image

Belastingdienst logt niet welke medewerkers data opvragen

vrijdag 12 oktober 2018, 08:04 door Redactie, 60 reacties

De Belastingdienst houdt niet bij welke medewerkers gegevens uit de systemen opvragen, omdat dit technisch niet mogelijk zou zijn. Dat blijkt uit een brief van directeur-generaal Jaap Uijlenbroek van de Belastingdienst aan de Autoriteit Persoonsgegevens die in handen van Trouw is gekomen.

Uijlenbroek reageert in de brief op eerder onderzoek van de Autoriteit Persoonsgegevens over misstanden bij de fiscus. De afgelopen jaren kwamen verschillende problemen bij de Belastingdienst aan het licht als het gaat om de veiligheid van gegevens en bleek het niet op tijd aan de Algemene verordening gegevensbescherming (AVG) te kunnen voldoen. In juni verklaarde staatssecretaris Snel van Financiën dat de Belastingdienst binnen een jaar aan de nieuwe privacywetgeving zou voldoen.

Volgens de Autoriteit Persoonsgegevens moet de Belastingdienst bijhouden wie wat voor soort gegevens opvraagt. Uijlenbroek stelt echter dat deze maatregel 'technisch niet mogelijk is'. Daarnaast is het volgens de directeur-generaal niet mogelijk om middels autorisatie de toegang tot gegevens te beperken.

Een ander punt waar de privacytoezichthouder kritiek op had was de mogelijkheid voor fiscusmedewerkers om gegevens op een usb-stick op te slaan of via e-mail te versturen. Uijlenbroek laat daarop weten dat het opslaan van data op usb-sticks is verboden, hoewel dit technisch nog steeds kan. Hetzelfde geldt voor het opslaan van e-mailbijlagen op mobiele apparaten. De Autoriteit Persoonsgegevens laat weten dat het de reactie van de Belastingdienst nog aan het bestuderen is.

Reacties (60)
12-10-2018, 08:12 door Anoniem
Ik heb bij de belastingdienst gewerkt, de systemen zijn daar zo oud en de technology ook en de kennis niveau van de mensen daar zijn zo absurd laag en wordt zoveel vergaderd ipv acties ondernemen dat dergelijke normale user authentication management niet mogelijk is.

Ik maak mij ernstig zorgen over de security bij de overheid en dat interne persooneel gewoon allemaal queries kan uitvoeren in het systeem (zelf staigaires hebben deze rechten) en zoveel informatie over mensen te weten kunnen komen dat je dat niet wilt hebben.
12-10-2018, 08:15 door Anoniem
Toch mooi dat de belastingdienst zich wegens "technisch onmogelijk" niet aan de wet kan houden met al hun kompjoetertjes en applikaasies, en ondertussen verplichten ze wel de burger alleen nog "digitaal te kommuniseeren" met zichzelf. Competentie ten top.

Ze hebben daar wel dertigduizend man rondlopen, is er nou echt niemand die weet hoe... oh wacht, nee, inderdaad, die zijn net allemaal met een gouden handdruk opgehoepeld.
12-10-2018, 08:23 door Anoniem
Misschien dat het "technisch" wel mogelijk wordt de Belastingdienst een forse boete te geven?
Want als ik mijn Inkomstenbelasting formulier niet tijdig opstuur, dan hangt er ook "technisch" een forse boete boven mijn hoofd.
12-10-2018, 08:31 door Anoniem
De onschendbare overheidsdiensten houden zich wel vaker niet aan de wet. Maar ach boeie, we zijn toch onschendbaar.
https://nos.nl/artikel/2254440-fouten-bij-verzamelen-gegevens-internetgebruikers-door-politie.html
12-10-2018, 08:37 door Anoniem
Lariekoek van Uijlenbroek. Blijkbaar zitten ze op niveau nul bij de Belastingdienst en hebben ze nooit een serieuze poging gedaan iets te verbeteren. De Wbp is nooit geïmplementeerd en met de AVG is geeneens een begin gemaakt, lijkt het. W.s. oude systemen, maar ja, dat is geen excuus meer. Dus Jaap, de aap zit op je schouder en aan de slag! Hier kom je niet mee weg - hoop ik toch ...
12-10-2018, 08:42 door karma4 - Bijgewerkt: 12-10-2018, 08:53
Ik zie ernstige mistanden bij het AP Autoriteit Persoons gegevens, ze geven een eigen eigen interpretatie aan de GDPR. Ze zeggen dat een klantnummer rekeningnummer relatienummer door welke organisatie dan ook een privacyschending is. Het sofinr BSN is niets meer dan een nietszeggend klantnummer zoals de AH en elke winkelier bank of wat dan ook gebruikt met het argument dat daarmee en fouten voorkomen worden en privacy beschermd wordt.
Het AP verwordt tot een bedreiging van privacy, ze zien niet hoe iets opgelost zou moeten worden en roepen enkel dat alles niet goed is.

Voor de beveiliging zien we wel een structurelere uitdaging, Wie welke gegevens verwerkt kan je uitstekend bijhouden in gecentraliseerde toepassingen. Met het erf en schenk gebeuren zie dat wordt teruggevallen op loa's en handmatige verwerken. Dan weet je dat de auditing met beveiliging niet op orde is. Spit de verhalen van de afgelopen jaren door en je ziet dat telkens terugkomen. Hoe zou je dat kunnen veranderen?
Een voorstel:
- Breng de centrale processen op orde en waar de oude benadering niet voldoet zet daarvoor nieuwe zaken in als AI.
Een schatting is dat je daarvoor ca 500 nieuwe mensen nodig hebt.
- Om de oude werkwijzen te verlaten kun je vermoedelijk 5000 van de bestaande mensen wel kwijt. dan wordt het voorstel een verbetering met bezuiniging.

Begint er iets te dagen? Dit soort verbeteringen met reorganisaties zijn effectief zeer efficiënt om zeep geholpen. Degenen die daar bij baat bij hebben zitten er nog steeds.

Gebruik van USB-sticks is in bepaalde gevallen hard nodig om juisten geen open data verbindingen naar buiten te hebben. In dat geval hebben we het echte over technische data zonder een betrokkenheid van persoonsgegevens.
Als je de techniek en dienstverlening niet goed krijgt (Usb nodig) zul je de uitwegen op de vloer ook houden.
Veel zorgerlijker zijn de uitwegen ia dropbox beanderingen waarbij gebruik en controle onmogelijk is.
Voor zover ik het weet gebruikt de BD bedrijfstelefoons en geen persoonlijke mobieltjes dan zijn ze niet veel anders dan elk bedrijfsapparaat, in beheer en onder controle van het bedrijf.


De heer Bas Jacobs als terugkerende factor is verbazend. Het bewijs dat hij in deze kwestie aanvoert is:
"als dat waar is dan .. " Geen inhoudelijk onderbouwing van het als en niet over de uitspraak "dan".
12-10-2018, 09:05 door Anoniem
Ik ben consultant bij de belastingdienst geweest.
De belastingdienst heeft geen experts in huis. Ze worden allemaal geadviseerd door consultants en externe partijen waarbij dus na het advies deze expertise kennis ook verdwijnt.
Dat is waarom veel overheid projecten mislukken.

De overheid is lui en bureaucratisch en beschikt niet over de juiste mensen die klussen kunnen klaren.
De politiek neemt dit serieus, want ze kijken naar papieren en reputatie.

Het management zijn vooral mensen die proces kennis van zaken hebben of een opleiding hebben gevolgd tot bestuurskunde of people management.
Ook hebben collega's achter elkaars rug ruzie met elkaar en saboteren ze elkaars werk.

De directie bij zulke partijen is het enige waar ik heel tevreden over ben hoe ze dingen managen.
12-10-2018, 09:06 door Anoniem
Hoezo technisch niet mogelijk?

Wat hij eigenlijk zegt is dat de fiscus lichtjaren achter loopt en hun zaken niet op orde heeft.
In de 90-er jaren werd bij mijn toenmalige werkgever al met 'authorisaties' gewerkt en gelogd wie waarbij was geweest. En dan zou de fiscus dat met hun miljoenen verslindende IT 'technisch' niet voor elkaar krijgen? Veel meer dan 'mismanagement' hoor ik hier niet...

