image

Privégegevens miljoenen oud UWV-klanten toegankelijk voor ambtenaren

maandag 4 januari 2021, 09:59 door Redactie, 15 reacties

Privégegevens van miljoenen mensen die klant bij het UWV zijn of waren zijn door duizenden ambtenaren eenvoudig in te zien. Het Sonar-systeem waar het UWV deze gegevens in bijhoudt voldoet op dit moment niet aan de AVG, zo stelt KPMG dat onderzoek hiernaar deed (pdf).

Daardoor zijn naam, adres, bsn, nationaliteit, geboortedatum maar ook allerlei zaken over de reden voor een uitkering voor duizenden ambtenaren toegankelijk. Sonar is een klantregistratiesysteem waar ruim 16.000 personen gebruik van maken voor de matching van klanten en potentiële werkgevers. Het gaat om adviseurs van het UWV en een deel van de adviseurs van de gemeenten en SW-bedrijven.

Sonar is gekoppeld aan verschillende andere systemen die ondersteunen bij de arbeidsbemiddeling, zoals werk.nl, waar werkzoekenden en werkgevers elkaar kunnen vinden. "Op basis van ons onderzoek stellen wij vast dat Sonar op dit moment niet voldoet aan de privacy-beginselen toegang, rechtmatigheid, dataminimalisatie, doelbinding en opslagbeperking en daarmee niet voldoet aan de eisen vanuit de AVG", aldus KPMG.

Security.NL berichtte in oktober al dat het systeem vanwege de privacyproblemen na 2025 wordt vervangen. Trouw komt vandaag met het nieuws dat gegevens van ruim 3,1 miljoen voormalige UWV-klanten en één miljoen uitkeringsgerechtigden door gebruikers van Sonar zijn op te vragen.

"Het gebrek aan inzicht en bewuste keuzes met betrekking tot de koppeling van bedrijfsmatige functie naar de persoonsgegevens die benaderd kunnen worden hebben ertoe geleid dat vrijwel alle gebruikers in de praktijk toegang tot vrijwel alle persoonsgegevens van klanten van het UWV WERKbedrijf, zonder dat daar in veel gevallen een aantoonbare noodzaak voor is", aldus de onderzoekers van KPMG, die adviseren om hier een einde aan te maken.

Naar aanleiding van de audit zijn verschillende maatregelen opgesteld die op de korte, middellange en lange termijn genomen zullen worden. De maatregelen voor de korte termijn worden hierbij versneld opgestart. Het gaat dan om het versneld invoeren van een systeem voor het automatisch loggen en monitoren, het resetten van wachtwoorden en het wijzen van medewerkers op het belang van privacy.

De reset van de wachtwoorden is afgelopen november afgerond. De andere kortetermijnmaatregelen, invoering van het systeem van logging en monitoring, het opschonen van het systeem door persoonsgegevens te verwijderen waarvoor de bewaartermijnen verstreken zijn, en maatregelen ter bevordering van het internaliseren van het privacybelang bij medewerkers, worden in maart 2021 afgerond, liet minister Koolmees van Sociale Zaken vorige maand aan de Tweede Kamer weten.

Het aanscherpen en beter documenteren van autorisaties in Sonar, zodat gebruikers alleen toegang tot gegevens hebben die voor hun werkzaamheden noodzakelijk zijn, is een middellangetermijnmaatregel. Het documenteren van de huidige autorisaties moet in het eerste kwartaal van dit jaar zijn afgerond. Tenslotte wordt er een nieuw autorisatiemodel geïmplementeerd en de autorisaties technisch doorgevoerd. De implementatie hiervan moet eind 2022 gereed zijn.

Volgens Koolmees blijven er ook na het treffen van genoemde maatregelen 'restrisico's' over. "Dit is onvermijdelijk, gezien de technische beperkingen in Sonar. De restrisico's zijn pas verholpen, wanneer het systeem is uitgefaseerd en vervangen", aldus de minister, die eerder al aangaf dat dit na 2025 zal zijn.

Reacties (15)
04-01-2021, 10:17 door Bitje-scheef
Ik wil 30.000 euro. Dit is bewust jarenlang onder de pet gehouden.
04-01-2021, 10:20 door Anoniem
Ik neem aan dat er geen logging of auditing is ingeregeld

Ook geen rol based access voor de data.

