image

UWV lekt privégegevens 2400 werkzoekenden via e-mailbijlage

woensdag 15 augustus 2018, 13:50 door Redactie, 9 reacties

Het UWV heeft door een fout met een e-mailbijlage de privégegevens van 2400 werkzoekenden in Noord-Holland-Noord gelekt. Het gaat onder andere om namen, geboortedata, burgerservicenummers, informatie over werkloosheidsuitkeringen, opleidingsniveau, het laatste beroep en de laatste werkgever, zo meldt het Noordhollands Dagblad vandaag.

Het datalek ontstond doordat de uitkeringsinstantie met 97 werkzoekenden informatie wilde delen over het opzetten van een netwerkcafé, maar stuurde de verkeerde bijlage mee. "Een menselijk fout die we zeer betreuren", aldus UWV-woordvoerder Arjan Wijnker. Het UWV heeft de betrokken personen gevraagd om de gegevens te verwijderen, maar één van de gedupeerden stelt dat de uitkeringsinstantie nooit kan controleren of dit ook daadwerkelijk is gedaan. In mei meldde Security.NL nog dat het UWV vorig jaar 84 keer een datalek bij de Autoriteit Persoonsgegevens heeft gemeld.

Reacties (9)
15-08-2018, 14:18 door Anoniem
Altijd prutswerk bij het UWV. Zorgvuldig omgaan met gegevens blijft moeilijk.
15-08-2018, 14:19 door Anoniem
vier ogen beleid. Meer mag ook.
15-08-2018, 14:28 door Anoniem
Al deze slachtoffers krijgen 4500,- netto als voorlopige schadeloos-stelling / voorschot en alle gevolgen zullen opgelost worden door het UWV.
Ook krijgen ze gratis en snel een nieuw Bsn.

Keurig opgelost van het UWV !
15-08-2018, 14:32 door Bitwiper - Bijgewerkt: 15-08-2018, 14:39
Het gaat onder andere om namen, geboortedata, burgerservicenummers, informatie over werkloosheidsuitkeringen, opleidingsniveau, het laatste beroep en de laatste werkgever
Dat is toch niet zo erg als er geen misbruik denkbaar is met die gegevens (zoals roddels, ongewenste acquisitie, benaderd worden met allerlei vragen over de vorige werkgever door over hun identiteit liegende personen, spear phishing en identiteitsfraude)? What could possibly go wrong?

En wat voor systemen gebruiken ze bij het UWV waardoor er (door malloten benaderbare) BESTANDEN zijn met dit soort gegevens van 2400 of zelfs maar 97 personen? Naast met security- en privacy awareness, is daar iets nog veel meer mis met de computersystemen. Waarom gaan er geen alarmbellen af op het moment dat je bewerkingen doet op de gegevens van zoveel burgers?
15-08-2018, 15:07 door karma4
Door Bitwiper: ...
En wat voor systemen gebruiken ze bij het UWV waardoor er (door malloten benaderbare) BESTANDEN zijn met dit soort gegevens van 2400 of zelfs maar 97 personen? Naast met security- en privacy awareness, is daar iets nog veel meer mis met de computersystemen. Waarom gaan er geen alarmbellen af op het moment dat je bewerkingen doet op de gegevens van zoveel burgers?
Welke systemen ze gebruiken is bekend https://informatiebeveiliging.nl/kamervragen-over-opslag-uwv-gegevens-bij-ibm/ Dat het niet aansluit aan wat nodig is. In dit geval is er iets geprobeerd op te zetten waar niets voor bestaat (opzetten netwerkcafé) .
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/publicaties/2017/12/14/uwv-informatieplan-2018-2022/uwv-informatieplan-2018-2022.pdf

De oplossing voor dit soort hiaten is Shadow-ict ofwel de man die de begeleiding van mensen doet, moet er zelf maar het beste van zien te maken met de mogelijkheden die hij heeft.
16-08-2018, 08:19 door Anoniem
Door Anoniem: Altijd prutswerk bij het UWV. Zorgvuldig omgaan met gegevens blijft moeilijk.
Door Bitwiper: En wat voor systemen gebruiken ze bij het UWV waardoor er (door malloten benaderbare) BESTANDEN zijn met dit soort gegevens van 2400 of zelfs maar 97 personen?
De gegevens van werkzoekenden staan in een centrale database, en die stuur je niet per ongeluk mee als bijlage van een e-mail. Men had dus een extract uit die database in een eigen bestand staan dat wel als bijlage bij een e-mail te voegen is. Een Excel-sheet lijkt me voor de hand liggen. Waarom werkt men met zo'n extract? Kennelijk kan het, en kennelijk kan men er iets mee dat met het centrale systeem niet gaat of kan men het op een manier die men veel makkelijker vindt.

