Privégegevens miljoenen oud UWV-klanten toegankelijk voor ambtenaren
Privégegevens van miljoenen mensen die klant bij het UWV zijn of waren zijn door duizenden ambtenaren eenvoudig in te zien. Het Sonar-systeem waar het UWV deze gegevens in bijhoudt voldoet op dit moment niet aan de AVG, zo stelt KPMG dat onderzoek hiernaar deed (pdf).
Daardoor zijn naam, adres, bsn, nationaliteit, geboortedatum maar ook allerlei zaken over de reden voor een uitkering voor duizenden ambtenaren toegankelijk. Sonar is een klantregistratiesysteem waar ruim 16.000 personen gebruik van maken voor de matching van klanten en potentiële werkgevers. Het gaat om adviseurs van het UWV en een deel van de adviseurs van de gemeenten en SW-bedrijven.
Sonar is gekoppeld aan verschillende andere systemen die ondersteunen bij de arbeidsbemiddeling, zoals werk.nl, waar werkzoekenden en werkgevers elkaar kunnen vinden. "Op basis van ons onderzoek stellen wij vast dat Sonar op dit moment niet voldoet aan de privacy-beginselen toegang, rechtmatigheid, dataminimalisatie, doelbinding en opslagbeperking en daarmee niet voldoet aan de eisen vanuit de AVG", aldus KPMG.
Security.NL berichtte in oktober al dat het systeem vanwege de privacyproblemen na 2025 wordt vervangen. Trouw komt vandaag met het nieuws dat gegevens van ruim 3,1 miljoen voormalige UWV-klanten en één miljoen uitkeringsgerechtigden door gebruikers van Sonar zijn op te vragen.
"Het gebrek aan inzicht en bewuste keuzes met betrekking tot de koppeling van bedrijfsmatige functie naar de persoonsgegevens die benaderd kunnen worden hebben ertoe geleid dat vrijwel alle gebruikers in de praktijk toegang tot vrijwel alle persoonsgegevens van klanten van het UWV WERKbedrijf, zonder dat daar in veel gevallen een aantoonbare noodzaak voor is", aldus de onderzoekers van KPMG, die adviseren om hier een einde aan te maken.
Naar aanleiding van de audit zijn verschillende maatregelen opgesteld die op de korte, middellange en lange termijn genomen zullen worden. De maatregelen voor de korte termijn worden hierbij versneld opgestart. Het gaat dan om het versneld invoeren van een systeem voor het automatisch loggen en monitoren, het resetten van wachtwoorden en het wijzen van medewerkers op het belang van privacy.
De reset van de wachtwoorden is afgelopen november afgerond. De andere kortetermijnmaatregelen, invoering van het systeem van logging en monitoring, het opschonen van het systeem door persoonsgegevens te verwijderen waarvoor de bewaartermijnen verstreken zijn, en maatregelen ter bevordering van het internaliseren van het privacybelang bij medewerkers, worden in maart 2021 afgerond, liet minister Koolmees van Sociale Zaken vorige maand aan de Tweede Kamer weten.
Het aanscherpen en beter documenteren van autorisaties in Sonar, zodat gebruikers alleen toegang tot gegevens hebben die voor hun werkzaamheden noodzakelijk zijn, is een middellangetermijnmaatregel. Het documenteren van de huidige autorisaties moet in het eerste kwartaal van dit jaar zijn afgerond. Tenslotte wordt er een nieuw autorisatiemodel geïmplementeerd en de autorisaties technisch doorgevoerd. De implementatie hiervan moet eind 2022 gereed zijn.
Volgens Koolmees blijven er ook na het treffen van genoemde maatregelen 'restrisico's' over. "Dit is onvermijdelijk, gezien de technische beperkingen in Sonar. De restrisico's zijn pas verholpen, wanneer het systeem is uitgefaseerd en vervangen", aldus de minister, die eerder al aangaf dat dit na 2025 zal zijn.
Ook geen rol based access voor de data.
Toegang is in principe geen issue voor bevoegden
Het moet wel gelogd en geaudit kunnen worden
Wat is dit voor rare opmerking? Snap dat wat hierboven staat niet goed is en het UWV hoort ook gewoon aan de privacy-wetgeving te voldoen.
Reageer aub serieus en niet met deze idiote opmerking.
Daarbij geef je nu zelf aan dat je een oud UWV-klant bent.
Denk aan applicaties voor waterschapsbelasting, opzoeken van basisadministratie gegevens voor facturen van rioolheffing, water heffing, vergunningen voor millieu (bomen kappen), vergunningen voor bouwen (dakkapel, schuurtje), de WOZ belasting..
De laatste keer dat ik bij een gemeente rond liep hadden ze zo'n 2000 applicaties waarvan 90% niet meer onder support. Dat is exclusief degene die regionaal (omgeving, provincie, samenwerkingsverbanden) en landelijk geregeld zijn.
