image

Van Huffelen: overheid haalt persoonsdata vaker bij de bron, minder kopieën

maandag 8 januari 2024, 11:13 door Redactie, 17 reacties

De overheid probeert minder kopieën van persoonsgegevens van burgers te hebben, door data vaker bij de bron te halen, zo heeft demissionair staatssecretaris Van Huffelen laten weten in een reactie op het manifest 'Herprogrammeer de Overheid'. Het manifest doet vijf voorstellen om de ict-problemen bij de overheid aan te pakken. Het gaat onder andere om het creëren van één transparante en veilige plek voor persoonsdata.

"Momenteel is het zo dat de persoonlijke data van Nederlanders op veel verschillende plekken ligt opgeslagen. Dat is niet alleen inefficiënt maar leidt ook tot misbruik van data. Daarom moeten we een voorbeeld nemen aan Estland en haar “X-road” systeem, dat alle overheidsdiensten veilig, transparant en gestandaardiseerd aan elkaar verbindt", aldus het manifest, dat oproept om de belangrijkste lessen uit Estland over te nemen en implementeren.

In een reactie op het manifest merkt Van Huffelen op dat Nederland het stelsel van centrale basisregistraties kent, waarin bijvoorbeeld persoons- of gebouwinformatie staat opgeslagen. "Het X-road systeem van Estland is een gedecentraliseerde infrastructuur die gegevensdeling tussen overheidsorganisaties verzorgt. Daarbij blijft data bij de bron en vindt er centrale logging plaats." De staatssecretaris voegt toe dat er meerdere bezoeken aan Estland zijn geweest om van de situatie daar te leren. "De Nederlandse situatie is natuurlijk anders, en het is niet zo is dat je de situatie uit een ander land simpelweg naar hier kan kopiëren."

Van Huffelen stelt dat Nederland aan een vergelijkbaar concept werkt met de ontwikkeling van een federatief datastelsel. "We bouwen daarmee voort op het huidige stelsel van basisregistraties. We werken aan minder kopieën door data vaker bij de bron te halen, een standaard voor gegevensverwerking en meer transparantie over welke gegevens wanneer voor welk doel gebruikt worden." Daarbij is het belangrijk dat de overheid aandacht voor de eigen digitale weerbaarheid heeft, gaat Van Huffelen verder. "Gevoelige data bevindt zich namelijk bij alle verschillende overheidsorganisaties. Ik zet mij daarom op verschillende manieren in voor het verbeteren van digitale weerbaarheid binnen de overheid."

Reacties (17)
08-01-2024, 12:05 door Anoniem
Dit vind ik op zich een vrij goed voorstel.
Eens keer iets anders dan de eeuwige dataverzamelingsdrang.

Ik zou het extra leuk vinden als ik kan inzien wie mijn data inziet. :-)
08-01-2024, 13:03 door Anoniem
Heel leuk die reactie maar als het hebbben over de bron dan zijn het de personen zelf de burgers waar de data vandaan wordt gehaald en daar wordt niet over gesproken in de reactie. Dus eigenlijk in plaats van dataowners gaat het om datacontrollers waar de informatie vanaf wordt gehaald en dan wordt het ineens een heel stuk minder vooruitstrevend.

Door Anoniem: Dit vind ik op zich een vrij goed voorstel.
Ik zou het extra leuk vinden als ik kan inzien wie mijn data inziet. :-)
Extra leuk? Het is je recht onder de AVG om die informatie op te vragen bij enige dataverwerker. Het zou fijn zijn als ze een geautomatiseerd toestemmings portaal ervoor gebruiken zoals DIGID heeft en met tijd en nummer van inzages maar dat zie ik niet gauw gebeuren.
08-01-2024, 13:17 door Anoniem
Wat dat betreft zou ik zelf de bron moeten wezen van die data.
08-01-2024, 13:47 door majortom
Door Anoniem: Dit vind ik op zich een vrij goed voorstel.
Eens keer iets anders dan de eeuwige dataverzamelingsdrang.

Ik zou het extra leuk vinden als ik kan inzien wie mijn data inziet. :-)
Moet je wel eerst even een "MijnOverheid" accountje activeren ;-)
08-01-2024, 14:11 door Erik van Straten
M.b.t. https://herprogrammeerdeoverheid.nl/:

Klinkt als phishing, ziet eruit als phishing (meteen bovenaan mag je jouw gegevens invullen) en is een faal qua security:

https://internet.nl/site/herprogrammeerdeoverheid.nl/2564913/

ZeroSSL DV cert. Javascript vanaf ajax.googleapis.com, cdjns.cloudflare.com, d3e54v103j8qbb.cloudfront.net, cdn.jsdelivr.net, tally.so en uploads-ssl.webflow.com. Erg gezellig met zo'n 200 andere websites achter 92.205.144.189 (zie https://www.virustotal.com/gui/ip-address/92.205.144.189/relations).