Zou de AP de fiscus nou gaan sluiten? Zou wel moeten he!
12-10-2018, 09:06 door Anoniem
Auditing technisch niet mogelijk is gelul.
12-10-2018, 09:26 door Anoniem
Door karma4: Ik zie ernstige mistanden bij het AP Autoriteit Persoons gegevens, ze geven een eigen eigen interpretatie aan de GDPR.
Het gaat er hier om dat de Belastingdienst niet kan aangeven welke medewerkers welke data raadplegen. De tekst van de GDPR begint met een forse rij overwegingen die ten grondslag liggen aan de wetsartikelen. Overweging 74:
De verantwoordelijkheid en aansprakelijkheid van de verwerkingsverantwoordelijke moeten worden vastgesteld voor elke verwerking van persoonsgegevens die door of namens hem wordt uitgevoerd. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen.
In artikel 33 lid 5 staat:
De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de toezichthoudende autoriteit in staat de naleving van dit artikel te controleren.
Het lijkt me een open deur dat een inbreuk niet gedocumenteerd kan worden als essentiële informatie erover niet bestaat. Volgens mij komen de eisen die hier aan de Belastingdienst gesteld worden wel degelijk voort uit de wettekst van de GDPR.
12-10-2018, 09:32 door karma4
Door Anoniem: Auditing technisch niet mogelijk is gelul.
o nee? Neems eens de volgende situaties:
Werk eens met geprinte formulieren, nou vooruit microfices, met fysieke dossiers die rond gesleept worden.
Laat een slimmerik op de afdeling met wat desktop tools iets bouwen zodat alles op de eigen afdeling net was handiger gaat.
Kweek een houding dat voor processen vooral verwezen wordt dat een ander het moet doen.

As jij je jaarlijkse aangifte moet doen is prima te volgen wat wanneer gebeurt. Dat zijn echter systemen waar hard aan gewerkt wordt om die zaken voor elkaar te krijgen.
Elk volwassen ICT systeem heeft in de basis ontzettend veel log en audit mogelijkheden. Kijk maar eens naar RDBMS systemen, Echter als je van je RBAC een chaos maakt en externe dienstverleners de vrijheid geven om van alles in te richten op hun denkwijze dan moet je niet gek kijken dat je een choas hebt.
12-10-2018, 09:42 door Anoniem
De belastingdienst zal waarschijnlijk al gehacked zijn door de NSA.
12-10-2018, 10:01 door Anoniem
Ik hoop dat de DG zich heeft laten informeren door de juiste professionals zoals een b.v. security officer en dat niet in de wind heeft geslagen anders zouden de gevolgen wel eens heel naar kunnen zijn.

Want het komt op mij erg ongeloofwaardig over.

Motie van wantrouwen van mijn kant.
12-10-2018, 10:04 door Anoniem
Door karma4:
Door Anoniem: Auditing technisch niet mogelijk is gelul.
o nee? [...] Elk volwassen ICT systeem heeft in de basis ontzettend veel log en audit mogelijkheden. Kijk maar eens naar RDBMS systemen,
Dat maakt auditing technisch wel degelijk mogelijk.
Echter als je van je RBAC een chaos maakt en externe dienstverleners de vrijheid geven om van alles in te richten op hun denkwijze dan moet je niet gek kijken dat je een choas hebt.
Wat jij zegt is dat het organisatorisch mis is gegaan met het regelen van technisch wel degelijk mogelijke audithulpmiddelen.

Dus ik ben het wel eens met die andere Anoniem dat het onzin is dat het technisch niet zou kunnen.
12-10-2018, 10:19 door Anoniem
Door Anoniem: Lariekoek van Uijlenbroek. Blijkbaar zitten ze op niveau nul bij de Belastingdienst en hebben ze nooit een serieuze poging gedaan iets te verbeteren. De Wbp is nooit geïmplementeerd en met de AVG is geeneens een begin gemaakt, lijkt het. W.s. oude systemen, maar ja, dat is geen excuus meer. Dus Jaap, de aap zit op je schouder en aan de slag! Hier kom je niet mee weg - hoop ik toch ...

Helaas is dat met heeeel wat meer organisaties het geval... ze hebben massaal de WBP links laten liggen.
12-10-2018, 10:20 door Anoniem
Wat?!!
Ze loggen niet ?

Van ons verwachten ze pure eerlijkheid en zelf lichten ze de boel aan alle kanten op ?!

En wat betreft inzage in al je gegevens ; met Syri kijkt de gemeente ook gewoon in je belasting-gegevens.
Elke gemeente-medewerker of politieagent krijgt zo een kijkje in je leven.
En al die andere vage aangesloten partijen.

De overheid, onbetrouwbaarder kunnen we het niet maken.
12-10-2018, 10:24 door Anoniem
Door karma4: Ik zie ernstige mistanden bij het AP Autoriteit Persoons gegevens, ze geven een eigen eigen interpretatie aan de GDPR. Ze zeggen dat een klantnummer rekeningnummer relatienummer door welke organisatie dan ook een privacyschending is. Het sofinr BSN is niets meer dan een nietszeggend klantnummer zoals de AH en elke winkelier bank of wat dan ook gebruikt met het argument dat daarmee en fouten voorkomen worden en privacy beschermd wordt.
Het AP verwordt tot een bedreiging van privacy, ze zien niet hoe iets opgelost zou moeten worden en roepen enkel dat alles niet goed is. ...".

Ik zou nog een keer goed kijken als ik u was...dat zegt de AP helemaal niet. Ze zeggen dat het een persoonsgegeven is. En dat klopt volgens de definitie van de wetgever, en dus niet wat de AP zou verzinnen. Een persoonsgegeven of verwerking daarvan is geenszins per definitie een 'privacyschending' zoals u stelt.
12-10-2018, 10:36 door Anoniem
Door karma4:
Door Anoniem: Auditing technisch niet mogelijk is gelul.
o nee? Neems eens de volgende situaties:
Werk eens met geprinte formulieren, nou vooruit microfices, met fysieke dossiers die rond gesleept worden.
Laat een slimmerik op de afdeling met wat desktop tools iets bouwen zodat alles op de eigen afdeling net was handiger gaat.
Kweek een houding dat voor processen vooral verwezen wordt dat een ander het moet doen.

As jij je jaarlijkse aangifte moet doen is prima te volgen wat wanneer gebeurt. Dat zijn echter systemen waar hard aan gewerkt wordt om die zaken voor elkaar te krijgen.
Elk volwassen ICT systeem heeft in de basis ontzettend veel log en audit mogelijkheden. Kijk maar eens naar RDBMS systemen, Echter als je van je RBAC een chaos maakt en externe dienstverleners de vrijheid geven om van alles in te richten op hun denkwijze dan moet je niet gek kijken dat je een choas hebt.
Dat neemt niet weg dat auditing technich mogelijk is.

Dat mensen het niet goed inrichten betekend niet dat het technisch niet mogelijk is.
12-10-2018, 10:46 door karma4
Door Anoniem: Ik hoop dat de DG zich heeft laten informeren door de juiste professionals zoals een b.v. security officer en dat niet in de wind heeft geslagen anders zouden de gevolgen wel eens heel naar kunnen zijn.

Want het komt op mij erg ongeloofwaardig over.

Motie van wantrouwen van mijn kant.
Welke CSO en security officer bedoel je? Een rapport van de ADR:
"De in de vorige paragraaf beschreven, en op korte termijn aan te stellen CSO, zal de opdracht krijgen deze aanvullende maatregelen, binnen de kaders van de Topstructuur, nader uit te werken."
https://www.rijksoverheid.nl/binaries%2Frijksoverheid/documenten/rapporten/2017/10/02/bijlage-3-eindrapport-onderzoek-handboek-beveiliging-belastingdienst/bijlage-3-eindrapport-onderzoek-handboek-beveiliging-belastingdienst.pdf
Klein vraagje in dat kader waar zou voorheen de CSO rol belegd geweest zijn?
Er is wel een HBB (A B C) zeer technisch ingestoken maar visie en lijn ontbreekt.
12-10-2018, 11:31 door Reinder
Ach, dat maakt toch niet uit. Het zijn allemaal ambtenaren en daarom per definitie onkreukbaar, onomkoopbaar, volledig integer, betrouwbaar, ter zake kundig, en etisch en moreel juist, dus de privacy is volledig gegarandeerd want ze hebben ook nog eens allemaal een verklaring van braafheid getekend.
12-10-2018, 12:01 door karma4
Door Anoniem:
Elk volwassen ICT systeem heeft in de basis ontzettend veel log en audit mogelijkheden. Kijk maar eens naar RDBMS systemen,
Dat maakt auditing technisch wel degelijk mogelijk.
Sorry het was met voorbedachte opgezette val van mijn kant.
Alleen voor operationele systemen in een volledige transactie benadering die enkel door persoonlijke accounts direct door de gebruiker en door service accounts voor de automatische services gaat dat op.
Niet voor alles wat als loa (download naar de desktop) uitgeprint via papieren dossiers etc gaat. Met de erf en schenk problematiek zie je dat er juist die wegen ingezet worden. Zoek op loa's en je vind nog veel meer van die ongein op desktops.

Echter als je van je RBAC een chaos maakt en externe dienstverleners de vrijheid geven om van alles in te richten op hun denkwijze dan moet je niet gek kijken dat je een choas hebt.
Wat jij zegt is dat het organisatorisch mis is gegaan met het regelen van technisch wel degelijk mogelijke audithulpmiddelen.
Dus ik ben het wel eens met die andere Anoniem dat het onzin is dat het technisch niet zou kunnen.[/quote]Lees even die pdf van de ADR over HBB door (link hierboven). Dan zie je mogelijk waarom het niet mogelijk is.
Er is geen verband in het geheel geen data classificatie wat wanneer waarom gemonitored moet worden.
Dan kan je her en der een techniek hebben die iets kan doen en in de volgende stap is dat dan weer geheel weg.