Toegang is in principe geen issue voor bevoegden

Het moet wel gelogd en geaudit kunnen worden
04-01-2021, 10:29 door Anoniem
UWV? Is dat niet ook ongeveer overheid die zo aan het digi-drammen is? Maar het is goed beveiligd hoor. Echt waar!
04-01-2021, 10:49 door Anoniem
Door Bitje-scheef: Ik wil 30.000 euro. Dit is bewust jarenlang onder de pet gehouden.

Wat is dit voor rare opmerking? Snap dat wat hierboven staat niet goed is en het UWV hoort ook gewoon aan de privacy-wetgeving te voldoen.
Reageer aub serieus en niet met deze idiote opmerking.

Daarbij geef je nu zelf aan dat je een oud UWV-klant bent.
04-01-2021, 10:54 door Anoniem
Wanneer je bedenkt dat we 1200 (nu nog 350) gemeenten hebben gehad, 2600 waterschappen (nu nog 21) die allemaal het wiel uitgevonden hebben voor ALLE zaken waar ze te maken mee hebben gehad.

Denk aan applicaties voor waterschapsbelasting, opzoeken van basisadministratie gegevens voor facturen van rioolheffing, water heffing, vergunningen voor millieu (bomen kappen), vergunningen voor bouwen (dakkapel, schuurtje), de WOZ belasting..

De laatste keer dat ik bij een gemeente rond liep hadden ze zo'n 2000 applicaties waarvan 90% niet meer onder support. Dat is exclusief degene die regionaal (omgeving, provincie, samenwerkingsverbanden) en landelijk geregeld zijn.

En allemaal zijn ze door ambtenaren verzonnen en ingeregeld. Mensen die toevallig ooit een PC hadden en daardoor IT manager geworden zijn. Die nooit over security nagedacht hebben, een wachtwoord al te veel drempel vonden, laat staan logging, of een andere vorm van AAA. En dan hebben we het nog niet eens gehad over encryptie... Een simpele beaglebone of raspberry pie in het gemeentehuis hangen en je hebt binnen 3 weken alle wachtwoorden en gigabytes aan data waarmee je de gehele gemeente kunt p0wnen. Hoef je nog niet eens moeilijk te doen met routeringen kapen, gewoon wifi access pointje.

Dat deze applicatie dan naar voren komt vond ik niet verwonderingwaardig maar dat het er maar 1 was des te meer.. Ik geloof het dan ook niet.
04-01-2021, 10:54 door Anoniem
Privégegevens van miljoenen mensen die klant bij het UWV zijn of waren zijn door duizenden ambtenaren eenvoudig in te zien. Het Sonar-systeem waar het UWV deze gegevens in bijhoudt voldoet op dit moment niet aan de AVG, zo stelt KPMG dat onderzoek hiernaar deed

Dus die miljoenen mensen worden per brief op de hoogte gesteld, dat hun gegevens ingezien en mogelijk misbruik kunnen zijn of gaan worden (tot 2022)

We hebben het hier over een datalek.
04-01-2021, 11:40 door Anoniem
Door Bitje-scheef: Ik wil 30.000 euro. Dit is bewust jarenlang onder de pet gehouden.

Gaat er bij iemand een lampje branden? Vorig jaar mei zijn de gegevens van meer dan honderdduizend werkzoekenden bij het UWV gestolen. Naar aanleiding van die datadiefstal werden er Kamervragen aan minister Koolmees van Sociale Zaken gesteld. Zijn de verantwoordelijken nadien aangepakt? Heeft dat toen nog gevolgen voor het beleid gehad?

https://www.security.nl/posting/607624/Gegevens+117_000+werkzoekenden+bij+UWV+gestolen
04-01-2021, 11:48 door Anoniem
Privégegevens miljoenen oud UWV-klanten toegankelijk voor ambtenaren
Nou sorry hoor, maar als je klant was van het UWV, dan moet je je gegevens zelf verwijderen. Daarvoor log je eerst in met je eigen profiel en haal je de naw-gegevens weg. Dit heb ik destijds zelf kunnen doen.

Maar mocht het niet zelf gaan (zoals ik met een andere instelling te maken kreeg), dan doe je een verzoek dat je gegevens worden weggehaald. De stelling luidt dus: als je geen gebruik meer maakt van een bepaalde dienst, haal dan je gegevens meteen weg, of laat ze weghalen. Laat dat niet op hun servers staan. Voor het zelfde geld breken hackers (van welke soort dan ook) in, en liggen je gegevens op straat.
04-01-2021, 12:24 door Anoniem
Door Anoniem: De laatste keer dat ik bij een gemeente rond liep hadden ze zo'n 2000 applicaties waarvan 90% niet meer onder support. Dat is exclusief degene die regionaal (omgeving, provincie, samenwerkingsverbanden) en landelijk geregeld zijn.