Uit https://herprogrammeerdeoverheid.nl/wie-zijn-wij.html:
Daarnaast maken wij een diepe buiging voor de helden die vanwege professionele redenen liever anoniem blijven.
Anonimiteit vind ik niet persé belangrijk, maar (los van de inhoud van het manifest dat ik niet eens ga lezen op deze manier): ik ga mijn perssonsgegevens niet achterlaten op een website die ik op geen enkele wijze van een phishingsite kan onderscheiden.
08-01-2024, 14:24 door Anoniem
Het gaat onder andere om het creëren van één transparante en veilige plek voor persoonsdata.
Veilig = plek waar IK bepaal wie er bij MIJN data kan.
Ik zou het extra leuk vinden als ik kan inzien wie mijn data inziet. :-)
Als het VEILIG zou zijn, dan weet je dat VOORAF. Want daar heb je dan expliciet toestemming voor gegeven.

Conclusie: de voorgestelde oplossing is inherent onveilig. Laat maar.
08-01-2024, 14:38 door Anoniem
Door Anoniem:
Het gaat onder andere om het creëren van één transparante en veilige plek voor persoonsdata.
Veilig = plek waar IK bepaal wie er bij MIJN data kan.
Ik zou het extra leuk vinden als ik kan inzien wie mijn data inziet. :-)
Als het VEILIG zou zijn, dan weet je dat VOORAF. Want daar heb je dan expliciet toestemming voor gegeven.

Conclusie: de voorgestelde oplossing is inherent onveilig. Laat maar.

Leuk dat je dat niet wilt, maar zo werkt de praktijk niet. Een belastingcontroleur of politieagent mag wanneer dat vanuit hun functie nodig is best jouw gegevens inzien zonder jouw medeweten en toestemming. Of bijvoorbeeld een wetenschapper die onderzoek doet op microdata van het CBS, met daarbij voldoende waarborgen om privacy te beschermen. Door meer met brondata te werken gaan er minder kopieën rondslingeren en kun je de vertrouwelijkheid beter waarborgen; dus veiliger.
08-01-2024, 14:53 door Anoniem
Dit is geen oplossing, maar het construeren van een excuus om zonder doelbinding met data van burgers te gaan schuiven tussen grote aantallen overheidsinstanties.

Decentrale opslag is juist veiliger omdat er dan voor de overdracht van data tussen decentrale instantie A en decentrale instantie B een check-moment is ingebouwd waardoor achteraf te controleren en beoordelen valt of er is voldaan aan het principe van doelbinding.

Die veiligheid en controleerbaarheid wil de staatssecretaris nu verminderen.
Door Anoniem: Dit is geen oplossing, maar het construeren van een excuus om zonder doelbinding met data van burgers te gaan schuiven tussen grote aantallen overheidsinstanties.

Decentrale opslag is juist veiliger omdat er dan voor de overdracht van data tussen decentrale instantie A en decentrale instantie B een check-moment is ingebouwd waardoor achteraf te controleren en beoordelen valt of er is voldaan aan het principe van doelbinding.

Die veiligheid en controleerbaarheid wil de staatssecretaris nu verminderen.

Inderdaad. Als persoonsgegevens oneigenlijk in handen komen van een overheidsinstantie en/of door die overheidsinstantie oneigenlijk worden gebruikt en ik wil als burger weten hoe die gegevens daar terecht zijn gekomen, dan kan ik op dit moment nog vragen welke andere(!) overheidsinstantie die persoonsgegevens in strijd met de AVG aan de gebruikende instantie heeft aangeleverd, en daarmee de AVG heeft overtreden.

Straks kan dat niet meer, want dan zegt de oneigenlijk gegevensverwerkende (gebruikende) instantie simpelweg: "Wij hebben die gegevens zelf uit het centrale overheidssysteem getrokken, en ja, daar hebben wij een ruim geformuleerde bevoegdheid voor. Soms gaat er eens wat mis, maar dat lossen wij - Buurman en Buurman - dan simpel op." Op deze manier wordt er een Buurman&Buurman-achtige situatie geschapen waarin de veranwoordelijkheid voor het beperken van de verspreiding van persoonsgegevens zoek wordt gemaakt:

Buurman!
Hé buurman!