Als je naar dasboarding data-analyse gaat kijken komt daar een ander probleem bij. Dat soort processen werken niet transactiegewijs ze werken op hele datasets. Dan moet je de bekijken wat allemaal aan dataminimalisatie moet doen.
Het klantnummer (bsn) is nu net de primaire sleutel voor datakoppelingen en ingevoerd om persoonsverwisselingen (en andere fouten) tegen te gaan. Haal je dat onderuit dan haal je hele waarde van data onderuit.
Zeg nu eens zelf wat zegt dat nietszeggende nummer nu? Het is gewoon dom om daar waarde aan te hechten en het als autenticerend te zien.
12-10-2018, 12:25 door Anoniem
Een audit trail ''technisch niet mogelijk''. LMFAO zou een vereiste moeten zijn, bij het bouwen van dit soort systemen.

Dus ik ben het wel eens met die andere Anoniem dat het onzin is dat het technisch niet zou kunnen. Lees even die pdf van de ADR over HBB door (link hierboven). Dan zie je mogelijk waarom het niet mogelijk is. Er is geen verband in het geheel geen data classificatie wat wanneer waarom gemonitored moet worden.

Bullshit verhaal. Dan zet je een project op, om dergelijke zaken te verbeteren, en die monitoring in te voeren. Wat men bedoelt is dat men het ''niet wenselijk'' vindt.
12-10-2018, 12:27 door Anoniem
Elk volwassen ICT systeem heeft in de basis ontzettend veel log en audit mogelijkheden. Kijk maar eens naar RDBMS systemen, Echter als je van je RBAC een chaos maakt en externe dienstverleners de vrijheid geven om van alles in te richten op hun denkwijze dan moet je niet gek kijken dat je een choas hebt.

En dus ? Moet je die situatie accepteren, en roepen ''het kan niet'' ? Of moet je zaken op orde brengen, om te zorgen dat het *wel* kan ?
12-10-2018, 12:27 door Anoniem
Belastingdienst voldoet dus *niet* aan de AVG. Boete opleggen (die ze aan zichzelf mogen gaan betalen) ?
12-10-2018, 12:33 door karma4
Door Anoniem:
Door karma4: Ik zie ernstige mistanden bij het AP Autoriteit Persoons gegevens, ze geven een eigen eigen interpretatie aan de GDPR. Ze zeggen dat een klantnummer rekeningnummer relatienummer door welke organisatie dan ook een privacyschending is. Het sofinr BSN is niets meer dan een nietszeggend klantnummer zoals de AH en elke winkelier bank of wat dan ook gebruikt met het argument dat daarmee en fouten voorkomen worden en privacy beschermd wordt.
Het AP verwordt tot een bedreiging van privacy, ze zien niet hoe iets opgelost zou moeten worden en roepen enkel dat alles niet goed is. ...".

Ik zou nog een keer goed kijken als ik u was...dat zegt de AP helemaal niet. Ze zeggen dat het een persoonsgegeven is. En dat klopt volgens de definitie van de wetgever, en dus niet wat de AP zou verzinnen. Een persoonsgegeven of verwerking daarvan is geenszins per definitie een 'privacyschending' zoals u stelt.
GDPR dierctive: https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=EN
"Artikel 87
Verwerking van het nationaal identificatienummer
De lidstaten kunnen de specifieke voorwaarden voor de verwerking van een nationaal identificatienummer of enige andere identificator van algemene aard nader vaststellen. In dat geval wordt het nationale identificatienummer of enige andere identificator van algemene aard alleen gebruikt met passende waarborgen voor de rechten en vrijheden van de betrokkene uit hoofde van deze verordening."

https://autoriteitpersoonsgegevens.nl/nl/nieuws/belastingdienst-verwerkt-burgerservicenummers-strijd-met-de-wet
"Dit maakt het tegelijk kwetsbaar: als het BSN in kwaadwillende handen valt, kan het mogelijk leiden tot identiteitsfraude. Een kwaadwillende kan met de persoonsgegevens van een ander bijvoorbeeld een auto huren en daarmee schade veroorzaken." deze bewering strook niet met
https://wetten.overheid.nl/BWBR0022428/2018-07-28
"Artikel 12
Indien bij het verwerken van persoonsgegevens een burgerservicenummer wordt gebruikt, vergewist de gebruiker zich ervan dat het burgerservicenummer betrekking heeft op de persoon wiens persoonsgegevens hij verwerkt."
Als de wet gevolgd wordt is identiteitsfraude niet mogelijk. Aangezien het AP dat toch beweerd is het AP niet wettelijk bezig.

Gaarne de onderbouwing hoe het anders zou zijn.
12-10-2018, 12:51 door Anoniem
Door karma4:
Door Anoniem:
Elk volwassen ICT systeem heeft in de basis ontzettend veel log en audit mogelijkheden. Kijk maar eens naar RDBMS systemen,
Dat maakt auditing technisch wel degelijk mogelijk.
Sorry het was met voorbedachte opgezette val van mijn kant.
Alleen voor operationele systemen in een volledige transactie benadering die enkel door persoonlijke accounts direct door de gebruiker en door service accounts voor de automatische services gaat dat op.
Niet voor alles wat als loa (download naar de desktop) uitgeprint via papieren dossiers etc gaat. Met de erf en schenk problematiek zie je dat er juist die wegen ingezet worden. Zoek op loa's en je vind nog veel meer van die ongein op desktops.

Echter als je van je RBAC een chaos maakt en externe dienstverleners de vrijheid geven om van alles in te richten op hun denkwijze dan moet je niet gek kijken dat je een choas hebt.
Wat jij zegt is dat het organisatorisch mis is gegaan met het regelen van technisch wel degelijk mogelijke audithulpmiddelen.
Dus ik ben het wel eens met die andere Anoniem dat het onzin is dat het technisch niet zou kunnen.
Lees even die pdf van de ADR over HBB door (link hierboven). Dan zie je mogelijk waarom het niet mogelijk is.
Er is geen verband in het geheel geen data classificatie wat wanneer waarom gemonitored moet worden.
Dan kan je her en der een techniek hebben die iets kan doen en in de volgende stap is dat dan weer geheel weg.

Als je naar dasboarding data-analyse gaat kijken komt daar een ander probleem bij. Dat soort processen werken niet transactiegewijs ze werken op hele datasets. Dan moet je de bekijken wat allemaal aan dataminimalisatie moet doen.
Het klantnummer (bsn) is nu net de primaire sleutel voor datakoppelingen en ingevoerd om persoonsverwisselingen (en andere fouten) tegen te gaan. Haal je dat onderuit dan haal je hele waarde van data onderuit.
Zeg nu eens zelf wat zegt dat nietszeggende nummer nu? Het is gewoon dom om daar waarde aan te hechten en het als autenticerend te zien.[/quote]Ik zie nog steeds nergens dat het technisch niet mogelijk is.

Het moet goed ingeregeld en ontworpen worden en vastgelegd worden en hier gaat tijd inzitten.

Het kan als er de wil is om het te configureren en ontwerpen.

Technisch niet mogelijk is gelul om werk te vermeiden.
12-10-2018, 13:03 door karma4
Door Anoniem:
Elk volwassen ICT systeem heeft in de basis ontzettend veel log en audit mogelijkheden. Kijk maar eens naar RDBMS systemen, Echter als je van je RBAC een chaos maakt en externe dienstverleners de vrijheid geven om van alles in te richten op hun denkwijze dan moet je niet gek kijken dat je een choas hebt.

En dus ? Moet je die situatie accepteren, en roepen ''het kan niet'' ? Of moet je zaken op orde brengen, om te zorgen dat het *wel* kan ?
Goede insteek, je moet het niet accepteren maar verbeteren.
Ik maakte eerder als de opmerking dat het verbeteren en vernieuwen al door behoudende krachten de nek omgedraaid is.
Je moet niet alles geloven wat in het nieuws gebracht wordt.. Beter onderzoek en echte feiten zijn voorwaarden.


Door Anoniem: Een audit trail ''technisch niet mogelijk''. LMFAO zou een vereiste moeten zijn, bij het bouwen van dit soort systemen.

Dus ik ben het wel eens met die andere Anoniem dat het onzin is dat het technisch niet zou kunnen. Lees even die pdf van de ADR over HBB door (link hierboven). Dan zie je mogelijk waarom het niet mogelijk is. Er is geen verband in het geheel geen data classificatie wat wanneer waarom gemonitored moet worden.

