Nederlandse inwoners die bij het UWV bekend zijn niet in handen kunnen komen van de Amerikaanse overheid. Daarnaast willen de Kamerleden garanties dat de persoonsgegevens van Nederlandse burgers, of dat nu via het UWV of een andere overheidsinstantie is, niet in handen kunnen komen van de Amerikaanse overheid. In het geval de bewindslieden dit niet kunnen garanderen vragen Hijink en Van Raak wat hierop ondernomen gaat worden.

Een andere vraag van de Kamerleden gaat over het risico van de opslag van gegevens op buitenlandse servers. "Deelt u de mening dat het opslaan van data op buitenlandse servers de kans vergroot dat deze data in handen komen van buitenlandse overheden, zeker nu Google de gebruikersgegevens moet afstaan? Zo nee, waarom niet? Zo ja, gaat u maatregelen nemen om dit onmogelijk te maken?" De ministers hebben drie weken de tijd om de vragen te beantwoorden (pdf).

Reacties (39)
03-07-2017, 13:55 door Anoniem
Betrek dan ook meteen even Eneco met hun Microsoft cloud erbij.
03-07-2017, 13:58 door Anoniem
Iedereen kan opzoeken wat de Patriot Act behelst, dus dit soort garanties vragen is vooral dom.
03-07-2017, 14:14 door quikfit
De opslag van data in eigen beheer hebben/houden moet toch niet zo moeilijk zijn?
03-07-2017, 14:52 door Anoniem
Door Anoniem: Iedereen kan opzoeken wat de Patriot Act behelst, dus dit soort garanties vragen is vooral dom.

Zo stom is de vraag niet, want ze vragen ook naar maatregelen die worden genomen, indien dit niet is gegarandeerd. Overigens is het sowieso een rare vraag, want de A/MIVD delen hun gegevens met tig buitenlandse diensten. Als die instanties de gegevens van het UWV deelwaardig vinden, gaan ze toch wel.
03-07-2017, 14:54 door Reinder
Door quikfit: De opslag van data in eigen beheer hebben/houden moet toch niet zo moeilijk zijn?

Het is ook niet zo moeilijk, maar je hebt er wel mensen voor nodig die de juiste kennis hebben, en dat moeten er ook genoeg zijn zodat die kennis geborgd is bij meerdere personen, en mensen ook af en toe nog eens verlof kunnen hebben. Het is vaak goedkoper en eenvoudiger om bepaalde diensten extern in te kopen. Het is ook niet moeilijk om een vuilnisbak te legen, een toegangspas te controleren of een broodje te smeren, maar de meeste bedrijven nemen schoonmaak, beveiliging en catering af van een externe partij. Het UWV wil denk ik niet een soort veredeld IT-bedrijf worden met alleen zichzelf als klant, vandaar dat ze om dezelfde redenen als bij catering en schoonmaak bepaalde dingen uitbesteden. Uiteraard moet daarbij gelet worden op bij wie, en hoe, en waar en al dat soort dingen, maar an sich is het niet vreemd dat het UWV bij een externe partij een IT-dienst afneemt.
03-07-2017, 15:19 door Anoniem
Door Anoniem: Betrek dan ook meteen even Eneco met hun Microsoft cloud erbij.

EN Microsoft NUON met haar NON responsive design.
NUON wiens site zelfs compleet vastloopt op de diverse vele Azure Cloud javascripts en onderlinge crossdomain redirects als je per ongeluk geen azure javascripts for business toestaat.
Mocht NUON gehackt worden zal niemand opkijken van variabele redirects naar andere domeinen, er was toch al geen touw aan vast te knopen.

Met dank aan microsoft.
Insecurity is een businessmodel.
03-07-2017, 15:28 door spatieman
nee meneer dit gebeurd niet bij ons ( he jongens, snel die meuk aan de nsa door sturen)
03-07-2017, 15:58 door Anoniem
Door quikfit: De opslag van data in eigen beheer hebben/houden moet toch niet zo moeilijk zijn?