Buurman?
Hé buurman!

Soms gaat er eens iets fout
Dan heb je een probleem
Maar dat lossen wij dan simpel op.

Bron: https://songteksten-vantoenennu.jouwweb.nl/kinder-en-jeugdseries/tv-tunes-nl-kej/songteksten-tv-tunes-nl/buurman-en-buurman

In de praktijk wordt er dan een situatie gecreëerd waarin, elke keer dat je als burger verplicht een persoonsgegeven aanlevert aan welke overheidsinstantie dan ook, je dit gegeven eigenlijk aanlevert ten behoeve van een uiterst vaag, overkoepelend doel, namelijk: "Verwerking ten behoeve van overheidstaken" waarmee ALLE overheidinstanties aan de slag kunnen. Hiermee wordt een adequate doelbinding, zoals oorspronkelijk bedoeld in de AVG, in de praktijk uitgeschakeld.

Natuurlijk zullen er op papier dan wel wat protocolletjes worden gemaakt waarin staat dat dat niet zomaar mag, of alleen met "waarborgen", maar de afgelopen vijftien jaar heeft iedereen kunnen zien dat dergelijke protocolletjes in de praktijk niet worden nageleefd en dat de verantwoordelijken niet effectief ter verantwoording kunnen worden geroepen. Als het centrale datasysteem er eenmaal is, zal daarin naar hartelust worden gegraaid, en zullen er altijd wel excuses worden gevonden en vinkjes worden gezet waardoor er achteraf een "het is jammer, maar helaas"-verhaal van kan worden gemaakt.

De infrastructuur IS de wetgeving, zo is in de praktijk telkens gebleken. De AVG is niet meer dan een manier om daar een legalistische strik omheen te doen.

Het zou natuurlijk anders moeten zijn. Ambtenaren zouden de wet moeten volgen met respect voor het doel ervan. Maar de AVG wordt door zowel overheden als bedrijven in de praktijk volstrekt instrumenteel opgevat en gebruikt, dus als een middel om zoveel mogelijk data vrijelijk te kunnen verwerken en dan juridisch gedekt te zijn. Zolang dat immorele gedrag niet verandert, bieden alleen infrastructurele beperkingen reële bescherming.

Vergelijk het met het stemmen op papieren stembiljetten. Waarom is het stemmen bij verkiezingen nog niet gedigitaliseerd? Omdat men beseft dat het stemmen bij verkiezingen zo cruciaal is voor de reële(!) legitimiteit van het bestuur, dat men daar niet de fictie durft te hanteren dat formele, juridische waarborgen voldoende zouden zijn om het vertrouwen in het stemproces in stand te houden. Daarom houdt men bij de vormgeving van dat stemproces nog steeds bepaalde infrastructurele waarborgen in stand, te weten analoge, papieren stembiljetten, die worden ingevuld op een stembureau waar echte, analoge mensen toezicht houden en de fysieke, analoge stembussen in de gaten houden.

De fictie dat één centrale opslag van persoonsgegevens voor alle overheidsinstanties veilig zou zijn voor burgers, is volstrekt ongeloofwaardig.

M.J.
08-01-2024, 22:00 door Anoniem
Handig voor de eID om alles samengevoegd te hebben.
Of begrijp ik het allemaal verkeerd?
09-01-2024, 12:03 door -Peter-
Door Anoniem: Dit is geen oplossing, maar het construeren van een excuus om zonder doelbinding met data van burgers te gaan schuiven tussen grote aantallen overheidsinstanties.

Je hebt het artikel niet gelezen?

Het gaat er juist om om niet heen en weer te gaan schuiven met persoonsgegevens.

Nu wordt voor het gemak maar een hele database gekopieerd. In de toekomst (als je de Estland methode gaat gebruiken) heeft iedere club alleen toegang tot de velden waar dat voor mag. Als er iets fout is in de database, kan dat hersteld worden en zit je niet met tientallen databases met foute informatie.

Decentrale opslag is juist veiliger omdat er dan voor de overdracht van data tussen decentrale instantie A en decentrale instantie B een check-moment is ingebouwd waardoor achteraf te controleren en beoordelen valt of er is voldaan aan het principe van doelbinding.

Juist. Niet gelezen.
Ze houden vast aan decentrale opslag.

Die veiligheid en controleerbaarheid wil de staatssecretaris nu verminderen.