Als je een verkeerd bestand als bijlage bijsluit dan staat het vermoedelijk in dezelfde map en selecteer je het door net naast het goede bestand te klikken of suggereerde de naam dat het het juiste bestand is. Wie weet is dit bestand met 2400 werkzoekenden gebruikt als hulpmiddel om de 97 te selecteren die uitgenodigd zouden worden om deel te nemen aan het netwerkcafé. Dat zou verklaren waarom de fout makkelijk te maken was.

Prutswerk? Malloten? Onzorgvuldig? Er zijn aanzienlijk meer mensen die dit soort fouten makkelijk maken dan mensen die daar immuun voor zijn, als die al bestaan. Het probleem met zorgvuldigheid is dat die heel makkelijk verstoord kan worden.

Je concentratie is afhankelijk wat je in je kortetermijngeheugen of werkgeheugen hebt staan. Hoe vaak maak je foutjes en corrigeer je die meteen weer? De meeste mensen doen dat aan de lopende band, vaker dan ze zich achteraf herinneren (want fouten die je niet maakt zijn onbelangrijk en je onthoudt alleen wat belangrijk genoeg is om te onthouden, je brein is heel selectief in wat er naar je langetermijngeheugen overgebracht wordt). De informatie op basis waarvan je foutjes die je maakt meteen weer corrigeert zit in dat werkgeheugen. Als op een ongelukkig moment je aandacht op iets anders wordt gericht, door een telefoontje of iemand die bij je bureau staat, dan kan waar je mee bezig was uit het werkgeheugen worden gewist (want je brein reageert alsof dat andere onderwerp belangrijker is, en je brein heeft geen swap-dataset waar het tijdelijk opgeslagen kan worden) en ben je de informatie-context kwijt die je nodig hebt om dat foutje wat je net maakte te corrigeren. Ik gebruik het verkleinwoord "foutje" omdat het om kleine handelingen gaat, qua consequenties kan het heel groot zijn. Omdat je concentratie opnieuw opbouwen tijd kost ben je als je weer terugschakelt tijdelijk minder zorgvuldig dan je normaal zou zijn. Heel wat mensen zijn zich nauwelijks bewust van hoe dit soort dingen werken.

Dat zijn de momenten waarop To: niet in Bcc: wordt veranderd, waarop verkeerde bijlagen worden meegestuurd en waarop S3-buckets voor de hele wereld leesbaar worden.

Hoe los je dat op? Niet door het als prutswerk af te doen of die mensen malloten te vinden, met dat soort oordelen begin je niet eens iets op te lossen omdat je de oorzaak niet onderkent. Het kortetermijngeheugen in je brein gaat echt niet anders werken door te roepen dat iemand maar beter zijn best moet doen, dat is de biologische hardware waar je het mee te doen hebt en die nou eenmaal zijn beperkingen heeft. Procedures gaan dit ook niet verbeteren als die procedures niet met inzicht in menselijke beperkingen opgesteld zijn.

Makers van user-interfaces zouden eens moeten stoppen om elke handeling laagdrempelig en makkelijk te maken. Handelingen met grote consequenties mogen moeite kosten. In organisaties idem dito. Het kan zo zijn dat je centrale systeem iets niet ondersteunt, maar los dat niet op door ODBC-koppelingen vanuit spreadsheetprogramma's toe te staan of andere mechanismen waarmee kopieën van data kunnen ontstaan in een vorm die gevoelig is voor ongelukken, maar door te kijken hoe je dat centrale systeem zelf beter maakt in het ondersteunen van wat je nodig hebt. Wat organisaties ook kunnen doen is zorgen voor een rustige werkomgeving met weinig storingen. Geen hectische kantoortuinen waar je alles van iedereen hoort, geen voortdurend veranderende prioriteiten waardoor je medewerkers voortdurend het een moeten afbreken omdat het andere voorrang krijgt, geen haast als dat niet echt nodig is. En op persoonlijk niveau kan je je bewustzijn trainen van hoe dit soort foutjes werken en waar mogelijk kiezen voor manieren van werken die de foutkans verkleinen. Zet die spreadsheet in een andere map dan de e-mailbijlage, geef ze bewust namen die je niet makkelijk met elkaar verwart.