Dat is ook niet moeilijk. Maar het is duur(der). Althans, dat denken ze. Tot er een keer een ernstig incident is, hetzij met een hack, hetzij met een "bevriende" natie die inzage wil hebben in je data.
03-07-2017, 16:05 door Anoniem
ik kan me nog wel herinneren dat we zo'n 4 ton per jaar uitgaven voor 16 servers... Dat was 10 jaar geleden. We kregen dan wel support (ww reset = 2 weken). Storage was best snel... Verder gewoon geldverspilling.
03-07-2017, 16:11 door Anoniem
Door quikfit: De opslag van data in eigen beheer hebben/houden moet toch niet zo moeilijk zijn?
Door Anoniem: Iedereen kan opzoeken wat de Patriot Act behelst, dus dit soort garanties vragen is vooral dom.

Door Reinder:
Door quikfit: De opslag van data in eigen beheer hebben/houden moet toch niet zo moeilijk zijn?

Het is ook niet zo moeilijk, maar je hebt er wel mensen voor nodig die de juiste kennis hebben, en dat moeten er ook genoeg zijn zodat die kennis geborgd is bij meerdere personen, en mensen ook af en toe nog eens verlof kunnen hebben. Het is vaak goedkoper en eenvoudiger om bepaalde diensten extern in te kopen. Het is ook niet moeilijk om een vuilnisbak te legen, een toegangspas te controleren of een broodje te smeren, maar de meeste bedrijven nemen schoonmaak, beveiliging en catering af van een externe partij. Het UWV wil denk ik niet een soort veredeld IT-bedrijf worden met alleen zichzelf als klant, vandaar dat ze om dezelfde redenen als bij catering en schoonmaak bepaalde dingen uitbesteden. Uiteraard moet daarbij gelet worden op bij wie, en hoe, en waar en al dat soort dingen, maar an sich is het niet vreemd dat het UWV bij een externe partij een IT-dienst afneemt.

Oftewel. TCO en ROI. Alles moet altijd goedkoper en beter zijn. Dit de prijs die we betalen voor het kapitalisme. Uitverkopen van je gegevens.
03-07-2017, 16:17 door Ron625
Zelf een overheids-cloud-dienst opzetten is natuurlijk altijd mogelijk.
Maar was er niet een regel, dat persoonsgegevens niet buiten de EU opgeslagen mogen worden?
Dan valt een cloud-server toch onder de EU wetgeving?

Zie ik dit verkeerd, of mis ik iets?
03-07-2017, 16:36 door Anoniem
Het gaat bij de overeenkomst tussen UWV en IBM toch om het uitbesteden van de bouw van werk.nl aan IBM, die er vervolgens een puinhoop van maakte maar al tien jaar vrolijk de opdrachten voor die website blijft krijgen en daar dik aan verdient?

Voor de toegang van die data is de vraag niet wie het systeem heeft gebouwd, maar waar de data zijn opgeslagen en wie er toegang toe heeft. Ik kan niet zien of de databases weer ergens anders staan, maar de uwv.nl is afgaande op de whois-informatie gehost bij KPN. IBM heeft dan wel die website gebouwd, maar dat betekent niet automatisch dat ze ook als dataverwerker zijn ingehuurd. En als ze dat niet zijn horen ze in het geheel geen toegang tot de gegevens van bij UWV ingeschreven Nederlanders te hebben. Als zij dat niet hebben dan heeft de VS dat ook niet via IBM.

Door Anoniem: Iedereen kan opzoeken wat de Patriot Act behelst, dus dit soort garanties vragen is vooral dom.
Als IBM helemaal niet bij die data kan dan kan de VS er ook niet via IBM bij, ook niet met de Patriot Act in de hand.

Voor als je het niet wist (en dat is ook iets wat iedereen kan opzoeken), het is gangbaar om gescheiden omgevingen op te tuigen voor het ontwikkelen van software, voor verschillende testfasen en voor het uiteindelijke productie draaien. En het is daarbij ook gangbaar om de ontwikkelaars alleen rechten in de ontwikkelomgeving te geven, en de productieomgeving, inclusief de daar opgeslagen data, buiten hun bereik te houden.

Ik weet niet hoe UWV, IBM en anderen de zaak hebben ingericht, en ik weet ook niet hoe strikt ze scheidingen bewaken die er duidelijk wel moeten zijn, maar een van de mogelijkheden is dat dit gewoon goed zit, ook als de applicatie qua bruikbaarheid bagger is.