Bullshit verhaal. Dan zet je een project op, om dergelijke zaken te verbeteren, en die monitoring in te voeren. Wat men bedoelt is dat men het ''niet wenselijk'' vindt.
Eens met het doel, Heb je echter door dat het vooreerst geen technisch project is maar een van het beslechten van machten in de bloedgroepen en koninkrijkjes. Heb je dat ADR rapport over HBB invulling doorgenomen? Daar staat dat niet al te verborgen beschreven.
12-10-2018, 13:06 door Anoniem
De belastingdienst draait nog op Windows XP hoe wil je dat ooit gaan beheren. Er wordt zoveel geld geïnvesteerd daar om Windows XP draaiende te houden!
12-10-2018, 14:56 door karma4
Door Anoniem: De belastingdienst draait nog op Windows XP hoe wil je dat ooit gaan beheren. Er wordt zoveel geld geïnvesteerd daar om Windows XP draaiende te houden!
Goedendag meneer Bart Jacobs, weet je als de waar is dan zijn alle mussen dood.

Ik weet toevallig dat jouw bewering al lang achterhaald is. Het is tijdes & en de volgende overgang gaat hard. https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rapporten/2018/05/01/jaarrapportage-bedrijfsvoering-rijk-2017-bijlage-grote-ict-projecten/jaarrapportage-bedrijfsvoering-rijk-2017-bijlage-grote-ict-projecten.pdf
12-10-2018, 15:06 door Anoniem
Door karma4: Sorry het was met voorbedachte opgezette val van mijn kant.
Pardon? Dan ben je met iets heel anders bezig dan een discussie te voeren. Zou je je medemensen met open visier willen benaderen? Dat praat een stuk prettiger.
Dus ik ben het wel eens met die andere Anoniem dat het onzin is dat het technisch niet zou kunnen.
Lees even die pdf van de ADR over HBB door (link hierboven).
Een URL is nog geen link, dat is het pas als je er een url-tag omheen zet zodat erop geklikt kan worden. Ik keek, omdat je "link" schreef, uit naar links en had even moeite het terug te vinden. Maar dat terzijde.
Dan zie je mogelijk waarom het niet mogelijk is.
Het ging erover dat het technisch onmogelijk zou zijn. Wat ik heel duidelijk lees in dat rapport is dat er het nodige organisatorisch is misgegaan. Men heeft het inderdaad daardoor technisch niet op orde, maar dat het niet lukt om op afzienbare termijn de techniek op te tuigen is iets wezenlijk anders dan dat het technisch (of organisatorisch) niet kan. Natuurlijk kan het wel, men zal het alleen niet op tijd voor elkaar hebben.

Het rapport bevestigt in mijn ogen volledig dat de problemen organisatorisch van aard zijn. Het is namelijk een organisatorisch probleem als je iets dat technisch wel degelijk kan niet op poten gezet krijgt.

Eigenlijk hebben we het meer over (on)nauwkeurig taalgebruik dan over de inhoud. Maar taal is wel waarmee je de inhoud benoemt, en slordig taalgebruik leidt tot misverstanden, en in organisaties tot langs elkaar heen werken, verkeerd begrepen opdrachten, onduidelijkheid over beleid. Mijn voorkeur is nauwkeurig taalgebruik: dat een link iets is waarop je kan klikken en dat technisch onmogelijk betekent dat de techniek om iets te realiseren niet bestaat.
12-10-2018, 15:26 door Anoniem
Door Anoniem: De belastingdienst draait nog op Windows XP hoe wil je dat ooit gaan beheren. Er wordt zoveel geld geïnvesteerd daar om Windows XP draaiende te houden!
Het is duidelijk dat deze reaguurder er niks vanaf weet en graag onzin wil spuien om het vuur
een beetje op te stoken.
12-10-2018, 15:42 door Anoniem
Grappig idee dat als je alles maar logt, daarmee de privacy gewaarborgd is.

Overigens is natuurlijk vrijwel niets onmogelijk, als je maar bereid bent genoeg geld, tijd en mensen eraan te spenderen.
Dus ik zou voorstellen dat de politiek daar even wat extra miljarden en een paar jaar voor opzij zet en voila, de belasting wordt niks beter of goedkoper geïnd maar we hebben wel drie jaar en vele miljarden verder een hoeveelheid logdata waar je u tegen zegt.
Analyse? Monitoring? Oh wacht, dat was nergens gevraagd. Heeft u nog wat miljarden, jaren en mensen?

Als in Genua een brug naar beneden dondert dan roept iedereen dat er te weinig geld naar onderhoud is gegaan. Als hier problemen bij de Belastingdienst of andere overheidsdiensten aan het licht komen, dan ligt het altijd aan die domme luie ambtenaren. Gelukkig zijn er daar steeds minder van, met een vroemvroempartij die liefst helemaal geen overheid heeft, alleen particuliere beveiligingsbedrijven om hun villa's veilig te houden tegen het onderbetaalde plebs.
12-10-2018, 15:50 door karma4
Door Anoniem: Pardon? Dan ben je met iets heel anders bezig dan een discussie te voeren. Zou je je medemensen met open visier willen benaderen? Dat praat een stuk prettiger.
https://www.rijksoverheid.nl/binaries%2Frijksoverheid/documenten/rapporten/2017/10/02/bijlage-3-eindrapport-onderzoek-handboek-beveiliging-belastingdienst/bijlage-3-eindrapport-onderzoek-handboek-beveiliging-belastingdienst.pdf
Ik had de bron bij de bewering en de vraag over wie de CSO rol gezet. Duidelijk doel, open vizier.

De verwijzing die ik naar dat DBMS als technisch standaard mogelijkheid deed was om te zien of daarop (techniek leidend) dan wel het organisatorische zou gaan.


Het rapport bevestigt in mijn ogen volledig dat de problemen organisatorisch van aard zijn. Het is namelijk een organisatorisch probleem als je iets dat technisch wel degelijk kan niet op poten gezet krijgt.
Dank je dan zijn we in ieder geval op dat punt beland.

Hebben we nog steeds de vragen:
- wat je met handmatige verwerkingen als uitweg voor de verachte falende ICT moet (papier en loa's)
- De BI en AI aanpak waarbij BI met directe brongevens lastig is te isoleren terwijl je met AI prima data minimalisatie kan doen bij de bouw. Alles mits de primary key (bsn rsin) functioneel is in te zetten.
12-10-2018, 16:34 door Anoniem
Wat ik interessant vind, is dat een aantal ex-belastingmedewerkers op dit forum vertellen wat er allemaal bij de belastingdienst niet goed is. Graag wil ik hun wijzen op de afgelegde eed/belofte dan wel de getekende geheimhoudingsverklaring.
12-10-2018, 17:19 door Anoniem
Door karma4: Duidelijk doel, open vizier.
Misschien was je doel duidelijk, maar een "met voorbedachte opgezette val van mijn kant" is geen open vizier. Daar was het een reactie op.
Hebben we nog steeds de vragen:
Organisatorische vragen die niet we (ik althans niet) maar de Belastingdienst heeft.
12-10-2018, 17:21 door Anoniem
Door Anoniem: Misschien dat het "technisch" wel mogelijk wordt de Belastingdienst een forse boete te geven?
Want als ik mijn Inkomstenbelasting formulier niet tijdig opstuur, dan hangt er ook "technisch" een forse boete boven mijn hoofd.

En wie gaat uiteindelijk die boete financieren? Juist, diezelfde burger.

Een betere optie:
Als straf om geen of minder inkomstenbelasting heffen (bv een lager percentage) totdat de Belastingdienst haar problemen opgelost heeft. Hiermee straf je de politiek, die minder geld heeft voor leuke speeltjes/hobby-projecten/amandementjes, en dus bovenop de aanpak bij de Belastingdienst gaat zitten.
Dan kan opeens wel van alles in een half jaar.
(En de belastingbetaler schiet er ook iets mee op in zijn/haar beurs)
12-10-2018, 17:31 door Anoniem
Door karma4:Alles mits de primary key (bsn rsin) functioneel is in te zetten.
En daarmee verstoot je tegen de AVG/GDPR,want de BSN is als een bijzonder persoonsgegeven aangemerkt.
Als je dat gebruikt als key (Primary key of Foreign Key) dan is dat oneigenlijk gebruik. Dat het de makkelijkste oplossing zou zijn (bv om gegevens te koppelen), is iets geheel anders. Encryptie van dat gegeven (onleesbaar maken) en dan als key gebruiken, zou mogelijk weer wel kunnen.
12-10-2018, 17:43 door Anoniem
Door Anoniem:
Door Anoniem: Misschien dat het "technisch" wel mogelijk wordt de Belastingdienst een forse boete te geven?
Want als ik mijn Inkomstenbelasting formulier niet tijdig opstuur, dan hangt er ook "technisch" een forse boete boven mijn hoofd.

En wie gaat uiteindelijk die boete financieren? Juist, diezelfde burger.

