Doe de betrokkenen maar een schadevergoeding van zeg 5k ofzo. En dat uiteraard betalen uit het salaris van de verantwoordelijke (mis)managers.
Het feit dat het überhaupt mogelijk is om met 1 account zoveel CVs te downloaden, geeft al aan dat er niet over beveiliging nagedacht is.

Mocht het inderdaad gaan om een gehackt werkgevers account, dan kan ik mij niets anders voorstellen dat het verplicht gebruik van 2FA dit wellicht had kunnen voorkomen. Dat maakt het nog boeiender om te zien wat de toezichthouder hier van vind, immers ligt er al een last om dit te implementeren bij het UWV nadat de werkgeversportaal enkele jaren geleden als onvoldoende veilig is verklaard ( https://autoriteitpersoonsgegevens.nl/nl/nieuws/uwv-overtreedt-wet-bij-verzuimbeheer-en-toegangsbeveiliging-werkgeversportaal uit 2017 ).

Tegelijk denk ik dat juist dit geval laat zien hoe waardeloos het toezicht is van de AP. Als ze namelijk 2 jaar geleden gewoon boetes hadden uitgedeelt, in plaats van pappen en nathouden, had dit eerder opgelost geweest en er nu geen datalek plaats gevonden. Laten we daarom ook kritisch kijken naar de aanpak van de toezichthouder en in dit geval concluderen dat de huidige aanpak gefaalt heeft om risico's in te perken.

@Acrimony: in reacties op het Tweakers artikel hierover [1] las ik een verwijzing naar een eerder Tweakers artikel [2]. Uit die reacties en [2] maak ik op dat 2FA al mogelijk is, maar per 1 november 2019 verplicht wordt voor werkgevers (met een last onder dwangsom van de AP als stok achter de deur als dat dan nog niet gerealiseerd is). Security.nl berichtte hier toen oom over, zie o.a. [3], [4] en [5].

Maar daarmee los je niet het probleem op dat "werkgevers" (en wie daar allemaal voor door kunnen gaan) privacygevoelige gegevens kunnen verzamelen. Zelfs als je het aantal via 1 account te downloaden CV's beperkt tot bijv. 1000 per jaar kan daarmee aanzienlijke schade worden aangericht, terwijl zo'n maatregel waarschijnlijk te omzeilen valt door meerdere accounts te gebruiken.

Het fundamentele probleem hier is dat CV's, zoals wij die nu kennen, worden gedeeld - zonder dat de eigenaar weet wie die gegevens allemaal verzamelt. Ik denk dat we naar een systeem van beperkte CV's toe moeten waarin alleen ervaring, opleidingen en interesses staan - zonder de bijbehorende persoonsgegevens. Die zouden dan moeten worden verstrekt bij bijv. het eerrste sollicitatiegesprek.

Ik schrijf dit als leek op dit gebied, wie weet bestaan dit soort ideeën allang. Maar ik denk wel dat er iets moet veranderen, zop deze manier privacygevoelige gegevens strooien is niet meer van deze tijd - omdat het risico op identiteitsfraude levensgroot is.

[1] https://tweakers.net/nieuws/152404/criminelen-downloaden-117000-cvs-van-uwv-via-werkgeversaccount.html
[2] https://tweakers.net/nieuws/145103/uwv-stelt-pas-eind-2019-meerfactorauthenticatie-in-voor-online-portaal.html
[3] https://www.security.nl/posting/584914/AP+dwingt+UWV+om+werkgeversportaal+beter+te+beveiligen
[4] https://www.security.nl/posting/585000/UWV%3A+betere+beveiliging+werkgeversportaal+voor+1+november+2019
[5] https://www.security.nl/posting/589010/UWV+voorziet+werkgeversportaal+van+inlogmiddel+eHerkenning

Dat heb ik geprobeerd om te doen met het UWV CV. Mocht niet van de ambtenaar: moest met minimaal NAW gegevens, geboortedatum, telefoonnummer en e-mailadres. Als dat er niet in stond werd het CV als onvoldoende beoordeeld en volgt een korting van je uitkering. Van anderen hoor ik dat andere ambtenaren andere "regeltjes" erop na hielden. Erg fijn.

Maar goed, dat zoiets een keer stond te gebeuren was al wel een duidelijk iets. De reactie van het UWV slaat echter helemaal nergens op. Elke getroffen werkzoekende heeft de volgende mail gekregen:

Subject: Wees alert op spam en phishingmail

Geachte heer/mevrouw,

UWV vindt het belangrijk dat uw gegevens in goede handen zijn. Onlangs zijn er via werk.nl meerdere CV’s gedownload, zo ook uw CV. De CV’s zijn gedownload op een manier die afwijkt van andere werkgeversaccounts. Het gaat in deze situatie om een ongebruikelijk hoog aantal CV’s die op geautomatiseerde wijze zijn gedownload. Het kan daarom voorkomen dat uw gegevens bijvoorbeeld gebruikt worden voor spam en/of phishingmails. Staan er contactgegevens in uw CV? Wees de komende tijd dan extra alert en voorkom dat u slachtoffer wordt van internetcriminaliteit.