Hoe dit zit blijkt hopelijk uit de antwoorden op de vragen. En zonder vragen komen die antwoorden niet. Daarom zijn die vragen misschien niet zo dom als ze lijken maar gewoon nuttig.
03-07-2017, 16:39 door Anoniem
Door Reinder: Het is ook niet moeilijk om een vuilnisbak te legen, een toegangspas te controleren of een broodje te smeren, maar de meeste bedrijven nemen schoonmaak, beveiliging en catering af van een externe partij.
Ministeries en politie (bewust) steeds minder.
03-07-2017, 17:04 door Anoniem
Mis nog een belangrijke speler in dit automatiseringsveld.
Was het UWV niet totaal contractueel gegijzeld jarenlang?
Dusdanig aan handen en voeten gebonden dat het niet wegkon en rampzalig ict beleid moest voortzetten?

UWV en EY, anybody?
03-07-2017, 17:28 door Anoniem
UWV gebruikt een rekencentrum van IBM dat in België (Brussel) staat.
UWV heeft een zeer slecht contract afgesloten.
https://www.nrc.nl/nieuws/2014/10/19/hoe-het-uwv-ingepakt-werd-door-ibm-en-logica-a1499422
03-07-2017, 18:11 door Anoniem
Het offshoren of outsourcen van IT (incl. naar de Cloud) is gewoon een verkapte reorganisatie.
Je kunt vervolgens oude en dure IT-ers ontslaan door dit door te voeren.
Als 3 jaar later blijkt dat het niet werkt (en er zijn talloze voorbeelden dat het niet werkt!), dan kun je jonge en goedkope IT-ers aannemen.
Helaas hebben die dan weinig kennis en ervaring van de omgeving.
03-07-2017, 18:15 door Anoniem
Door slim in te kopen en de juiste technieken te gebruiken kan je makkelijk zelf een degelijke omgeving beheren. Het probleem is dan alleen, als er iets mis gaat kan je geen vingertje wijzen naar bijvoorbeeld IBM. Ergens vind ik wel dat NL eigen DC's in het beheer moet hebben waar bijvoorbeeld het UWV kan inpluggen en daar dan ook de juiste machtigingen in heeft
03-07-2017, 18:36 door Anoniem
Wat interesseert het de outsource partij, die willen alleen maar Microsoft korting op de aanschaf van Win10
of gaan voor Win10 S zoals in outsource land India maar wel met grote korting.

De slimme TINSec opgeleide gist en de domme manager beslist. Dat is de kern van het probleem in een korte en duidelijke zin. Bij de overheid gaat het dus vaak niet anders. Helaas pindakaas.
03-07-2017, 19:05 door karma4
Door Anoniem: ... Ergens vind ik wel dat NL eigen DC's in het beheer moet hebben waar bijvoorbeeld het UWV kan inpluggen en daar dan ook de juiste machtigingen in heeft
De overheid heeft eigen datacenters. Vervolgens wordt het werk uitbesteed en de inkoop asnbesteed. De adviezen wat en hoe met bv IBM aan het roer.
03-07-2017, 19:11 door Anoniem
die garantie kan nooit worden gegeven: IBM zal UWV niet informeren over een datavordering door overheid van de VS. Als de garantie wel wordt gegeven is die loos.
03-07-2017, 19:27 door Anoniem
terrecht die vragen: papier en afsrpaken en regels != praktijk. het zou niet de eerste keer zijn dat een 'afspraak' toch af blijkt te wijken in de echte wereld. er zijn nou eenmaal wat duidelijke regels in het leven: geen security by obscurity, zien is geloven, je bent pas klaar als je je doel in handen hebt en nooit af gaan op mooie leoften en blauwe ogen alleen. trust but verify dus. het zou niet de eerstekeer zijn dat ene schip vertrokken is dat niet uit had mogen varen en niet meer terug kan. denk aan ns poortjes ofzo :).
03-07-2017, 21:30 door Anoniem
IBM = India, want daar wordt het werk gedaan. Dus ik zou me zeker niet alleen druk maken over de Amerikaanse overheid, India is nog steeds één van de meest corrupte landen, een land waar iemand zijn integriteit voor een paar roepies al verkoopt.
03-07-2017, 21:38 door Anoniem
Ik word een beetje moe van dit soort discussies.

Een overheid/staat dient haar burgers te dienen en te beschermen.

Helaas kost dit geld. En daar gaan we weer.
Geld; ooit was het een oplossing, tegenwoordig een probleem.