En allemaal zijn ze door ambtenaren verzonnen en ingeregeld. Mensen die toevallig ooit een PC hadden en daardoor IT manager geworden zijn. Die nooit over security nagedacht hebben, een wachtwoord al te veel drempel vonden, laat staan logging, of een andere vorm van AAA. En dan hebben we het nog niet eens gehad over encryptie... Een simpele beaglebone of raspberry pie in het gemeentehuis hangen en je hebt binnen 3 weken alle wachtwoorden en gigabytes aan data waarmee je de gehele gemeente kunt p0wnen. Hoef je nog niet eens moeilijk te doen met routeringen kapen, gewoon wifi access pointje.
Dat deze applicatie dan naar voren komt vond ik niet verwonderingwaardig maar dat het er maar 1 was des te meer.. Ik geloof het dan ook niet.
Dus die miljoenen mensen worden per brief op de hoogte gesteld, dat hun gegevens ingezien en mogelijk misbruik kunnen zijn of gaan worden (tot 2022)
We hebben het hier over een datalek.
Gaat er bij iemand een lampje branden? Vorig jaar mei zijn de gegevens van meer dan honderdduizend werkzoekenden bij het UWV gestolen. Naar aanleiding van die datadiefstal werden er Kamervragen aan minister Koolmees van Sociale Zaken gesteld. Zijn de verantwoordelijken nadien aangepakt? Heeft dat toen nog gevolgen voor het beleid gehad?
https://www.security.nl/posting/607624/Gegevens+117_000+werkzoekenden+bij+UWV+gestolen
Maar mocht het niet zelf gaan (zoals ik met een andere instelling te maken kreeg), dan doe je een verzoek dat je gegevens worden weggehaald. De stelling luidt dus: als je geen gebruik meer maakt van een bepaalde dienst, haal dan je gegevens meteen weg, of laat ze weghalen. Laat dat niet op hun servers staan. Voor het zelfde geld breken hackers (van welke soort dan ook) in, en liggen je gegevens op straat.
En allemaal zijn ze door ambtenaren verzonnen en ingeregeld. Mensen die toevallig ooit een PC hadden en daardoor IT manager geworden zijn. Die nooit over security nagedacht hebben, een wachtwoord al te veel drempel vonden, laat staan logging, of een andere vorm van AAA. En dan hebben we het nog niet eens gehad over encryptie... Een simpele beaglebone of raspberry pie in het gemeentehuis hangen en je hebt binnen 3 weken alle wachtwoorden en gigabytes aan data waarmee je de gehele gemeente kunt p0wnen. Hoef je nog niet eens moeilijk te doen met routeringen kapen, gewoon wifi access pointje.
Ik zou zeggen: probeer het eens.
En laat hier nog even weten hoe ver je gekomen bent.
Ook een goed leermoment voor de gemeente(n) zelf.
Oh wacht, behoren die niet elk jaar een pen-test uit te voeren als onderdeel van een of andere audit?
Sonar is voor de AVG gebouwd en ook in de wbp stond al een regel dat persoonsgegevens niet onrechtmatig verwerkt mogen worden, dan heeft Sonar dus nooit aan de wet voldaan. Alleen handhaving was onder de wbp een lachertje, ook voor dataklekken van de voorlaatste wijziging van de wbp.
Het zal mij benieuwen hoeveel overheidssystemen toen al niet voldeden en nu nog steeds niet voldoen, UWV staat vast niet alleen.
Wat is dit voor rare opmerking? Snap dat wat hierboven staat niet goed is en het UWV hoort ook gewoon aan de privacy-wetgeving te voldoen.
Reageer aub serieus en niet met deze idiote opmerking.
Daarbij geef je nu zelf aan dat je een oud UWV-klant bent.
Aaahhhh u bent helderziende... (een slechte dan).
De laatste keer dat ik bij een gemeente rond liep hadden ze zo'n 2000 applicaties waarvan 90% niet meer onder support.
De laatste keer dat ik bij een gemeente was, was dat minstens een factor 10 minder, circa 150 - 200 applicaties.
Als je kijkt naar de grote diversiteit in taken is dat helemaal geen gek getal.
Paul
Denk aan applicaties voor waterschapsbelasting, opzoeken van basisadministratie gegevens voor facturen van rioolheffing, water heffing, vergunningen voor millieu (bomen kappen), vergunningen voor bouwen (dakkapel, schuurtje), de WOZ belasting..
De laatste keer dat ik bij een gemeente rond liep hadden ze zo'n 2000 applicaties waarvan 90% niet meer onder support. Dat is exclusief degene die regionaal (omgeving, provincie, samenwerkingsverbanden) en landelijk geregeld zijn.
Graag een heldere definitie wat jij als "applicatie" telt.
Het aantal snelkoppelingen? Het aantal softwarepakketten met databases? Excelsheets of acces-bestanden die rondslingeren?
En welke gemeente gebruik je als norm voor je aantallen. Amsterdam of Vught? 2000 is namelijk extreem veel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