Een betere optie:
Als straf om geen of minder inkomstenbelasting heffen (bv een lager percentage) totdat de Belastingdienst haar problemen opgelost heeft. Hiermee straf je de politiek, die minder geld heeft voor leuke speeltjes/hobby-projecten/amandementjes, en dus bovenop de aanpak bij de Belastingdienst gaat zitten.
Dan kan opeens wel van alles in een half jaar.
(En de belastingbetaler schiet er ook iets mee op in zijn/haar beurs)

Maar zo werkt de politiek niet. De burger wordt altijd slachtoffer.
De overheid heeft geen verstand waarmee het bezig is en huurt allemaal consultants in en project aannemers en die gaan aan de slag en die presenteren iets en gaan weg en de overheid heeft een nieuwe tooltje.
De overheid weet ook dat deze ontwikkelprocess niet het juiste maar het gaat om zo min mogelijk taken en bevoegdheden bij de ict van de overheid neerleggen en de verantwoording zoveel mogelijk weg te schuiven bij externe partijen.
De overheid betaalt hier ook een grote som geld voor want de externe partijen moeten ook flinke winstmarge aan overhouden (na aftrek van reiskosten, personeelkosten van de ontwikkelaars van externe partij etc.)
12-10-2018, 17:56 door karma4
Door Anoniem:
Door karma4:Alles mits de primary key (bsn rsin) functioneel is in te zetten.
En daarmee verstoot je tegen de AVG/GDPR,want de BSN is als een bijzonder persoonsgegeven aangemerkt.
Als je dat gebruikt als key (Primary key of Foreign Key) dan is dat oneigenlijk gebruik. Dat het de makkelijkste oplossing zou zijn (bv om gegevens te koppelen), is iets geheel anders. Encryptie van dat gegeven (onleesbaar maken) en dan als key gebruiken, zou mogelijk weer wel kunnen.

Ah
- de gdpr een bsn is geen bijzonder persoonsgegeven, ter compensatie mag via artikel 87 een land beperkingen in het gebruik opleggen.
- Indien wettelijk vorogeschreven is het gebruik van een BSN verplicht. De hele overheid en veel informatie aanbieders naar een overheid (Werk inkomen zorg fiancial studie) zijn eveneens verplicht het BSN te gebruiken.
- De AVGU is een uitbreiding op de GDPR maar blijft ondergeschikt aan andere wettelijke verplichtingen
- artikel 12 van de WABB heb je helemaal gemist. De verplichting van de verwerker tot een goede controle BSN met persoon.

Geef aub links als dat niet waar zou zijn. Hierboven staan de links met tekst naar die wetten.
Dat er gebracht dat de BD geen BSN mag gebruiken en dat het BSN geheim gehouden moet worden is onwettelijk.
Vandaar de eerdere conclusie dat het AP zich niet aan de wet houdt.
12-10-2018, 18:14 door Anoniem
Door Anoniem: Belastingdienst voldoet dus *niet* aan de AVG. Boete opleggen (die ze aan zichzelf mogen gaan betalen) ?

Jullie moeten ophouden met praten over boetes, want straks komt de EU met boetes en dan gaan wij Nederlanders er alleen maar op achteruit. Gun ze de tijd. De overheid is niet zo goed in ICT dat weten we toch al inmiddels.
12-10-2018, 19:50 door Anoniem
Door Anoniem: De belastingdienst zal waarschijnlijk al gehacked zijn door de NSA.
Ja, Putin leest nu je aangifte over 2017 en Trump is stomverbaasd dat je kunt leven van zo'n hongerloontje.
12-10-2018, 21:03 door Anoniem
Door Anoniem:
Door Anoniem: De belastingdienst zal waarschijnlijk al gehacked zijn door de NSA.
Ja, Putin leest nu je aangifte over 2017 en Trump is stomverbaasd dat je kunt leven van zo'n hongerloontje.
Putin hackt geen economische gegevens volgens het Westen, hij hackt alleen om te sabotteren, je haalt Rusland en China door elkaar.
12-10-2018, 22:38 door Anoniem
Door Anoniem:
Door Anoniem: De belastingdienst zal waarschijnlijk al gehacked zijn door de NSA.
Ja, Putin leest nu je aangifte over 2017 en Trump is stomverbaasd dat je kunt leven van zo'n hongerloontje.

Putin zal het dan toch moeten voorlezen aan Trump denk ik.
12-10-2018, 23:39 door Eric-Jan H te D
Veel van de bevragingen bij de belastingdienst zijn batchjobs welke administratief worden aangevraagd en door een productiemedewerker worden gestart. Technisch is dus die medewerker de bevrager. Maar functioneel heel iemand anders.
12-10-2018, 23:44 door Anoniem
Is dit soms de eerste keer dat de Belastingdienst boven de wet staat?
13-10-2018, 08:39 door beatnix
Enig benul gekregen van de hoeveelheid schreinende gevallen waar men financiele problemen krijgt en iemand bij de belastingdienst krijgt te zien dat er weinig tot geen invloedrijke families omheen zitten, hoevaak die informatie wordt doorgespeeld aan projectontwikkelaars of vastgoed bvs die vastgoed per executoriaal bevel per opbod om spotprijzen overgenomen krijgen waar schreinende gevallen achterblijven met een restschuld / kapot gemaakt menselijikerwijs een bestaan lang en waarbij belastingdienst medewerkers via omweg betaald krijgen met de tonnen inkomsten die sommigen zo denken te kunnen verkrijgen?

zelfs banken bij banken wordt sommige van zulke schreinende situaties op zulke wijze 'winstgevend' genoemd, want aan de projectontwikkelaar/vastgoed bv is meer te verdienen en ook de 'belastingmedewerker' krijgt wat met koopkracht te doen.

hoewel betrokkenen dit liefst zo moeilijk mogelijk zichtbaar beogen te maken, denk erom dat dit werkelijk gebeurd!

en denk erom dat het schreinend is als je je huis onder je ass per opbod verkocht ziet waar je een bestaan lang om kreeg te werken omdat een 'belastingmedewerker' met wat uitvogelwerkt te zien gekregen heeft dat er niemand is om je te verdedigen, terwjil je wel nog mogelijkheden gekregen had maar die minder 'winstgevend' bleken bij 'belastingdienst medewerker/ vastgoed bv/ projectontwikkelaar/bank'.

denk erom dat daar aan de achterkant zulke informatie wordt doorgespeeld, denk erom dat daar een bult misdaad achter zit waar niet de normale nederlander maar deels wat 'leiderschap' genoemd wordt niet wil dat het bekend wordt. denk erom dat het de gemeenschap bakken met geld kost, denk erom dat zulke misdaad ernstiger is dan de gemiddelde overvaller of statistieken omtrent berovingen.
13-10-2018, 08:52 door karma4
Door Anoniem: Is dit soms de eerste keer dat de Belastingdienst boven de wet staat?
Hier moet je de vraag stellen of het AP wetgever handhaver en rechter kan zijn. Zo stellen ze zich wel op.
Dat kan echt niet op zo'n manier het is onwettelijk en ondemocratisch.
13-10-2018, 11:58 door Anoniem
Oh wat hield ik van mijn xp systeempje, getweakt naar mijn wens, alle programma's draaien zoals ik het wil en dat heeft zich zo ontwikkelt in jaren. Maar, ik heb dus niet vanaf het begin bijgehouden
- wat ik heb getweakt,
- welke programma's ik heb geinstalleerd en
- hoe ik deze heb ingesteld en evt. heb gepatched

Nog jaren na support-beëindiging gebruikt, maar het houd ergens op, aangezien er geen updates meer kwamen om het veilig te houden en er zo digi-inbrekers teveel toegang kregen.

Dus verplicht over naar windows 7 waar de einddatum van support al bekend van is! Maar ik gaat zeker niet over naar windows 10, teveel poeha om daar een voor mij gewenste omgeving op te kunnen bouwen (zoverre dat uberhaupt nog mogelijk is).

Dit als analogie voor de vervelende situatie waar de belastingdienst en andere organisaties tegen aanlopen vanwege het missen van .... change-management.

Elk bedrijf met een crm-systeem/databases(S) ontwikkelt zich naar de wensen die zich on de loop van tijd(jaren) voordoen. Als hierbij niet wordt bijgehouden hoe alles aan elkaar is geknoopt en welke wijzigingen zijn toegepast om een extra functie(s) mogelijk te maken, wordt het een spagetti bende waar niemand meer het totaalplaatje van kent.
En dan gaat zo'n organisatie een digitale professional van buiten erbij halen om 'effe' een nieuwe functie te implementeren, of nog erger, vragen om het gehele systeem efficienter te maken en alles te herzien. De consultant vraagt om een volledige inventarisatie, echter aangezien dit niet is bijgehouden krijg je nooit een volledig plaatje van de spagetti-bende; Alle afdelingen (fin vs HR vs..) die op hun eigen manier informatie uit het systeem trekken en daarvoor uitbreidingen/wijzigingen kunnen toepassen zonder dat er goede change-management aanwezig is wordt uitendelijk onbeheerbaar.
De consultant vragen om deze inventarisatie te maken is tijdintensief en daarmee ongewenst (of zelfs onmogelijk). Als er financiele en persoonsgebonden informatie in de databases staan die op ongedocumenteerde manier aan elkaar zijn geknoopt heb je een financiele (digi-)consultant En een crm (digi-)consultant nodig. Bij de eindgebruikers kunnen ze nagaan hoe ze werken en welke informatie ze wensen uit het systeem te krijgen. Maar voor de achterliggende technische architectuur zijn ze afhankelijk van de aanwezige IT, die dit vaak niet meer in z'n totaal kan aanleveren. Dus moeten beide consultants zelf bij elkaar gaan zitten en uitzoeken hoe de digitale spagetti-bende in elkaar verworven zit etc. etc etc. ofwel -> ongewenste kostenpost
Het zou nog goedkoper zijn om geheel van scratch te beginnen...., maar niemand vind het leuk om weer 'terug te moeten naar start' om het wiel opnieuw uit te vinden -> We hebben al een wiel en hij draait, waarom iets fixen wat niet kapot is?
Omdat er bij dit wiel vergeten is dat alle handelingen door de eindgebruikers gelogd moeten worden!
Maar dan moeten we het wiel opnieuw uitvinden en dat willen we niet, dus conclusie: onmogelijk.