Wilt u meer weten over spam en/ of phishingmails en hoe u deze kan herkennen? Kijk dan op de site van fraudehelpdesk.nl.

Heeft u vragen? Log dan in op werk.nl en stuur uw vraag via de Werkmap.
Wij beantwoorden uw vraag zo snel mogelijk.

Met vriendelijke groet,
Team werk.nl

Let vooral op de dikgedrukte stukken. Nergens wordt er gesproken over je persoonlijke gegevens die bij een ander liggen en dat ze dat toch wel heel erg vinden, nergens excuses, en als onderwerp een waarschuwing voor spam en phishing. Ik had het mailtje bijna weggeklikt, want ik let toch wel op.

En dan eerst het hebben over "meerdere CV's" (dan denk ik aan 5, 10, misschien iets meer), daarna over "ongebruikelijk hoog aantal" - dan denk ik, incombinatie met de eerdere term aan 50, 100. En vervolgens lees je in de media dat het om 117.000 over een periode van 2 weken gaat, waarbij er in Nederland op dit moment ca 329.000 werkelozen zijn, zeg maar 1 op de 3 werkzoekenden is getroffen.

En het UWV waarschuwt je vervolgens voor spam en phishing, terwijl de dader rondloopt met een partij data waar hij normaal gesproken veel langer voor nodig heeft om dat via social engineering buit te maken. Hoeveel controles (telefonisch bijv.) worden er niet gedaan aan de hand van geboortedatum of postcode/huisnummer? En ook "wat was je eerste baan" of "waar heb je op school gezeten" wordt nog weleens als controlevragen opgevoerd.

Ga maar weer bagatelliseren medewerkertjes van de roverheid.
Misschien de gedupeerden een boete geven, zo werkt het hier toch!

@Bitwiper: je bedoelt 'n anoniem cv? Dat heeft een hele week in de belangstelling gestaan:

https://nos.nl/artikel/2257057-week-van-het-anonieme-cv-geen-naam-geen-leeftijd-geen-afkomst.html

Wellicht kunnen we het hele jaat 2019 daaraan wijden.

Het lost zeker het probleem niet op dat er veel gevoelige privacy gegevens verzameld kunnen worden, maar het had wel mogelijk geweest om direct een schuldige aan te wijzen. Nu het er op lijkt dat het account gehackt zou zijn geweest gaat het lastig worden om dat te achterhalen. Met 2FA zou het dus wel een extra drempel opwerpen omdat het misbruik naar een persoon te herleiden is (of zou moeten zijn).

Verder ben ik het helemaal met je eens wat betreft rate limits en data minimalisatie in CV's, gelukkig doe ik dat laatste zelf ook al een tijdje om de impact van dit soort dingen tegen te gaan ;)

Dat, maar nog veel belangrijker lijkt me dat er kennelijk niets is gedaan aan schadebeperking bij het compromitteren
van accounts.
Op het moment dat je een werkgever de mogelijkheid geeft om te grasduinen in de persoonlijke gegevens van je klanten,
dan zorg je toch dat die toegang beperkt is tot wat er nodig is voor die werkgever?
Ik bedoel, als een werkgever CV's kan downloaden dan beperk je dat tot "een redelijk aantal".
Ik weet niet hoe ze deze 117000 CV's hebben kunnen selecteren voor download, maar ik zou hopen dat dit niet gaat
door ze gewoon uit de grote lijst van alle beschikbare CV's te selecteren, maar dat je eerst "zoekcriteria" moet geven
om relevante CV's terug te krijgen. Op het moment dat zo'n zoekcriterium een idioot groot aantal matches geeft kun
je toch gewoon een melding "geef meer specifieke zoekcriteria" terug geven?
En zelfs als je dan bijvoorbeeld meerdere keren zoekt, dan kun je toch een quota zetten op hoeveel CV's je werkelijk
mag downloaden per maand ofzo?

Dit heeft veel weg van de discussie die hier al eerder gevoerd is rond de situatie dat agenten zeer veel zoekacties
in registratiesystemen kunnen doen. Er komen altijd mensen met "maar dat kan soms nodig zijn dus dat kunnen we
niet gaan blokkeren" maar als je dan ziet om welke aantallen het vervolgens gaat dan is het niet redelijk om te
stellen dat dat "soms mogelijk moet zijn" dus is de werkelijkheid dat men gewoon te lui was om een dergelijke
limitatie er in te programmeren, laat staan om dan te gaan afwegen wat die limiet dan zou moeten zijn voor wie.

Kennelijk is er zelfs geen redelijk werkend waarschuwingssysteem voor ongebruikelijke acties, want het werd pas na
2 weken ontdekt, waarschijnlijk omdat er ergens performance problemen waren of een logfile vol liep ofzo. Zo iets
moet natuurlijk al veel eerder ergens duidelijk worden in een monitoringsysteem.

Ik heb 3 jaar bij het UWV ingeschreven gestaan (rond 2010), maar de ICT-chaos was in die dagen al zó groot, dat ik besloot na het beëindigen van mijn WW-uitkering het volledige profiel, met CV en alle sollicitaties te deleten via de delete-knop op de website WERK.NL. Ik had totaal geen vertrouwen in de ICT-capaciteiten daar. Het is dan logisch dat je dan bij jezelf zegt: "dan zal het met de security ook wel slecht gesteld zijn."