Zolang we werkelijk alleen maar kiezen met onze buidel, zal alles verkocht worden.
Alles wordt ondergeschikt aan de euro.

U, ik, iedereen en alles.
04-07-2017, 08:13 door Anoniem
Zolang alle grote tech-bedrijven amerikaans zijn, zul je dit blijven houden lijkt mij...
Zou mooi zijn als er in europa een partij van enig formaat zou ontstaan met een goede cloud omgeving, maar ik zie het nog niet gebeuren.
04-07-2017, 09:28 door Anoniem
Door Anoniem: Ik word een beetje moe van dit soort discussies.

Een overheid/staat dient haar burgers te dienen en te beschermen.

Helaas kost dit geld. En daar gaan we weer.
Geld; ooit was het een oplossing, tegenwoordig een probleem.

Zolang we werkelijk alleen maar kiezen met onze buidel, zal alles verkocht worden.
Alles wordt ondergeschikt aan de euro.

U, ik, iedereen en alles.

en dat blijft zo zolang pijn en plezier op verschillende plekken in de maatschappij effect hebben. zo ook in de ICT, wie betaald, wie heeft baat, als dat niet een en dezelfde is, dan ga je rare dingen krijgen. een IT dienst met een eigen budget autonoom van de gebruikers is ook een recept tot inefficiencies en ellende elke keer weer. vaak is fijn in beheer en veilig gelijk aan niet werkbaar en verliest daarbij bestaansrecht. in de regel techniek zoekt men ook altijd naar een negatieve feedback loop. de hele mens en de natuur zit zo in elkaar biologisch, alleen mannetjes en managers denk wel eens dat dat echt wel anders ook kan. yup. history repeating itself! again might I add!
04-07-2017, 09:41 door [Account Verwijderd] - Bijgewerkt: 04-07-2017, 09:41
[Verwijderd]
05-07-2017, 07:03 door karma4
Dat er zoiets bestaat wil niet zeggen dat ze dat ook gebruiken.
Bij het uwv bepaalt IBM eigenlijk alles van hardware tor de code van de applicatie. Met het bepalen van de hardware tevens waar die staat. IBM is een datacenter providet. Dat is de kern van het issue.

Overigens niet uniek logius (bzk) draait net als andere overheden bij Equinix. Denk dan eens aan digid.Dat Equinix heeft vele datacenters in nl opgekocht. Het verschil is dat daar niet alles uit handen gegeven is, alleen harware.
05-07-2017, 17:43 door [Account Verwijderd]
[Verwijderd]
05-07-2017, 21:12 door karma4
Door Neb Poorten: Voor die conclusie is het te vroeg want er worden nog steeds datacenters gebouwd voor de Rijkscloud en de migratie ernaartoe is nog gaande.
https://www.overheid360.nl/newsitem/21264 contract verlengd tot 2018. Alle ICT zaken uitbesteed en grote partners.
"Struikelblok daarbij is dat de ict-infrastructuur lastig aan te passen is aan veranderende volumes. Het UWV werkt hierbij sinds 2004 samen met IBM waarbij het contract in beton blijkt te zijn gegoten. De infrastructuur wordt door IBM overwegend ‘bare metal’ geleverd (voor elke applicatie een nieuwe computer in het rekencentrum) in plaats van virtualisatie toe te passen. Levertijden van nieuwe infrastructuurmiddelen zijn hierdoor onacceptabel lang (circa zes maanden) in vergelijking met de gangbare marktoplossingen.

Bovendien hapert de backupdienstverlening in de praktijk en blijkt uit benchmarks dat de kosten van de infrastructuur 25 tot 30 procent hoger liggen dan de in de markt gebruikelijke tarieven. Het UWV gaat een nieuwe aanbesteding voor datacenterdienstverlening starten, maar het contract met IBM is in 2011 nog wel verlengd tot 2018."

en
https://www.bureauicttoetsing.nl/binaries/bit/documenten/publicaties/2017/04/26/aanbesteding-datacenter/Aanbesteding+datacenter+UWV.pdf
"UWV neemt te weinig de regie in handen en de door UWV gekozen aanbesteding levert in onze ogen dan ook weinig winst op ten opzichte van de huidige situatie. Wij zijn van mening dat UWV ernaar zou moeten streven om een betere machtsbalans met de nieuwe leverancier te realiseren, door in het contract meer stuurmiddelen dan voorheen op te nemen."