Ik zie dit allemaal niet zo makkelijk van de grond komen, er lopen veel te veel mensen rond die zich domweg niet bewust zijn van hoe hun aandacht werkt of die daar zelfs een compleet onrealistisch beeld van hebben (mag ik die malloten en prutsers noemen? ;-) ).
17-08-2018, 08:37 door Bitwiper
Door Anoniem:
Door Anoniem: Altijd prutswerk bij het UWV. Zorgvuldig omgaan met gegevens blijft moeilijk.
Door Bitwiper: En wat voor systemen gebruiken ze bij het UWV waardoor er (door malloten benaderbare) BESTANDEN zijn met dit soort gegevens van 2400 of zelfs maar 97 personen?
De gegevens van werkzoekenden staan in een centrale database, en die stuur je niet per ongeluk mee als bijlage van een e-mail. Men had dus een extract uit die database in een eigen bestand staan dat wel als bijlage bij een e-mail te voegen is. Een Excel-sheet lijkt me voor de hand liggen. Waarom werkt men met zo'n extract? Kennelijk kan het, en kennelijk kan men er iets mee dat met het centrale systeem niet gaat of kan men het op een manier die men veel makkelijker vindt.
Als er procedures zijn waar een medewerker zich niet aan houdt, zijn er 2 mogelijkheden:
1) De medewerker heeft gemeld dat zij of hij het werk niet optimaal kan doen en heeft toestemming voor de bypass: dan neem je disciplinaire maatregelen tegen degene die de toestemming gaf;
2) De medewerker wijkt bewust af van procedures zonder toestemming: het lijkt mij duidelijk wat er dan moet gebeuren.

Los van procedures lijkt mij een systeem vereist dat documenten met vertrouwelijke informatie, die als zodanig geclassificeerd zijn (neem ik aan), alle alarmbellen laat afgaan op het moment dat een dusdanig geclassificeerd bestand als bijlage in een e-mail wordt opgenomen. Of dat dit (met of zonder alarmbellen) geheel onmogelijk wordt gemaakt: maar dat soort blokkades leiden er vaak toe dat er een onvoorziene uitzondering bestaat en men een bypass vindt en die voortaan blijft gebruiken (gmail van Henk Kamp bijvoorbeeld).

Linksom of rechtsom zijn dit onvergeeflijke fouten. Als 1 medewerker die kan maken (bijv. door onachtzaamheid, een voorspelbare menselijke eigenschap), doe je iets goed verkeerd in de organisatie. Medewerkers die bewust het systeem omzeilen zijn saboteurs en daar ken ik maar 1 oplossing voor.
17-08-2018, 18:24 door karma4
Door Bitwiper: ....
Als er procedures zijn waar een medewerker zich niet aan houdt, zijn er 2 mogelijkheden:
1) De medewerker heeft gemeld dat zij of hij het werk niet optimaal kan doen en heeft toestemming voor de bypass: dan neem je disciplinaire maatregelen tegen degene die de toestemming gaf;
2) De medewerker wijkt bewust af van procedures zonder toestemming: het lijkt mij duidelijk wat er dan moet gebeuren.
.....
Gangbare praktijk:
- van de medewerker worden activiteiten verwacht waarvoor geen ondersteunende procedures of processen voor zijn.

Hij moet het maar zien te redden met de hulpmiddelen die hij heeft. Doet hij dat niet dan is er het oordeel dat hij zijn werk niet doet.

Maakt hij een fout met de hulpmiddelen die hij heeft dan wordt hij veroordeeld op die fout. Wie zo buiten zicht blijven zijn de verantwoordelijken voor deze situatie.
Een fg dpo zou als onafhsnkijke moeten escaleren. Ook dat werkt (nog) niet.
18-08-2018, 17:13 door Mr. Sauertopf
"maar één van de gedupeerden stelt dat de uitkeringsinstantie nooit kan controleren of dit ook daadwerkelijk is gedaan."
En deze persoon zit nu zonder uitkering?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.