Negen jaar later kom je er dan achter dat er is ingebroken en dat de gedupeerden een e-mail hadden ontvangen van het UWV met de mededeling dat hun gegevens zijn gecompromitteerd.

Mijn aanbeveling is: zodra je niet meer bij een organisatie bent aangesloten, haal dan ogenblikkelijk je gegevens weg van de server, of laat dat doen.

Ik behoor daardoor gelukkig niet tot de groep van gedupeerden.

De situatie bij het UWV is tenenkrommend, maar ik geloof totaal niet dat je zo'n organisatie met een stevige boete wel even in het gareel krijgt. De problemen daar zijn groot en hardnekking omdat er structureel het nodige mis is, en die structuur is echt niet opeens goed als je hem een opdonder (boete) geeft.

@Acrimony: we zijn het eens denk ik ;-)

Ik moet wat rustiger lezen, want ik dacht te lezen "dat heeft de hele week..." en was verbaasd dat ik dat gemist had. Maar dat schreef je niet (I stand corrected 8-) en het artikel is van 30-10-2018.

Maar ook wat mij betreft hartstikke actueel, want gisteren heb ik mij bij de KvK ingeschreven als "ZZP-er" (eenmanszaak) nadat ik, na meerdere sollicitaties, zonder opgave van een duidelijke reden, werd afgewezen (terwijl ik zeer werklustig ben en een bak ervaring heb in relatie tot de functies waar ik op solliciteerde). Maar ja, ik ben 60...

Ik ga zeker niet naar de Geraniums staren, heb ook geen zin om m'n hand op te houden en loop al jaren met een idee rond - daar moet het dan nu maar eens van komen.

Gelukkig heb ik daardoor mijn CV niet naar UWV / werk.nl hoeven uploaden, want dat document ga ik voortaan als vertrouwelijk en als auteursrechtelijk beschermd classificeren, en erop aangeven dat het langer bewaren ervan dan de periode die ik bepaal, niet is toegestaan.

Ik ben het deze keer ook totaal oneens met Joost Schellevis, tech-journalist bij de NOS. In https://nos.nl/artikel/2283117-ruim-100-000-cv-s-illegaal-gedownload-bij-uwv.html schreef hij namelijk, naar aanleiding van het advies van UWV om alert te zijn op risico's zoals identiteitsfraude, spam en phishingmails:
Ik heb bewust geen LinkedIn account.

Hoewel ze het afraden (sic!) je cv te anonimiseren kan het wel op UWV-site werk.nl. Naar aanleiding van het bericht waar we nu over 'discuzeuren' heb ik dat direct gedaan. Het was overigens verlopen dus ik behoor niet bij die 117.000 slachtoffers. Als ik het UWV was zou ik een anoniem cv gewoon de standaard maken.

Ik begrijp het niet.
Het gaat om gegevens welke bedoeld zijn om door elke werkgever ingezien te kunnen worden. De gegevens zijn niet bedoeld om geheim te zijn of anderszins gevoelig van aard.
1/ Kennelijk is er kopie actie gestart om inhoud te analyseren en te modelleren, dat is niet zo bijzonder.
2/ Als het niet de bedoeling is dat een werkgevers account zoveel kan raadplegen dan had er een limiet op moeten zitten.
We zijn kennelijk op de weg dat het bekend zijn van een naam en werk een datalek is.
De NOS heeft een ernstig datalek. Joost Schellevis met naam genoemd heeft een artikel geschreven over UWV met naam genoemd etc. etc .

We hadden laatst een ernstig datalek Vodafone, bleek het om telnet te gaan van iets lang geleden.
Vervolgens kwam Cisco langs bleek het om ssh te gaan. Wat is het fud gehalte en wat is echt iets wat niet goed is?

Anoniem en onvindbaar zul je veel klanten krijgen... not.

Heel treurig hoe UWV met persoonsgegevens omgaat. Zo kunnen ze papieren post na meer dan twee jaar nog steeds niet op het juiste adres van mijn dochter afleveren. Zij is ook getroffen door de Hack. De getroffene wordt gemeld dat "CVs zijn buitgemaakt".

https://content.mailplus.nl/m5/links/uwv/txt520808/cvMxegDU2uX5Fb9

Terwijl zij volledige NAW en email gegevens heeft moeten invoeren in een geautomatiseerd systeem van werk.nl waaruit ze natuurlijk nog nooit benaderd is voor werk. Gesuggereerd wordt dat ze phishing-email zou kunnen ontvangen terwijl totale identiteitsfraude op de loer ligt.

Zou het een idee zijn dat UWV zich alleen nog met uitkeringsverstrekking bezig houdt?

Het betreft hier geen hack, maar een reguliere optie van het UWV om CV's te kunnen downloaden door een werkgever.

