Minister: CBR voldoet eind dit jaar aan privacywetgeving AVG
Het Centraal Bureau Rijvaardigheidsbewijzen (CBR) voldoet eind dit jaar aan de Algemene verordening gegevensbescherming (AVG). Ook zal worden gekeken of de beveiliging van Windows XP bij het CBR op orde is, zo laat minister Van Nieuwenhuizen van Infrastructuur in een brief aan de Tweede Kamer weten.
De AVG is sinds 25 mei van kracht, maar het CBR voldoet er nog altijd niet aan, zo liet Van Nieuwenhuizen tijdens een Algemeen Overleg in maart weten. "Ik zeg u maar heel open dat ik ook heb gevraagd of het CBR AVG-proof is. AVG staat voor Algemene verordening gegevensbescherming. Ik was daar bezorgd over. Ik zeg het u maar meteen: dat is nog niet klaar. En dat moet wel. Dit is niet iets waar mensen direct last van hebben, maar ik ben er als minister wel bezorgd over." (pdf).
De minister vroeg het CBR om met een plan van aanpak te komen. Het Centraal Bureau Rijvaardigheidsbewijzen heeft dit plan opgesteld en toegezegd dat de uitvoering dit jaar zal zijn afgerond. "Daarmee voldoet het CBR eind 2019 aan de AVG", aldus Van Nieuwenhuizen.
Windows XP
Eerder werd al bekend het CBR nog gebruikmaakt van verouderde ict-systemen voor de opslag van medische gegevens, namelijk Windows XP en Oracle 9. Het CBR heeft de minister laten weten dat de verouderde ict-systemen voor het rijgeschiktheidsproces en voor de opvolging van mededelingen van politie en justitie deels nog werken met Windows XP en Oracle database versie 9.
"Het CBR heeft mij gemeld dat dit op beperkte schaal en in een veilige afgesloten omgeving gebeurt, tot het moment dat het nieuwe systeem volledig operationeel is. Om beveiligingsrisico’s van buitenaf zo veel mogelijk uit te sluiten treft het CBR technische beveiligingsmaatregelen", schrijft Van Nieuwenhuizen. "Het CBR heeft het vertrouwen dat deze maatregelen afdoende zijn om de vertrouwelijkheid van de gegevens van burgers te waarborgen, totdat de verouderde systemen eind van dit jaar zijn uitgefaseerd."
De minister stelt dat ze het zeer belangrijk vindt dat er "relevante technische maatregelen" zijn getroffen om de risico's op het lekken van medische en andere klantgegevens tot een absoluut minimum te beperken. Van Nieuwenhuizen heeft het CBR daarom gevraagd een externe partij een second opinion te laten geven op de genomen technische beveiligingsmaatregelen om ongewenste toegang van buitenaf te voorkomen (pdf).
En waarom mogen bedrijven er 1,5 jaar over doen om AVG proof te zijn als het nu al 3,5 jaar bekend is dat het moet gebeuren. Bedrijven hebben 2 jaar de tijd gehad voordat het in ging. En nu blijkt maar weer dat het weer de overheid is die niet aan zijn eigen spelregels houdt. Waarom zou ik dit nog serieus nemen. Het nog steeds in gebruik hebben van Windows XP toont gewoon aan dat de regels aan hun laars lappen. Geld is een belangrijkere drijfveer dan security of privacy!
Op dit moment verwacht ik echt niet dat de overheid in staat is mijn gegevens veilige te bewaren. Zie UWV, zie CBR, zie Belastingdienst. Allemaal lekken ze data, en dat mag allemaal maar. Allemaal nog niet AVG compliant, en dat mag zo maar.
Ik denk dat ik maar eens ga nadenken over MINDER belastingen te betalen, want is toch weggegooid geld. Misschien moeten we dat allemaal maar doen.
TheYOSH
Ja betalen wij als hardwerkenden wel weer voor.
Ik ken maar 1 relevantie technische maatregel bij het gebruik van Windows XP: https://www.flickr.com/photos/evaekeblad/7268657538/
Peter
Als het nieuwe wat alles zou oplossen dan faalt dan heb je niets meer. Waar waren ze bij het CBR met het nieuwe mee bezig dat gefaald is? Wat voor technology zit daarbij, ik kwam al veel tegen, oracle, mendix (siemens), dataspace (ibm) .
Wel gangbaar in bepaalde kringen, goede kwaliteit maar niet echt goedkoop.
Ja betalen wij als hardwerkenden wel weer voor.
Elk zich zelf respecterende klant laat haar beveiliging door een onafhankelijke externe partij testen. Of het nu een commerciële-, of een overheidspartij is. Wees blij.
Overheidsinstanties en IT gaat niet echt samen.
Overheidsinstanties en IT gaat niet echt samen.