Nog maar een keer lezen.

Peter
09-01-2024, 12:55 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 09-01-2024, 13:07
Door -Peter-:
Door Anoniem: Dit is geen oplossing, maar het construeren van een excuus om zonder doelbinding met data van burgers te gaan schuiven tussen grote aantallen overheidsinstanties.

Je hebt het artikel niet gelezen?

Het gaat er juist om om niet heen en weer te gaan schuiven met persoonsgegevens.

Nu wordt voor het gemak maar een hele database gekopieerd. In de toekomst (als je de Estland methode gaat gebruiken) heeft iedere club alleen toegang tot de velden waar dat voor mag. Als er iets fout is in de database, kan dat hersteld worden en zit je niet met tientallen databases met foute informatie.

Decentrale opslag is juist veiliger omdat er dan voor de overdracht van data tussen decentrale instantie A en decentrale instantie B een check-moment is ingebouwd waardoor achteraf te controleren en beoordelen valt of er is voldaan aan het principe van doelbinding.

Juist. Niet gelezen.
Ze houden vast aan decentrale opslag.

Die veiligheid en controleerbaarheid wil de staatssecretaris nu verminderen.

Nog maar een keer lezen.

Peter

Ze houden weliswaar vast aan decentrale opslag, maar leggen daar een centrale infrastructuur overheen voor toegang tot die decentraal opgeslagen gegevens. Blijkens het artikel hier op Security.nl suggereert staatssecretaris Van Huffelen ten onrechte dat er sprake zou zijn van een "decentrale infrastructuur":

In een reactie op het manifest merkt Van Huffelen op dat Nederland het stelsel van centrale basisregistraties kent, waarin bijvoorbeeld persoons- of gebouwinformatie staat opgeslagen. "Het X-road systeem van Estland is een gedecentraliseerde infrastructuur die gegevensdeling tussen overheidsorganisaties verzorgt. Daarbij blijft data bij de bron en vindt er centrale logging plaats."

Hiermee wordt de decentrale opslag formeel niet beëindigd, maar wel functioneel omzeild en eigenlijk veranderd in een "gelede centrale opslag". Het gaat om de vraag of de toegang tot de gegevens centraal of decentraal is. Via het voorgestelde centrale systeem kan men namelijk direct toegang krijgen tot alle gegevens, ongeacht waar die gegevens formeel "decentraal" zijn opgeslagen. Wanneer één enkele computer wordt uitgerust met een harde schijf en nog wat aparte geheugenchips, kun je ook wel gaan zeggen dat gegevens binnen die computer "decentraal" worden opgeslagen, maar functioneel (d.w.z. in de praktijk) werkt het dan niet zo.

Het nut van decentrale opslag is dat de betrokkene daarmee weet waar zijn gegevens voor kunnen worden gebruikt, en door wie, in de praktijk en dat de verspreiding van die gegevens ook een transactie tussen rechtspersonen inhoudt, die aansprakelijk kunnen worden gesteld als zij de gegevens in strijd met wet- en regelgeving aan een andere rechtspersoon beschikbaar stellen. Die aansprakelijkheid wordt met de nieuwe, overkoepelende infrastructuur in de praktijk verdoezeld (zie mijn bijdrage hierboven op 08-01-2024 om 15:39 uur).

In sommige Noordse landen heerst een cultuur van verplicht vertrouwen in een overheid die geacht wordt als een goede huisvader te handelen ten opzicht van al zijn "kinderen" (de burgers van het land). Dit is ook omgezet in een verplicht vertrouwen dat de overheid de AVG zal respecteren, dus dat er eigenlijk geen goede reden is om welk persoonsgegeven dan ook te weigeren aan welke binnenlandse overheid dan ook. Dit is een vorm van verkapt autoritarisme. Het wordt in beginsel als onfatsoenlijk ervaren om een overheid openlijk niet te vertrouwen.

Hoe dat in Estland precies zit qua cultuur en normen, weet ik niet. Maar voor een land als Nederland, waarin allerlei overheden en overheidsinstellingen, inclusief de nationale overheid, zich als ongeleide projectielen en met weinig respect voor de wet gedragen, is een dergelijk verplicht vertrouwen niet geschikt, althans niet als we als burgers een serieuze vorm van privacy en veiligheid willen.