Dat komt vaker voor...
Het gaat niet om de gegevens van 1 persoon, maar om de schaal waarop deze zijn ingezien.
Dat is wel bijzonder, want dat is niet het doel van het verzamelen van de gegevens en het toegang geven voor
een werkgever.
Inderdaad, maar dat zat er niet op, waarschijnlijk omdat het ICT project voor 90% is bevolkt door manager-types zoals jij en niet door mensen die daadwerkelijk inzicht hadden in de problematiek en die dat soort specificaties hadden kunnen schrijven.
Als je denkt "een ACL is een goede beveiliging" dan krijg je dit soort dingen, immers er was wel geregeld wie er toegang mochten hebben maar niet in welke mate.
Nee het gaat niet om het bekend zijn van een naam, het gaat om het verzamelen van gegevens van 117000 mensen zonder noodzaak daartoe.


Nee er ontbreekt iets heel belangrijks in dat artikel: de naam van het bedrijf waarvan het account misbruikt is.
Met daarbij als kul-argument "ik wist hier niets van dus zal het wel iemand anders geweest zijn", "een derde" heet het
dan ineens.
Ik zou dat niet beweren voor er tot op de bodem is uitgezocht of het niet (een werknemer van) die werkgever zelf was, of een ICT partij die deze werkgever heeft ingeschakeld ofzo. Of dat hij de logingegevens niet zorgvuldig bewaard heeft.
Want dan is hij er wel degelijk zelf verantwoordelijk voor.
En doordat de naam van dit bedrijf niet openbaar gemaakt wordt kun je er als slachtoffer ook geen aangifte tegen doen.
Dat lijkt me niet goed.

Een grof schandaal, maar het was te verwachten dat zoiets bij het UWV vroeg of laat toch eens zou gaan gebeuren. De daders hebben ruim twee weken hun gang kunnen gaan. Hier is binnenkort meer identiteitsfraude door te verwachten.

Een aantal vragen komen bij mij op:

1. Waarom was het überhaupt mogelijk dat van 1 account van 1 werkgever zomaar meer dan 117.000 CVs kunnen worden gedowndload? Waarom zat daar geen 2FA-sleutel op en geen limiet op?

2. De brief van minister Koolmees, noch de afgegeven verklaring van het UWV, zegt niets over de aard van de beroepsgroep(en), of de genoten opleiding(en), van de getroffen groep van UWV cliënten.

3. De brief zegt ook niets of van de eventuele geanonimiseerde CV's daaronder wel of niet de namen en / of adresgegevens van de gedupeerde UWV cliënten door de daders te achterhalen waren. Dat valt namelijk nog te bezien.

Het kan van maatschappelijk belang zijn te weten of juist de informatie van een bepaalde beroepsgroep(en) door de criminelen is verzameld, dus of dat er heel gericht is gezocht naar personen met een bepaalde achtergrond.

Dat zou een aanwijzing kunnen geven over de risico's die die beroepsgroep(en) door deze vorm van computermisdaad loopt. Een gewaarschuwd mens telt immers voor twee. En wie was die werkgever?

Veel vragen dus. Iets voor platform Investico voor het indienen van een Wob-verzoek?

Het was de bedoeling om alle uitkeringen te minimaliseren tegen zo laag mogelijke kosten.
Voor zover ik het kon nagaan is 80% van de geldstroom bij het UWV door ziektes, aandoeningen waardoor de situatie is van niet kunnen werken. 20% gaat om werkeloosheid met de cv's.
Met die werkeloosheid wordt het probleem om mensen aan het werk te krijgen naar gemeentes verlegd. Deze willen graag mensen werkervaring op laten doen bij bedrijven met de voorwaarde "behoud van uitkering".
Dan kan je de situatie krijgen dat je voor onder het minimumloon het zelfde werk moet gaan doen waar je eerder een goed salaris voor kreeg. Zoiets het bezuiniging, ik noem het ernstige schending van integriteit en privacy.

Ja eens. Normaal bedoelde functionaliteit waar nu het enige afwijkende is dat hoe aantal opvragen.

Dat zou ik niet zo beweren. De werkgever, van wie de account was, zou immers van niets af geweten hebben. Het zou goed kunnen dat de PC werkplek, of het intranet van de werkgever, was gehackt, met het doel van het plegen van deze inbraak bij het UWV. Noch de kamerbrief van Koolmees noch de verklaring van het UWV geeft daar enige informatie over.

De gedupeerden een boete geven? Waar slaat dat op? Even afgezien dat iedereen je "roverheid" gezeur nu wel zat is, je hebt zo langzaamaan je punt gemaakt.

Volgens mij wel een hack want de betreffende werkgever wist er niets vanaf dus er is duidelijk iets in zijn bedrijf niet volgens de regels gegaan. Het is geen hack in de zin van lekke software.