Zij gaan niet naar de rijkscloud willen het aanbesteden en zijn onmachtig verklaard door het BIT.
Het bit wenst wel in de richting van Apeldoorn/Rijswijk te gaan, nog maar een advies.
Hoe er gedacht wordt om ICT in te zetten kun je teruglezen in: http://www.digitalespin.nl/DS/Nieuwtjes/Artikelen/2010/8/25_DIV_beleid_-_de_UWV_Case..._files/DIV%20Beleid%20-%20Deel%20A%20Hoofdlijnen.pdf Het is een klassiek berichtenverkeer opzet afhandeling brieven niet op processen taken.
Je mag optimistisch hopen, dat optimisme lijkt meer op winnen van de hoofdprijs in een loterij
05-07-2017, 23:02 door [Account Verwijderd]
[Verwijderd]
06-07-2017, 07:13 door karma4
Door Neb Poorten: Verlengd in 2011 naar 2018. Goede timing toch? (Want dan zullen alle datacenters voor de Rijkscloud wel opgeleverd zijn.)
Klinkt leuk als je in de doosjes cultuur zit. Dan zul je in dit geval de doosjes exact moeten gaan overnemen. Bijna met een verhuiswagen. Het kenmerk van een cloud is een service van standaard componenten zonder verdere invloed vanuit de gebruiker. Dat wringt gaat niet goed komen. (zie BIT)

Het meeste wat je terugleest is een cultuur gebonden probleem. Dan zul je bijna iedereen moeten gaan vervangen met tevens een big bang cultuurverandering. Doe je dat dan heb je te maken met de14 jaar historie van opgebouwde systemen.
Een projectje starten om dat te veranderen loopt gauw 10 jaar. Denk eens aan het mGBA BRP debacle.
06-07-2017, 12:15 door [Account Verwijderd]
[Verwijderd]
06-07-2017, 16:05 door karma4 - Bijgewerkt: 06-07-2017, 16:05
Door Neb Poorten:
Door karma4: Een projectje starten om dat te veranderen loopt gauw 10 jaar.

2018 - 2011 is een heel eind richting die tien jaar. Dat gaan ze redden!
Ze zijn niet eens begonnen aanbesteding eind van het jaar dan start het tellen van de tijd. Ze zitten nog steeds op de lijn van 2011 en er is daaraan in 2017 niet veel veranderd. Zie bit. Denk dan aan 2027 of zo en dat moet 2018 klaar zijn?
Ja politici plannen zo droomwerelden de werkelijkheid is anders
06-07-2017, 17:02 door [Account Verwijderd]
[Verwijderd]
06-07-2017, 18:22 door karma4
Door Neb Poorten:
Ik ben benieuwd (en pak de popcorn alvast erbij).
Het eerste vermaak mGBA BRP https://www.computable.nl/artikel/achtergrond/overheid/6009259/1444691/het-brp-fiasco-in-een-tijdbalk-van-publicaties.html wees voorzichtig met die popcorn.
07-07-2017, 10:11 door [Account Verwijderd]
[Verwijderd]
07-07-2017, 20:44 door karma4
Door Neb Poorten: Smullen maar heeft niets te maken met Rijkscloud of datacenter want die worden niet genoemd.
Inmiddels in het nieuws BRP herbouw stopt en GBAV wordt verder doorgebouwd.
Het heeft van alles te maken met projectmanagment ICT verwachtingen en alle beloftes, precies datgene dat ook bij UWV IBM speelt. Rijkscloud of datacenter is voor de doosje fanaat leuker, maar geheel ondergeschikt aan dat hogere spel.
07-07-2017, 23:37 door [Account Verwijderd]
[Verwijderd]
09-07-2017, 17:51 door karma4
Door Neb Poorten:
Rijkscloud is geen doosje maar een infrastructuur in eigen hand en land. Dat is de essentie, de rest hangt van de wolligheid aan elkaar.
0
Het is niet in eigen hand. Het hangt van aanbestedingen naar de grote jongens met de zelfde namen als bij uwv aan elkaar..
Je zou wat meer in de grote toko's moeten rondkijken of op tenderned en openbare docs met de signalen moeten rondneuzen.

Je zou je wild schrikken hoe weinig echt in eigen hand is.
Verslik je niet in de popcorn als het zo ver is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.