Tja, je zet jezelf als directeur(tje) wel voor lul dit soort uitspraken te maken. En nog erger, hij komt er nog mee weg ook .

En, zoals al gezegd, dit is speelt niet alleen bij de belastingdienst, bij de banken die werldwijd afhankelijk zijn van elkaar is het nog veel erger. (Het is hierdoor afwachten wanneer de volgende digi-bubbel gaat knappen, genoeg (digi-)mensen die het 'systeem' in z'n geheel niet eerlijk vinden en ook rijk willen zijn , dan wel terror/rebellen die het wereldwijd wat eerlijker willen en de boel saboteren).


Gelukkig kan ik nog m'n oude xp-systeempje erbij pakken als ik iets moet doen wat (nog) niet lukt in m'n windows 7 doos.
13-10-2018, 16:28 door Anoniem
Door karma4: Hier moet je de vraag stellen of het AP wetgever handhaver en rechter kan zijn. Zo stellen ze zich wel op.
Op grond waarvan vind je dat AP zich als rechter opstelt? Omdat hij straffen (boetes, dwangsommen) op kan leggen? Er zijn meer toezichthouders die dat kunnen, en dat is vergelijkbaar met de bekeuring die een politieagent uit kan schrijven. Of heb je er moeite mee dat de AP een interpretatie van de wet hanteert bij het uitvoeren ervan? Hoe zouden ze kunnen handhaven zonder te interpreteren? Je kan het oneens zijn met die interpretatie, natuurlijk, en als je erdoor benadeeld wordt kan je daarover in discussie met AP (omdat dat gebeurt duren procedures vaak zo lang) en uiteindelijk kan je het aan een rechter (niet AP maar een echte) voorleggen. Als die AP ongelijk geeft moet AP zijn interpretatie van de wet aanpassen.
Dat kan echt niet op zo'n manier het is onwettelijk en ondemocratisch.
De AP en zijn bevoegdheden zijn allemaal via wetsvoorstellen tot stand gekomen die door de tweede en eerste kamer zijn aangenomen.

Misschien moet je je bedenkingen tegen de AP eens goed onder woorden brengen en als juridische vraag aan Arnoud Engelfriet stellen.
13-10-2018, 21:22 door karma4 - Bijgewerkt: 13-10-2018, 21:44
Door Anoniem:
Misschien moet je je bedenkingen tegen de AP eens goed onder woorden brengen en als juridische vraag aan Arnoud Engelfriet stellen.
Een advocaat met een mening is geen expliciete juridische onderbouwing. Net zo min als een professor als Bart Jacobs de onfeilbaar is. Voor Bart Jacobs is het mij onbegrijpelijk dat: ".... als dat waar is dan …" als wetenschap gezien wordt zonder de als ,,, en dan … inhoud te geven. Zoiets heet framing.

Terug naar het AP Zie mijn post 12 oktober (Gisteren) , 12:33 door karma4.
Dat zijn wetten waarbij het AP die overtreedt, heb je daar een weerlegging van dan zie ik daar graag een onderbouwing van.
Het AP wordt op het moment als de onfeilbare instantie gezien. Zo gaat het ook het nieuws in, dat betekent dat er een publieke schuldig verklaring is voordat er een rechtsgang.is. Zoals je zegt met een verkeersboete of wat dan ook. Echter het belangrijke verschil is dat er geen publieke openbaarheid aan die zaken gegeven wordt.

Een in dit kader. https://linkeddata.overheid.nl/front/portal/document-viewer?ext-id=ECLI:NL:HR:2018:958 De rvu regeling zoals die ook bij de belastingdienst speelde. De uitspraak van de hoge raad betekent dat die boete van de BD aan zichzelf onterecht was. Intussen is er in de publieke opinie het beeld geschapen van een onterechte riante vertrekregeling. Hoe ga je die schade repareren?

Als je de zelfde anoniem bent als 12 okotober Gisteren , 09:26 door Anoniem
Overweging 74
Prima verwijzing. De verwerkingsverantwoordelijke is in dit geval de DG bd (jaap Uilenbroek). Het is echter het AP die ineens op de stoel van de verwerkingsverantwoordelijke gaat zitten. Ze eisen dat elke benadering alsof het enkel interactief transactie gebruik gelogd wordt.
Gisteren, 23:39 door Eric-Jan H te A
Veel van de bevragingen bij de belastingdienst zijn batchjobs welke administratief worden aangevraagd en door een productiemedewerker worden gestart. Technisch is dus die medewerker de bevrager. Maar functioneel heel iemand anders

Hetgeen ik ook eerder beweerd hebt, dat gebruik is niet enkel met transacties. Veel meer batch en met papieren dossiers. Een toezichthouder die op de stoel van de operatie gaat zitten maar die niet begrijpt is onbegrijpelijk.

artikel 33 lid 5
Deze komt na artikel 32 waarbij de verwerker passende nivo's voor de afscherming van de geclassificeerde data heeft vastgelegd je komt dan op de ISO27k, Bir tnk as maatregelen.
Het is niet acceptabel om een bij voorbaat schuldig uitspraak in te zetten.
De rechtspraak gat uit van onschuldig tenzij.

Voor die inrichting en maatregelen moet je bij een CSO zijn. Nu wordt deze interessant. Wiet had de rol van CSO?
https://www.rijksoverheid.nl/binaries%2Frijksoverheid/documenten/rapporten/2017/10/02/bijlage-3-eindrapport-onderzoek-handboek-beveiliging-belastingdienst/bijlage-3-eindrapport-onderzoek-handboek-beveiliging-belastingdienst.pdf
14-10-2018, 09:26 door -karma4
Door Anoniem:
Door karma4: Duidelijk doel, open vizier.
Misschien was je doel duidelijk, maar een "met voorbedachte opgezette val van mijn kant" is geen open vizier. Daar was het een reactie op.

+1

Maar volgens mij is dat 'met voorbedachte opgezette val' niks meer dan ordinaire spin-doctoring. Van het zoveelste voorbeeld van zijn onvermogen om (technische) zaken te bevatten...
14-10-2018, 09:40 door karma4
Door The FOSS:
+1
Maar volgens mij is dat 'met voorbedachte opgezette val' niks meer dan ordinaire spin-doctoring. Van het zoveelste voorbeeld van zijn onvermogen om (technische) zaken te bevatten...
Het is het inleven hoe de ander denkt en daar proactief op zien te acteren.
Dat moet je zien te combineren met een klantgericht doel. Het iets wat in de OSS omgeving ontbreekt. Het excuus van L.Torvald om overdreven ongenuanceerd negatief te reageren. Als dat het toonbeeld van onkunde is, het zij zo. Overigens gaat hij een verbeteringscursus doen.
Voor dit draadje voegt het weinig toe, dus wat is je doel? Niet van een GDPR AVGU om processen (die kloppen op DG nivo niet) dan wel dat het AP onwettelijk onkundig bezig is.
14-10-2018, 12:39 door Anoniem
Door karma4:
Door The FOSS:
+1
Maar volgens mij is dat 'met voorbedachte opgezette val' niks meer dan ordinaire spin-doctoring. Van het zoveelste voorbeeld van zijn onvermogen om (technische) zaken te bevatten...
Het is het inleven hoe de ander denkt en daar proactief op zien te acteren.
Want "de aanval is de beste verdediging"? Je doet niet zozeer aan inleven, maar aan wildbezweet inbeelden van wat er niet, en verdraaien van wat er wel gezegd is. Factueel ben je ook niet erg sterk, maar daar "pro-actief" iets aan proberen te doen levert vooral meer van hetzelfde op.


Overigens gaat hij een verbeteringscursus doen.
Ah, de "verbetercursus", liefst gegeven door "je slachtoffers".