"Decentrale" opslag moet altijd gepaard gaan met decentrale instemming van een burger voordat diens persoonsgegevens gedeeld worden met een centrale infrastructuur waar andere instanties toegang toe hebben, en ook elke keer voordat specifieke gegevens gedeeld worden met enige specifieke andere instelling. Anders is er in de praktijk geen adequate bescherming van de burger, en ook geen werkelijke, functionele decentrale opslag.

M.J.
10-01-2024, 09:42 door karma4
Het idee om alles meteen bij de bon op te halen is al tijden als technisch ongewenst geclassicifeerd.
De redenen:
- Je weet niet meer welke versie van een gegeven ooit gebruikt is.
Vanuit auditing en archivering en zeer ongewenste insteek.
- Er wordt een ongewenste ketenafhankelijkheid met beschikbaarheid geïntroduceerd. Deze is strijdig met NIS2e
Een DDOS kwetsbaarheid wordt zo in het ontwerp neergezet.
- Gegevens in bronsystemen zijn vaak onbruikbaar voor de toepassing elders, de basis key is voor de vraag onbruikbaar.
Neem kadastergegevens waar wie met wie en wat hoe vaak handelt een zeer fraai gegeven is welk niet uit de basisregistratie te halen valt.

Wat hier gebeurt is dat van Huffelen te veel naar privacy activisme luistert, dat is een zeer slechte raadgeving met de facilitering van het voor de hand liggende misbruikt.
Als de noorse landen als voorbeeld genomen wordt moet subiet het BSN als gevoelig gegeven uit de nederlandse invulling gehaald worden als bijzonder gevoelig iets.
10-01-2024, 09:47 door karma4
Door EersteEnigeEchte M.J. - EEEMJ:
Hiermee wordt de decentrale opslag formeel niet beëindigd, maar wel functioneel omzeild en eigenlijk veranderd in een "gelede centrale opslag" .....

Het nut van decentrale opslag is dat de betrokkene daarmee weet waar zijn gegevens voor kunnen worden gebruikt, en door wie, in de praktijk en dat de verspreiding van die gegevens ook een transactie tussen rechtspersonen inhoudt,
... M.J.

Die is veel beter decentraal voor alle basis registraties per entiteit.
Per decentrale entiteit een centrale insteek, met versie aanduiding aub. en koppeling welk systeem waarvoor het gegeven is gebruikt.. De logging en monitoring is prima voor de herleidbaarheid niet voor ketenafhankelijkheden.
11-01-2024, 09:24 door Anoniem
Je kan het hele zaakje met 1 argument wegwuiven: een SPOF is een erkende bad practice.
11-01-2024, 11:53 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 11-01-2024, 11:58
Door Anoniem: Je kan het hele zaakje met 1 argument wegwuiven: een SPOF is een erkende bad practice.

SPOF - ik moest het even opzoeken. Gelukkig hebben we Wikipedia:
A single point of failure (SPOF) is a part of a system that, if it fails, will stop the entire system from working. SPOFs are undesirable in any system with a goal of high availability or reliability, be it a business practice, software application, or other industrial system.

Bron: https://en.wikipedia.org/wiki/Single_point_of_failure

Je doelt met de SPOF dan kennelijk op het centrale toeganspunt tot de formeel nog "decentraal" opgeslagen data.

Er zijn twee problemen met deze manier van wegwuiven:
1. Van Huffelen c.s. kunnen het SPOF-argument terzijde schuiven met allerlei blabla over workarounds, back-ups en andere "waarborgen";
2. Het verandert het probleem in schijn van een privacy- en veiligheidsprobleem voor individuele burgers, in een veiligheidsprobleem van het geleed-centrale systeem als geheel en dus voor de systeemeigenaren / -beheerders. Daarmee glijdt het belang van de individuele burgers weg uit beeld.

Dus eigenlijk is het SPOF-argument een valkuil als het om echte privacy-bescherming gaat. Beter is het om rechtstreeks te blijven kijken naar de privacy-effecten in de praktijk voor individuele burgers. Er is hier sprake van verhulde centralisering die de macht van bepaalde overheidsactoren vergroot en de macht van burgers over hun eigen persoonsgegevens verkleint.

Niet voor niets sprak P. Omtzigt in zijn Binnenhoflezing (6 september jl.) over een verstoring van het noodzakelijke machtsevenwicht tussen burgers en overheid. Hopelijk herinnert Omtzigt zich dat ook in de nu lopende coalitie-onderhandelingen.

M.J.
12-01-2024, 08:27 door Anoniem
Los eerste de toeslagen affaire maar eens op voordat wij de volgende van Huffelen affaire krijgen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.