Vroeger hadden we gewoon knipselkranten. Zodat we op tijd wisten welke wetswijzigingen eraan kwamen. Dan kon je netjes op tijd klaar zijn. Of netjes op tijd melden als je het niet zou redden. (Zelf destijds nooit meegemaakt. Toen waren wetswijzigingen nog verbeteringen. Dus dan was het hup de schouders eronder om het wèl te halen.)
Grootste probleem in deze casus is niet dat er bij het CBR nog Windows XP staat. Of een Oracle 9 database. Al liggen er nog C/MP 8" floppies. Ook niet erg.
Wat ernstig en stuitend is dat men pas inderdaad 2,5 jaar nadat uit de EU de stoomfluit klonk om de GDPR in nationale wetgeving te steken, er een paar incompetente CBR top ambtenaren, plus een eveneens incompetente minster niet alleen nu pas met het nieuws komen dat ze zich niet aan de (eigen!) wet houden, maar dat het er voorlopig nog niet in zit. Met name in open en eerlijk zijn naar de burger dikke vette missers allemaal. Je zult maar dusdanig aan je privacy hechten dat je anders liever nog dven had gewacht met een rijbewijs te willen hebben!
De missers op een rijtje:
EU Parlement neemt GDPR aan. Dat is het eerste moment om het amtenaren apparaat te vragen of dat wel lukt.
EU landen spreken gaan mee, geen veto van geen enkel land. Daar zit een minister aan tafel. Die geen veto uitspreekt. En waarvan je dus mag verwachten of hij eerst heeft gecheckt of het allemaal wel haalbaar is, die GDPR.
Dan komt de GDPR in ons nationaal parlement. Om er een AVG van te bakken. Daar zitten 150 zeer goed betaalde ego slaapkoppen om nogeens goed te vragen of 2 jaar genoeg is om in elk geval als overheid niet voor joker te komen staan met een wet die voor iedereen gaat gelden.
Dan komt de wet.
En dan komt de spuit 11 ambtenaar pas uit de kast met zijn verhaal.
En daarna de minister. Met een "we zijn van plan om"-verhaal. Behalve als het veel gaat regenen.
Dat alles is gewoon wanbestuur. Prutswerk. Ambtenarenwerk is al zo gemakkelijk. Want je hoeft enkel maar de wet uit te voeren. Regeren is al zo gemakkelijk, want je hoeft enkel maar je verstand te gebruiken en failliet kun je niet. Kamerlid zijn is al zo gemakkelijk. Want met 150 in een zaaltje moet de kans toch heel klein zijn dat niemand heeft opgelet.
En dan nòg met zo een watjes verhaal aankomen. Achteraf! En door een minister notabene!
Zij vergeten dat er bijna tot de laatste seconde aan deze wetten gesleuteld is. Bij de AP werd je voor vragen naar een stelletje faq's verwezen. Ik heb op mijn gerichte vragen nog niet eens een bericht van ontvangst gekregen.
Als het nieuwe wat alles zou oplossen dan faalt dan heb je niets meer. Waar waren ze bij het CBR met het nieuwe mee bezig dat gefaald is? Wat voor technology zit daarbij, ik kwam al veel tegen, oracle, mendix (siemens), dataspace (ibm) .
Wel gangbaar in bepaalde kringen, goede kwaliteit maar niet echt goedkoop.
Tering Karma4, er is echt weer geen touw aan vast te knopen.
Indien Nederlands niet jouw moedertaal is, en daar lijkt het steeds meer op, probeer het dan in het Engels of zo.
"...CBR voldoet eind dit jaar aan privacywetgeving AVG..."
"...Windows XP..."
"...De minister stelt dat ze het zeer belangrijk vindt dat er "relevante technische maatregelen" zijn getroffen om de risico's op het lekken van medische en andere klantgegevens tot een absoluut minimum te beperken..."
"...Windows XP..."
"...Dit is niet iets waar mensen direct last van hebben, maar ik ben er als minister wel bezorgd over..."
"...Windows XP..."
Welke beveiliging?
Serieus?
Ouwe zooi blijven draaien in een virtual omgeving. Ergens houdt het wel op hoor.
Iets met mee gaan in de tijd.
Kan toch ook niet met de gegevens die ze verwerken.
Ben ook benieuwd of ze nog op NT4 servers draaien :-)
Welke beveiliging?
Geen enkele verbinding vanaf buiten is mogelijk.
Jammer dat ministers niet de geringste achtergrondkennis hebben om door deze prietpraat heen te kijken, maar wél de burger al snel tot digibeet verklaren.
En Windows-XP. Je moest eens weten bij hoeveel overheidsdiensten dit nog gewoon draait, vooral omdat men daarop complete macro-applicaties heeft draaien waar niemand meer durft aan te komen.
Al met al gaat het eigenlijk best wel goed bij het CBR. Dat er een kleine vertraging is in de afhandeling van rijbewijzen, och een kniesoor die daar op let.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