Voor dit draadje voegt het weinig toe, dus wat is je doel?
Volgens mij ben jij de eerste die dat er aan de haren bijsleept.
15-10-2018, 13:25 door Anoniem
Door karma4:
Door Anoniem:
Misschien moet je je bedenkingen tegen de AP eens goed onder woorden brengen en als juridische vraag aan Arnoud Engelfriet stellen.
Een advocaat met een mening is geen expliciete juridische onderbouwing.
Proest! Je loopt de autiteit uit te hangen op kennisgebieden waar je helemaal niet voor door hebt geleerd en je zet iemand die dat wel heeft gedaan even aan de kant met de mededeling dat dat maar een mening is? Op basis waarvan zou ik moeten accepteren dat jij meer dan jouw meningen loopt te verkondigen? Hoe arrogant kan je wezen, karma4!

Terug naar het AP Zie mijn post 12 oktober (Gisteren) , 12:33 door karma4.
Dat zijn wetten waarbij het AP die overtreedt, heb je daar een weerlegging van dan zie ik daar graag een onderbouwing van.
Onderbouw zelf eerst eens waarom de AP wél die wetten overtreedt. Je eeste citaat (GDPR artikel 87) stelt in klare taal dat lidstaten "specifieke voorwaarden voor de verwerking van een nationaal identificatienummer" kunnen stellen. Dat heeft Nederland inderdaad gedaan. Daarmee is het belang dat de AP aan het BSN hecht geen eigen interpretatie maar die van de Nederlandse wetgever, en die heeft daarmee iets toegevoegd dat de GDPR uitdrukkelijk mogelijk maakt. Dit is geen argument voor jouw positie dat de AP een eigen interpretatie van de GDPR hanteert, het is een argument dat onderbouwt dat de AP zich aan zijn opdracht houdt.

Bij je mening dat het BSN in het BTW-nummer van ZZP'ers niet strookt met artikel 12 WABP negeer je dat opnieuw. Dat de wetgever restricties stelt aan het verwerken van het BSN wil niet zeggen dat de wetgever daarmee aanneemt dat het altijd goed gaat. Het is een gegeven dat in de imperfecte werkelijkheid het BSN voor identiteitsfraude wordt misbruikt. Maatregelen om de schade te beperken zijn legitiem en zinvol, zelfs als je op basis van bepaalde wetten terecht kan stellen dat het eigenlijk niet mis zou moeten gaan. Defence in depth zal een term zijn die je wel vaker hebt gehoord, je vertrouwt niet op één maatregel maar je neemt er meerdere, zodat bij het falen van de ene maatregel de ander kan helpen de schade op te vangen. De wetgever is verstandig genoeg om dat toe te passen.

Een in dit kader.
Zal ik die zin even afmaken? Een in dit kader totaal irrelevant schijnargument dat niets met het onderwerp te maken heeft.

Als je de zelfde anoniem bent als 12 okotober Gisteren , 09:26 door Anoniem
Overweging 74
Prima verwijzing. De verwerkingsverantwoordelijke is in dit geval de DG bd (jaap Uilenbroek). Het is echter het AP die ineens op de stoel van de verwerkingsverantwoordelijke gaat zitten.
De GDPR stelt de verwerkingsverantwoordelijke verplicht om passende en effectieve maatregelen te nemen en te kunnen aantonen dat die goed zijn toegepast. De AP doet niets meer of minder dan eisen dat de Belastingdienst zich daaraan houdt. Daarmee gaan ze niet op de stoel van de verwerkingsverantwoordelijke zitten maar op de stoel van de toezichthouder die een verwerkingsverantwoordelijke op zijn plichten wijst. AP doet precies wat AP moet doen.

artikel 33 lid 5
Deze komt na artikel 32 waarbij de verwerker passende nivo's voor de afscherming van de geclassificeerde data heeft vastgelegd je komt dan op de ISO27k, Bir tnk as maatregelen.
Het is niet acceptabel om een bij voorbaat schuldig uitspraak in te zetten.
De rechtspraak gat uit van onschuldig tenzij.
De Taskforce Bestuur & Informatieveiligheid Dienstverlening beschrijft expliciet logging als instrument bij onder meer beveiligingsincidenten, en heeft het daarbij over gebeurtenissen die in de logs dienen te worden opgenomen op basis van minimale eisen die de BIR aan logging stelt. Er is hier geen sprake van de Belastingdienst bij voorbaat schuldig te verklaren, er is aangetoond dat de Belastingdienst niet aan de geldende eisen voldoet.
https://www.cip-overheid.nl/wp-content/uploads/2018/01/BID-Operationale-producten-BIR-015-Logging-beleid-1.0.pdf
Het valt binnen de bevoegdheden van om de Belastingdienst daarop aan te spreken. Daarmee gaan ze niet op de stoel van een rechter zitten, daarmee voeren ze hun taak als toezichthouder uit. De rechter komt eraan te pas als een van de betrokken partijen naar de rechter stapt hierover.
15-10-2018, 22:54 door karma4
Door Anoniem:
Proest! Je loopt de autiteit uit te hangen op kennisgebieden waar je helemaal niet voor door hebt geleerd en je zet iemand die dat wel heeft gedaan even aan de kant met de mededeling dat dat maar een mening is? Op basis waarvan zou ik moeten accepteren dat jij meer dan jouw meningen loopt te verkondigen? Hoe arrogant kan je wezen, karma4!
Het is mijn werkveld waar ik voor geleerd heb en met veel ervaring heel goed weet wat er speelt en gebeurt.
Het is een toonbeeld van arrogantie als een advocaat, de koning van Siam dan wel een thuishobbyist dat probeert aan te vechten en denkt het zelf te beter te weten. Gezien je reactie geloof ik niet dat je enige notie hebt.

Terug naar het AP Zie mijn post 12 oktober (Gisteren) , 12:33 door karma4.
Dat zijn wetten waarbij het AP die overtreedt, heb je daar een weerlegging van dan zie ik daar graag een onderbouwing van.

Onderbouw zelf eerst eens waarom de AP wél die wetten overtreedt.
De hele onderbouwing met de verwijzing naar de WABB artikel 12 (lees ook artikel 18) staat hierboven.
Je weigering om daarop in te gaan dan wel te ontkennen


Bij je mening dat het BSN in het BTW-nummer van ZZP'ers niet strookt met artikel 12 WABP negeer je dat opnieuw. Dat de wetgever restricties stelt aan het verwerken van het BSN wil niet zeggen dat de wetgever daarmee aanneemt dat het altijd goed gaat. Het is een gegeven dat in de imperfecte werkelijkheid het BSN voor identiteitsfraude wordt misbruikt. Maatregelen om de schade te beperken zijn legitiem en zinvol, zelfs als je op basis van bepaalde wetten terecht kan stellen dat het eigenlijk niet mis zou moeten gaan. … [/quote]Je ontken weer de inhoud van dat artikel 12 wabb. En geeft zelf aan dat de foute praktijk dat het niet houden aan de wet goed is. Hoe tegenstrijdig kan je zelf nog zijn. …

Dat gedrag van de nederlandse overheid is via de EHRM zaak bromet 7094/06 de Nederlandse overheid fout verklaard maar er is door NL overheid geen verandering aangebracht. Ken je die zaak niet … op zijn minst schandelijk.


Zal ik die zin even afmaken? Een in dit kader totaal irrelevant schijnargument dat niets met het onderwerp te maken heeft.
Het zich niet aan de wet door bijvoorbeeld het AP wil je niet als probleem maar hoort wel degelijk bij het onderwerp.

De GDPR stelt de verwerkingsverantwoordelijke verplicht om passende en effectieve maatregelen te nemen en te kunnen aantonen dat die goed zijn toegepast. De AP doet niets meer of minder dan eisen dat de Belastingdienst zich daaraan houdt.
Dan zouden ze zich moeten melden bij degeen die de CSO rol heeft dan wel CSO functie heeft. Dan vandaar verder.
Ik heb nog geen antwoord daarop gezien. Het AP heeft dat gemist. In het ADR rapport staan fraaie aanwijzingen.

Daarmee gaan ze niet op de stoel van de verwerkingsverantwoordelijke zitten maar op de stoel van de toezichthouder die een verwerkingsverantwoordelijke op zijn plichten wijst. AP doet precies wat AP moet doen.
...
Het valt binnen de bevoegdheden van om de Belastingdienst daarop aan te spreken. Daarmee gaan ze niet op de stoel van een rechter zitten, daarmee voeren ze hun taak als toezichthouder uit. De rechter komt eraan te pas als een van de betrokken partijen naar de rechter stapt hierover.
Ze gaan wel degelijk op de stoel van de verwerkingsverantwoordelijke zitten ze doen uitspraken over deelprocessen terwijl ze context nog samenhang overzien. Ik heb vaak genoeg de ISO27001 (hbb A) en ISO27002 (hbb b) en bir tnk aangehaald. De inhoud ken ik door en door en ik weet waar de problemen in het veld gewoonlijk optreden.
https://www.earonline.nl/index.php/BIR-Baseline_Informatiebeveiliging_Rijksdienst is een open ingang
https://www.nationaleombudsman.nl/system/files/bijlage/BIR_TNK_1_0_definitief.pdf Geeft je wel wat houvast. Het volgt de iso27002 maar heeft specifieke zaken voor operationele invulling.