Het waren altijd al van die schapen bij de werkverschaffing, ook al voordat dit werd overgedragen aan het UWV.
Het zal wel met traditie te maken hebben: "Zo hebben wij het altijd gedaan, dus zo hoort het en zo moet het. Punt".
En o,o het geld dat je toch niet moet laten liggen als je het zo kunt krijgen in ruil voor het tentoonstellen van je cv-gegevens inclusief persoonsgegevens en weet ik wat. Via toen nog onbeveiligde e-mail uiteraard, want dat werd geadviseerd of zelfs noodzakelijk geacht door de werkverschaffing.
Maar ondertussen geen enkel oog hebben voor veranderde tijden, de risico's van ICT en het rondstrooien van persoonsgegevens. Zo waren er toen terroristen actief en moest je nog oppassen wanneer je volgens je c.v. had gewerkt voor een bedrijf dat bij hun niet in de smaak valt.

Ik hoop op een torenhoge boete van het AP of is dit gewoon geld taxpoet rondpompen tussen overheidsinstanties onderling?

Als we pishing oplichting snelheidsovertredingen allemaal als hack gaan aanduiden ...hacccckers.
Dan veranderd dat woord weer in betekenis. Je geeft al aan dat het geen lekke software betreft.
Dat de betreffende werkgever gevraagd is, het kan de baas zijn die gebeld is terwijl er elders met dat account gewerkt is.
Ik zie niets als wat met een raci (responsible accountable consulted informed) afstemming te maken heeft.

Als er geen regels voor zijn kun je ze ook niet overtreden.
Ik mis de regel dat een werkgever niet meer dan x-aantal cv's mag opvragen.
Als de hack is als dat het niet voorzien anders gebruik is met gegevens die bereikbaar zijn, wat is dan het issue?

Ik wist ook niet dat je gisteren bij utrecht 30km te hard gereden hebt. Dat hoef ik niet te weten, ik was er niet, dus maak ik me er niet druk om.

Kijk, vroeger was er hier ook een zekere terughoudendheid met openbaar te maken wat iemand verdiende bijvoorbeeld.
Nu doet iedereen mee in het debat over de onder of boven de Balkenende norm bij TV presentatoren.

Moeten we overal de USA volgen met hun "alles uit de weg voor Big Commerce"?
Vroeger had je bij een Nederlandse overheidsdienst nog een Directeur Generaal,
een hoogste ambtenaar, die eind- verantwoordelijke was.

Diensten zijn na de privatiseringsexercities van de IJzeren Dame destijds uitgekleed tot op een klein romp-bureautje
en verder regeert het bedrijfsleven of diensten zijn afgestoten naar het bedrijfsleven.
Zelfs de regelgeving is er aan ondergeschikt gemaakt.

Snelle jongens als managers & CEO's nemen de beslissingen.
Deze hoeven alleen maar te presenteren voor de groot aandeelhouders (winstoptimalisatie en kostenbeperking)
(de staat is inmiddels ook een soort van bedrijf t.b.v. een nog grotere supranationale staat, EU)
en de CEO's en managers en soms politici komen vaak uit de rangen van de systeembanken e.d.

Slagers, die volop de eigen worst keuren derhalve en het toezicht is teruggedrongen
of tandeloos geworden waakhond.

Gaat het een keer goed fout gaat een minister door het stof maar blijft verder vastgekleefd aan het pluche.
Consequenties zijn er niet meer.

Kijk hier maar eens hoe zo'n privatiseringsslag op de cybersecurity van de overheid (negatief) uitwerken kan:
(zie Rotterdam als voorbeeld) hier: https://basisbeveiliging.nl/

De vraag is overal om met Juvenalis te spreken: "Quis custodiet ipsos custodes?".
Wie doet de eindcontrole en controleert die controleren?

luntrus

Dat die Joost Schellevis (NOS) zich een techredacteur durft te noemen.

Denk niet dat Schellevis de betreffende e-mail gelezen heeft. Als je dat informeren noemt, dat is meer de waarheid verdoezelen.

Nou Joost je meent het dat naw gegevens misbruikt kunnen worden. Morgen gaat Joost ons nog vertellen dat water nat is.

Een beetje weldenkend mens gebruikt die website helemaal niet. Je zou verwachten van een journalist dat hij wel weet waarom, maar nee dus.

Wat zou Gerard Timmer (NOS) eigenlijk denken als hij dit soort waardeloze stukjes leest?

Gelukkig heb ik CV ook anoniem staan maar er staat wel al mijn werkgevers in. De mijne wordt nu ook oneigenlijk gebruikt wat te wijten is aan van de incompententie van de overheid die wij heben laten onstaan.

Het plaatsen van een CV is een van de vele voorwaarden om een uitkering te kunnen aanvragen. Zelfs enkele workshops gehad van de gemeente hoe een CV te plaatsen bij het UWV. Wist al dat het bij het UWV het zooitje is wat keer op keer in de pers komt.

De uitnodiging voor die workshops waren verzonden door de ZZPer die ook de workshops gaf. Die had een adreslijst gekregen van de gemeente met onze namen en adressen.Tja zo gaat dat.

Dat het UWV geen controle heeft over de gegevens in de systemen en de systemen zelf is al jaren een feit. Ondanks zij al die gegevens hebben kunnen zij die niet effectief benutten.

Maar owee als klant een fout maakt wel van goede wil was maar het UWV lag plat dan zal die klant hangen.