En allemaal zijn ze door ambtenaren verzonnen en ingeregeld. Mensen die toevallig ooit een PC hadden en daardoor IT manager geworden zijn. Die nooit over security nagedacht hebben, een wachtwoord al te veel drempel vonden, laat staan logging, of een andere vorm van AAA. En dan hebben we het nog niet eens gehad over encryptie... Een simpele beaglebone of raspberry pie in het gemeentehuis hangen en je hebt binnen 3 weken alle wachtwoorden en gigabytes aan data waarmee je de gehele gemeente kunt p0wnen. Hoef je nog niet eens moeilijk te doen met routeringen kapen, gewoon wifi access pointje.

Ik zou zeggen: probeer het eens.
En laat hier nog even weten hoe ver je gekomen bent.

Ook een goed leermoment voor de gemeente(n) zelf.

Oh wacht, behoren die niet elk jaar een pen-test uit te voeren als onderdeel van een of andere audit?
04-01-2021, 12:34 door Anoniem
Eigenlijk gek,

Sonar is voor de AVG gebouwd en ook in de wbp stond al een regel dat persoonsgegevens niet onrechtmatig verwerkt mogen worden, dan heeft Sonar dus nooit aan de wet voldaan. Alleen handhaving was onder de wbp een lachertje, ook voor dataklekken van de voorlaatste wijziging van de wbp.

Het zal mij benieuwen hoeveel overheidssystemen toen al niet voldeden en nu nog steeds niet voldoen, UWV staat vast niet alleen.
04-01-2021, 13:00 door Bitje-scheef - Bijgewerkt: 04-01-2021, 13:01
Door Anoniem:
Door Bitje-scheef: Ik wil 30.000 euro. Dit is bewust jarenlang onder de pet gehouden.

Wat is dit voor rare opmerking? Snap dat wat hierboven staat niet goed is en het UWV hoort ook gewoon aan de privacy-wetgeving te voldoen.
Reageer aub serieus en niet met deze idiote opmerking.

Daarbij geef je nu zelf aan dat je een oud UWV-klant bent.

Aaahhhh u bent helderziende... (een slechte dan).
04-01-2021, 13:48 door Anoniem
Door Anoniem:
De laatste keer dat ik bij een gemeente rond liep hadden ze zo'n 2000 applicaties waarvan 90% niet meer onder support.

De laatste keer dat ik bij een gemeente was, was dat minstens een factor 10 minder, circa 150 - 200 applicaties.
Als je kijkt naar de grote diversiteit in taken is dat helemaal geen gek getal.
Paul
04-01-2021, 14:43 door Anoniem
Door Anoniem: Maar mocht het niet zelf gaan (zoals ik met een andere instelling te maken kreeg), dan doe je een verzoek dat je gegevens worden weggehaald.
Waar kun je digitaal zo'n verzoek indien bij het UWV?
04-01-2021, 15:12 door spatieman
kopel dit maar eens aan de EPD...
04-01-2021, 15:23 door Anoniem
Door Anoniem: Wanneer je bedenkt dat we 1200 (nu nog 350) gemeenten hebben gehad, 2600 waterschappen (nu nog 21) die allemaal het wiel uitgevonden hebben voor ALLE zaken waar ze te maken mee hebben gehad.

Denk aan applicaties voor waterschapsbelasting, opzoeken van basisadministratie gegevens voor facturen van rioolheffing, water heffing, vergunningen voor millieu (bomen kappen), vergunningen voor bouwen (dakkapel, schuurtje), de WOZ belasting..

De laatste keer dat ik bij een gemeente rond liep hadden ze zo'n 2000 applicaties waarvan 90% niet meer onder support. Dat is exclusief degene die regionaal (omgeving, provincie, samenwerkingsverbanden) en landelijk geregeld zijn.

Graag een heldere definitie wat jij als "applicatie" telt.
Het aantal snelkoppelingen? Het aantal softwarepakketten met databases? Excelsheets of acces-bestanden die rondslingeren?

En welke gemeente gebruik je als norm voor je aantallen. Amsterdam of Vught? 2000 is namelijk extreem veel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.