Kijk even naar 7.2, dat is de basis en daarmee ga je verder. Met 10.2 en 10.3 wordt het interessanter daar staat welke afspraken en met welke details er gewerkt moet worden.
De details met auditing, 10.10 beschrijft dat die aangemaakt horen te worden etc . etc . Er staat overal dat het gedocumenteerd hoort te worden. 11.2 betreft de toegangsrechten 11.2.2 is een specifiek deel let even goed op 1,2,3.
Dat is het stuk waar ik de OS nerds gewoonlijk gebrek aan besef van de beveiligingsvraag verwijt.
12.5.3 is een problematische als die gebruikt wordt om alle andere richtlijnen als niet relevant te beschouwen. De externe leverancier geeft aan dat we niet aan de beveiligingsnorm hoeven te voldoen.

Met als deze achtergronden ervaring en kennis en dan het weinige wat het AP loslaat kan ik er niets anders van maken dat het AP gewoon fout zit. Ergens een detail er uit gehaald en dat als het enige kunnen bevatten en het geheel missen.
Je hebt echt persoonlijke accounts nodig in de hele keten van de verwerkingen om behoorlijk logs te kunnen krijgen.
Daarbij is het password/toegangs beheer voor die systemen op een achterliggend iets wel van belang bij het uitgeven maar niet als opschoning als gebruikers weg gaan.
Het is een voorbeeld waar het AP het foute gedrag toont om als verwerkersverantwoordelijke op te willen treden en als handhaver en als rechter. Vermoedelijk zijn er nog wel meer.
16-10-2018, 08:15 door -karma4
Door karma4: Dat is het stuk waar ik de OS nerds gewoonlijk gebrek aan besef van de beveiligingsvraag verwijt.

Dat zeg je tegen jezelf als je in de spiegel kijkt en Microsoft Windows promoot?
16-10-2018, 08:21 door Anoniem
Door karma4: Het is mijn werkveld waar ik voor geleerd heb en met veel ervaring heel goed weet wat er speelt en gebeurt.
Het is een toonbeeld van arrogantie als een advocaat, de koning van Siam dan wel een thuishobbyist dat probeert aan te vechten en denkt het zelf te beter te weten. Gezien je reactie geloof ik niet dat je enige notie hebt.
Dit is precies de arrogantie waar ik je op aanspreek. Je snapt kennelijk nog niet eens dat een jurist niet automatisch een advocaat is (of je doet aannames over zijn cv) en je denkt dat je die gelijk kan stellen met een thuishobbyist en dat je het zelf beter weet.

Dat je een hoop ervaring met sommige zaken hebt zal waar zijn, maar dit soort uitspraken maakt duidelijk dat je totaal geen respect hebt voor de kennis en ervaring van anderen maar wel eist dat anderen jouw kennis en ervaring respecteren, en zelfs boven die van wie dan ook stellen.
Je ontken weer de inhoud van dat artikel 12 wabb. En geeft zelf aan dat de foute praktijk dat het niet houden aan de wet goed is. Hoe tegenstrijdig kan je zelf nog zijn. …
Het BSN wordt voor identiteitsfraude misbruikt ondanks regels als artikel 12. Dat is verkeerd, maar het is wel een gegeven waar wij en de overheid mee te maken hebben. Een aanvullende maatregel die langs een andere weg het misbruik vermindert ontkent niet dat die andere regels gelden, het erkent alleen dat die niet alle ellende afvangen. Een aanvullende maatregel kan bijdragen aan het doel om misbruik zoveel mogelijk tegen te gaan.

Jij lijkt niet capabel te zijn om te bevatten dat je maatregelen kan stapelen zonder dat dat ze tegenstrijdig maakt, je ziet een aanvullende maatregel kennelijk als een ontkenning van de andere maatregelen en bouwt daar het idee op dat allerlei overheden zich zelf niet aan de wet houden, en dat doe je door de ene wet of het ene wetsartikel tot allesbepalend te bombarderen en een ander af te doen als niet ter zake. Alleen zijn het allemaal wetten die gelden, dat jij tegenstrijdigheden meent te zien wil niet zeggen dat jij daarmee voor het zeggen hebt wat wel en niet van toepassing is. Het is uiteindelijk aan de rechter om die afweging te maken en voor het zover komt heeft een toezichthouder als AP de bevoegdheid om toezicht te houden. En die ontkomt er niet aan wetten te interpreteren, elke betekenis die wie dan ook waar dan ook in leest komt door interpretatie tot stand.

Het zich niet aan de wet door bijvoorbeeld het AP wil je niet als probleem maar hoort wel degelijk bij het onderwerp.
Alleen linkte je naar een zaak die over loonbelasting ging. Dat ook overheden wel eens voor de rechter worden gesleept en verliest is bekend, dat voegt niets toe. Als dat nooit zou gebeuren zou je ernstig aan het functioneren van de rechtstaat moeten gaan twijfelen. Het is bij dit onderwerp daarom irrelevant.

Ze gaan wel degelijk op de stoel van de verwerkingsverantwoordelijke zitten ze doen uitspraken over deelprocessen terwijl ze context nog samenhang overzien. Ik heb vaak genoeg de ISO27001 (hbb A) en ISO27002 (hbb b) en bir tnk aangehaald. De inhoud ken ik door en door en ik weet waar de problemen in het veld gewoonlijk optreden.
https://www.earonline.nl/index.php/BIR-Baseline_Informatiebeveiliging_Rijksdienst is een open ingang
https://www.nationaleombudsman.nl/system/files/bijlage/BIR_TNK_1_0_definitief.pdf Geeft je wel wat houvast. Het volgt de iso27002 maar heeft specifieke zaken voor operationele invulling.

Kijk even naar 7.2, dat is de basis en daarmee ga je verder. Met 10.2 en 10.3 wordt het interessanter daar staat welke afspraken en met welke details er gewerkt moet worden.
De details met auditing, 10.10 beschrijft dat die aangemaakt horen te worden etc . etc .
Je hebt alweer een document aangehaald dat je positie niet onderbouwt maar dat je ongelijk aantoont. Je haalt van alles aan maar mist op de een of andere manier net dit uiterst relevante stukje:
10.10.1. Aanmaken audit-logbestanden
Activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurtenissen behoren te worden vastgelegd in audit-logbestanden. Deze logbestanden behoren gedurende een overeengekomen periode te worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole.
Zo expliciet staat er dat logbestanden verplicht zijn. De Belastingdienst mist dergelijke logbestanden en voldoet hier dus niet aan.

Met als deze achtergronden ervaring en kennis en dan het weinige wat het AP loslaat kan ik er niets anders van maken dat het AP gewoon fout zit. Ergens een detail er uit gehaald en dat als het enige kunnen bevatten en het geheel missen.
Alleen is het detail dat ik er net uithaalde en dat jij oversloeg een keiharde verplichting. Die verzint het AP niet, dat is een voorschrift waar ook de Belastingdienst aan moet voldoen. Dat dat detail onderdeel is van een groter geheel betekent niet dat het niet geldt. Het staat er omdat het wél geldt. Als jij er desondanks niets anders van kan maken dan dat het niet geldt dan twijfel ik aan jouw vermogen om dingen goed op een rijtje te zetten. Het lijkt er meer op dat jij door de bomen het bos niet meer ziet en jezelf hardnekkig wijsmaakt dat je dat vermogen wel hebt en de rest van de wereld dus wel fout moet zitten. Maar wat ik net citeerde staat er echt, karma4, audit logs zijn een keiharde verplichting.

Het is een voorbeeld waar het AP het foute gedrag toont om als verwerkersverantwoordelijke op te willen treden en als handhaver en als rechter. Vermoedelijk zijn er nog wel meer.
Nee, de AP constateert dat de verwerkingsverantwoordelijke niet aan de eisen voldoet die aan hem gesteld worden en die heel duidelijk in een document staan waar je zelf naar linkt. Als toezichthouder mag het AP daar wat van vinden, eisen dat ze aan de regels voldoen en zo nodig boetes of dwangsommen opleggen. Daarmee stellen ze zich niet als rechter op, net zo min als een politieagent die een bekeuring uitschrijft voor een verkeersovertreding zich daarmee als rechter opstelt. Handhavers hebben bevoegdheden, weet je? En als iemand vindt dat de handhaver zijn boekje te buiten is gegaan dan kan die (als bezwaarschriften het niet oplossen) naar de rechter stappen voor een onafhankelijk oordeel. En dan kom je bij een echte rechter terecht, niet meer bij het AP. Het zijn dus rechters die optreden als rechter, AP treedt op als toezichthouder.
16-10-2018, 08:37 door karma4
[Verwijderd door moderator]
16-10-2018, 14:26 door -karma4 - Bijgewerkt: 16-10-2018, 14:29
[Verwijderd door moderator]
16-10-2018, 17:08 door karma4
[Verwijderd door moderator]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.