Anoniem bestaat niet bij cv's tenzij er alleen een middelbare schooldiploma erop hebt staan en verder werkloos bent geweest. Aan de hand van een handjevol gegevens ben je meteen al uniek. Schoolsoort, plaatsnaam, diplomajaar, vervolgstudie en presto: je bent uniek.

Alle ingeschrevenen zouden hun cv's direct moeten verwijderen. Ook al moest je die erop zetten, ze hebben zelf zodanig gefaald in het ontbreken van een beveiliging dat deze eis onhoudbaar is.

Als je rondkijkt op werk.nl en wat voor vacatures daar staan, dan wordt het merendeel aangeboden door tussenpersonen. Daarvan kun je zo aflezen dat het geen echte vacatures zijn, de bedrijven/mensen erachter verzamelen cv's om die door te verkopen. Er zijn ook vacatures door bedrijven die duidelijk (ongevraagd) acquisitie doen voor echte vacatures. Andere plaatsnaam, andere functienaam, nog wat verzinsels en voila: weer een vacature erbij. Van de vacatures op werk.nl is de helft rotzooi.

Als je als slimmerik denkt met die gegevens wel iets goeds te kunnen en effectief te benutten dan maak je toch even een kopietje. Als het kan, dan mag het. Goede slimme adviezen om de match werkzoekend werkgever te leggen is big business. Het is lucratief met een goede verdienste.


Even een zijspoortje.
Er was ooit een tijd dat werkgevers investeerden in werknemers voor het beste resultaat voor beiden.
In de vaart der volkeren met de ijzeren dame moest dat investeren in werknemers door anderen gedaan worden zolang de eigen opbrengsten op korte termijn maar flink stijgen. een oud spreekwoord de kost gaat voor de baat.

Opmerkelijk hoe altijd weer gescholden wordt op die stomme overheid die niks van IT weet, terwijl die IT bij de overheid meestal gemaakt is door (ingehuurde medewerkers van) commerciële bedrijven.
Kennelijk is de overheid niet de enige die stom is op IT gebied.
Of is het wel prima om waardeloze spullen te leveren als je ervoor betaald wordt?

Als ik zelf een aanbouw maak en hij stort in dan ben ik stom. Maar als de aannemer dat bij mij doet dan ben ik ook stom?

@Anoniem 09:33: Ik ben zelf een van die ingehuurden geweest. Het probleem is doorgaans een aan alle kanten rammelend pakket van eisen bij de overheid. Functioneel voldoet het al niet eens aan de 6-jes mentaliteit (misschien een 4?), over beveiliging is helemaal niet nagedacht (nou ja, misschien een ACL ofzo en windoof heeft toch ook een password?).
Als je daarover begint, dan is het allemaal niet zo relevant en ze willen er vooral niet voor betalen.
Als je het probeert wat fatsoenlijker in elkaar te zetten, dan is het niet wat de betreffende manager voor ogen had en wordt het afgeschoten.

Keyword in het probleem: 'manager'.

Oplossing: manager worden, resultaat schade veroorzaker geworden. Hoe die cyclus van geen verbetering doorbreken?

Lees de excellente aan jou geadresseerde post van Anoniem (13:15) nog eens goed door...

Zo te zien van hetzelfde kaliber onafhankelijk nadenken als je zelf vaak toont. Hetgeen niet te begrijpen is:
- is dat het de bedoeling is dat je voor werk gevonden moet kunnen worden.
- dat als anderen er brood in zien om hetgeen het uwv niet lukt wel te doen, dat het dan een criminele hack is.

Geen enkel antwoord daarop. Die anoniem waar jij op doelt spreekt zichzelf aan alle kanten tegen. Bijvoorbeeld door het argument van schaal belangrijk te vinden. Nergens is schaal een maat voor goed/fout. Briolet heeft door dat het niet om een hack gaat. Big data fouten: Type A: hetgeen goed is, onterecht afkeuren, hetgeen fout is, onterecht goedkeuren.

Tja Linux OSS evangelisme, het om op de man willen spelen van niet gelijk gestemden om gelijk te halen, dat begrijp ik wel. Maar dat is nu echt een foute insteek, zeer onethisch. Typisch haddock stijl.

Dat is nu net de clou, het is precies de bedoeling dat werkgevers gegevens kunnen verzamelen om werknemers te kunnen selecteren. Geheel vanuit de overheid als beleid en voorwaarde voor een ww uitkering. Vrijwillig werkloos zijn is iets wat hierbij geen optie is.

Jouw opmerking over Linux OSS Evangelisme is totaal off-topic en slaat weer helemaal nergens op. Dat Kapitein Haddock en jij het niet eens zijn heeft er niets mee te maken.

Je begint uit het niets over Linux en OSS, zelfs terwijl het woord Microsoft nog helemaal niet gevallen is in dit topic. Beiden hebben er ook niets mee te maken.

Als er op de man gespeeld wordt zonder op de inhoud in te gaan, dan heeft dat er wel degelijk mee te maken.
Zoals je in je eigen reactie aangeeft met het er bij halen van microsoft. Het geeft aan de aanval op de persoon omdat ik in dat kamp van OSS linux adepten als een aan te vallen object gezien wordt. Zeer onethisch dat vast zitten in merken / geloof.

https://www.geenstijl.nl/5147490/cv-hack-117-000-mensen-riskeren-een-baan Bleek het helemaal geen 'hack' te zijn, maar een bedrijf dat graag wat makkelijk in de CV's wilde zoeken. Waren ze bij het UWV vergeten om in te bouwen.
Maar dat lees je dan net weer niet terug in het persbericht.

Die suggestie wil de auteur wekken, maar er wordt helemaal niets van bewijs aan gedragen. Daarnaast wordt in de brief aan de kamer gewezen op de mogelijkheid dat het betreffende account door een derde gebruikt zou zijn. Dat lijkt mij duidelijk een vorm van computervredebreuk en dan hoeven er echt geen quotes om het woord hack heen.

Daar komt dan nog eens bij dat als mensen hun CV op werk.nl zouden uploaden je opeens al je privacy rechten zou moeten opgeven en het maar moet accepteren als jan en alleman die CV's download voor wat voor reden dan ook. Naast dat ik mij kan voorstellen dat er een zekere doelbinding is in de voorwaarden (alleen CV's downloaden van potentiële kandidaten o.i.d.) gaat niemand er vanuit dat een derde partij deze CV's op zo'n manier zou verkrijgen. Je CV online op werk.nl zetten != je CV publiek online zetten.

Het zal ongetwijfeld een hoop clicks en reacties opleveren op geenstijl, maar ik hoop dat je begrijpt dat de werkelijkheid net even wat anders in elkaar zit dan hier wordt voorgedaan.

Het aantal cvs dat gedownload kan worden is niet het probleem.

Het problem is dat er geen correcte logging klaarblijkelijk bestaat

Als jij bewust geen linkedin account hebt dan moet je ook niet raar opkijken dat het moeilijk is om een baan te vinden.

Tegenwoordig kun je als ICTer niet meer zonder

Een fail voor wat betreft: Security by Design, Privacy by Design en het informatiebeveiligingsbeleid van de UWV in zijn geheel.

Maar of het technisch gezien een hack is?

Je zou ook maar, als zelfrespecterende overheid, multi-factor authenticatie invoeren, met een one time token, om te voorkomen dat credentials misbruikt kunnen worden door derden. Al jaren standaard in veel grote bedrijven, maar de overheid vindt het beschermen van onze informatie kennelijk niet relevant genoeg.

Juridisch gezien is het een hack, indien je account gebruikt waartoe je niet gemachtigd bent. Computervredebreuk.

Of je het als techneut een knappe hack vindt, of niet, is verder niet relevant.

Indien je je kans op een baan wilt minimaliseren, en het aanbieden van zo'n laag mogelijk loon wilt faciliteren, dan zou ik wel solliciteren via UWV, en niet via LinkedIn. Snij je zelf zo veel mogelijk in je vingers.

En wederom faalt een overheidsinstantie, maar durf eens te zeggen dat de overheid een onbetrouwbare partner is. Clubs als Centric en Getronics verdienen miljoenen aan de overheid en Logius stond er bij en keek er naar maar hebben kennelijk niet de macht of kennis om in te grijpen.

Dat terwijl de overheid flink ingezet heeft om digitaal de voorkeur te geven in de communicatie met de burger, jammer dat ze hierin op security vlak met regelmaat de plank misslaan.

Wie zegt mij dat die werkgever waar die cv `s zijn gedownload geen malafide uitzendbureau is geweest. Sommige van die uitzendbureau`s zitten overal met hun grijpgrage klauwtjes tussen.Soms denk je dat je b.v. bij Indeed op een vacature van een werkgever zelf solliciteerd blijkt het toch via een uitzendbureau te lopen.Ik zit zelf overigens ook bij de 117.000 slachtoffers ik heb mijn c.v. een tijdje geleden overigens wel op anoniem gezet nadat ik ineens ongevraagde mail van unique uitzendbureau kreeg met een tijdelijke baan waar ik volgens haar wel geschikt voor zou zijn.[Sta niet bij hun ingeschreven]

Waarom doe je dat dan continue?

Wat dit hele verhaal mede triest maakt is dat de security verantwoordelijken weten van de risico's en zij hier graag iets aan willen doen. Echter de openbare aanbestedingen worden zo opgesteld dat de goedkoopste (deel-)oplossingen -geen slechte oplossingen maar wel een gedeeltelijke oplossingen- worden aangeschaft in plaats van een integrale security oplossing. Het UWV neemt dus willens en wetens een risico, dit vaak tegen het advies van hun eigen security medewerkers. Dat deze integrale oplossingen duurder in aanschaf zijn, is evident, echter het inzicht om significant veel meer in security te willen investeren is nog niet aanwezig bij veel organisaties. Bij het UWV is het niet veel beter of slechter dan bij de meeste andere organisaties. (de meeste verzekeringen, banken, hogere onderwijsinstellingen hebben het beter geregeld). Het security besef moet nog heel wat stappen maken in veel organisaties. Dus voorlopig moeten we datalekken bij overheidsinstanties, zorgverleners en een heleboel commerciele bedrijven accepteren totdat .......,

Dat lijkt me een goed idee! Zouden ze ook moeten doen met die GTI-rijders die al bumper-klevend een kop-staart botsing veroorzaken: iedereen in de file krijgt 5k van de schuldige bestuurder. Of durf je dan niet meer in je autootje de weg op?

Naar aanleiding van:



Een aantal werkgevers en verscheidene vakbondsmensen -- werkzaam in de techniek, logistiek en informatica sector --, raden hun werknemers resp. collega's dringend aan, om na het ontvangen van de bovenstaande UWV email, vooral ook individueel online aangifte te doen bij de politie:

Aangifte of melding doen: van diefstal en/of oplichting
https://www.politie.nl/aangifte-of-melding-doen

Om daarna zelf een schade advocaat in te schakelen om de schade te verhalen, hetzij via de vakbond, middels het Juridisch Loket of via de eigen rechtsbijstand verzekering. Mocht u later namelijk het slachtoffer blijken te zijn geworden van identiteitsfraude, dan is het uitlekken van uw UWV inschrijving en de diefstal van uw CV bij politie bekend.

Het zogeheten Team werk.nl van het UWV heeft in in hun email van d.d. 3 mei j.l. slechts over het risico op spam en/of phishingmails, maar zegt verder niets over mogelijke risico's op identiteitsfraude ten gevolge van het uitlekken van de inhoud van de UWV curriculum vitae's. Dat geeft een verkeerde voorstelling van zaken van de risico's van dit lek.

De betrokken werkgevers en vakbondsmensen zijn bezorgd, zo blijkt uit ter inzage liggende stukken, dat gedupeerde werknemers het slachtoffer kunnen worden van identiteitsfraude of bedrijfsspionage door "social engineering" praktijken, op basis van de CVs. Zij werken vaak met bijzondere apparatuur, gevaarlijke materialen en/of gevoelige gegevens.

Wees dus gewaarschuwd. Doe dus vooral ook zelf aangifte van het uitlekken van uw UWV of pogingen tot oplichting. Mocht een opgerichte stichting of maatschap tot een eis van collectieve schadevergoeding aan de gedupeerden door het UWV of van derden willen overgaan, dan kan men zich daar altijd later nog bij aansluiten.

Het is in ieder geval van groot belang dat er goede aangiften bij de politie liggen, want dan kan men zich beter juridisch indekken. Tegen al dan niet geslaagde pogingen tot identiteitsfraude door criminelen, of zelfs malafide werkgevers die uw uitgelekte UWV gegevens en tegen u trachten te gebruiken. Dit is helaas de wereld waarin we nu in leven.

Ik zeg er wat van aan degenen die er vast in zitten. Ik heb geen last van vastzitten in een geloof alleen last van evangelisten.

Welke risico in dit geval? Het is de bedoeling dat je voor werkgevers gevonden kan worden.
Nog even en we vinden het uitbrengen van een krant ook een privacyinbreuk, wordt door velen gelezen en dat mag niet.

Kan wel zijn, maar jij bent degene die er telkens weer over begint.

In ieder geval het risico op misbruik van gehackte accounts door geen Digid Midden (of hoger) af te dwingen voor werkgevers, zoals al enkele jaren geleden als onvoldoende veilig is bestempeld door de authoriteit persoonsgegevens.

EDIT: Zoals ik al eerder aangegeven heb ik het op grote schaal downloaden van CV's waarschijnlijk tegen de algemene voorwaarden. Dat goed handhaven kan alleen als je weet wie zich schuldig maakt hier aan. Dat vereist een sterke authenticatie. Dat mist en daardoor is nu niet duidelijk wie de gegevens heeft. Anders had de werkgever onder wiens naam de gegevens gedownload zijn gewoon aansprakelijk gehouden kunnen worden.

Hoewel we de verantwoordelijken natuurlijk het voordeel van de twijfel moeten geven, betwijfel ik ten zeerste of men hier echt iets aan wil doen. Het lijkt mij namelijk een kwestie van een vinkje verzetten van Digid Basis naar Digid Midden. Want als ik alles zo lees is daar al ondersteuning voor, maar om de een of andere wazige reden moet dat nog uitgesteld worden tot november. (En ja, je moet er voor zorgen dat alle werkgevers over de juiste inlogmiddel beschikken, dat zal ongetwijfeld tijd en geld kosten, maar gaat nu dus ten koste van de privacy van 100K+ werkzoekenden.)

Redenen waarom een geharde crimineel bij het UWV grote aantallen actuele CVs zou willen stelen:

1. om het zoveelste malafide BVtje of "uitzendbureautje" te beginnen.
2. voor het verzamelen van "business intelligence" (bedrijfsspionage).
3. ruwe data als invoer voor de uitvoering van criminele datamining.
4. om bedrijven eenvoudiger met social engineering op te kunnen lichten.
5. als bron om meer kwetsbare, chantabele uitkeringstrekkers te vinden.

Een dergelijk groot aantal CVs had nooit mogen uitlekken. Het is een grof schandaal. Het vertrouwen was al geschonden en het UWV en Werk.nl hebben hierdoor een nog groter imagoproblemen opgelopen, vrees ik.