Privacy - Wat niemand over je mag weten

UWV en queue-it.net

29-02-2024, 11:10 door Anoniem, 8 reacties
Beste,

ergens vorig jaar (b)lijkt uwv deense firma te zijn gaan gebruiken voor wachtrijfunctionaliteit bij inloggen bij uwv. Het zit me helemaal niet lekker dat voor (semi?) nederlandse overheidssite(s) dit soort externe partijen wordt gebruikt.

- open pagina "https://www.uwv.nl/particulieren/"
- click button "mijn uwv" (link "https://mijn.uwv.nl/iam/inloggen")
- redirect volgt via "https://uwvnederland.queue-it.net/"

https://uwvnederland.queue-it.net/ (b)lijkt wachtrij functionaliteit te bieden. queue-it.net (b)lijkt deense firma.

uwv gebeld: blijkt dat je middels de kennis van de medewerker (zoals gevreesd en verwacht) echt niet verder komt.

Ik constateer dit op meerdere clients (up2date windows 10/11). Dns op clients verloopt via cloudflare.

Vanaf eerste constatering van redirect en na geen acceptabele noodzaak/verklaring te hebben gevonden heb ik queue-it.net geblocked via uBlock.

Mijn (noodzakelijk) gebruik van uwv heb sindsdien beperkt en unblock ik dan ff. Zelden volgt idd een wachtrij en uwv zelf (b)lijkt gewoon te funtioneren en (b)lijkt op clients geen rottigheid achter te laten.

Mijn "standaard" internetgebruik is via edge; o.a. javascript uit, ublock en umatrix extensies.

Weten jullie te adviseren hoe verder te handelen mbt uwv en noodzakelijk gebruik van hun site?
Reacties (8)
29-02-2024, 15:16 door Anoniem
https://www.privacy-regulation.eu/nl/artikel-45-doorgiften-op-basis-van-adequaatheidsbesluiten-EU-AVG.htm

Een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie kan plaatsvinden wanneer de Commissie heeft besloten dat het derde land, een gebied of één of meerdere nader bepaalde sectoren in dat derde land, of de internationale organisatie in kwestie een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen specifieke toestemming nodig.

Dus de vraag is: wat vind jij een derde partij? Is dat een partij anders dan het UWV? En zo ja, wat maakt het dan uit in welk land zich die partij bevindt?

En de vervolgvraag is: waarom heb jij het idee dat de privacywetgeving niet nageleefd wordt?
29-02-2024, 15:17 door Anoniem
Een waardevol technisch advies heb ik niet, maar ik deel je zorgen vanwege het verplicht gebruik van dit Deense product, en Denen zou ik niet op hun mooie blauwe ogen vertrouwen, ik ken meer merkwaardige producten uit dat land, niet alle ICT gerelateerd, maar er zitten een aantal bijzondere zaken tussen.

Als je werkelijk hier werk van wilt maken, niet alleen voor jezelf, maar ook voor anderen, ga een dossier opbouwen, met alle technische en (ge)wetenbezwaren.

Is het gunnen van de overheidsopdracht aan queue-it via tender en aanbesteding verlopen?
29-02-2024, 15:33 door Anoniem
Door Anoniem:
Is het gunnen van de overheidsopdracht aan queue-it via tender en aanbesteding verlopen?

Ja.

https://www.uwv.nl/overuwv/Images/bijlage-10-doelarchitectuur-e-dienstverlening.pdf
29-02-2024, 16:08 door Anoniem
Door Anoniem:
- open pagina "https://www.uwv.nl/particulieren/"
- click button "mijn uwv" (link "https://mijn.uwv.nl/iam/inloggen")
- redirect volgt via "https://uwvnederland.queue-it.net/"
Ik heb het zojuist geprobeerd en zie geen redirect maar kom op "https://mijn.uwv.nl/iam/inloggen.aspx" uit, met drie inlogmogelijkheden.

Als ik het goed interpreteer word je alleen als de UWV-servers te druk zijn naar "https://uwvnederland.queue-it.net/" geredirect en krijg je vermoedelijk weer een redirect terug als je aan de beurt bent. Dan gebeurt het inloggen zelf weer bij UVW. Het Deense bedrijf ziet dan je IP-adres, welke browser je gebruikt en dat soort dingen, en dat je bij UWV moet zijn natuurlijk, maar als ze zullen niet jouw dossier kunnen inzien of zoiets ingrijpends. Voor de gegevens die ze wel zien is de AVG van toepassing, inclusief doelbinding, en het doel is het afhandelen van die wachtrij. Dat lijkt mij althans te zijn wat hier aan de hand is.

uwv gebeld: blijkt dat je middels de kennis van de medewerker (zoals gevreesd en verwacht) echt niet verder komt.
Ik zou contact opnemen met hun functionaris gegevensbescherming. Het e-mailadres staat op https://panel.uwv.nl/privacy/. Die moet uitleg kunnen geven over wat daar gebeurt, welke gegevens Queue-it van je in handen krijgt, en wat ze daarmee mogen doen volgens de verwerkersovereenkomst die er hopelijk is. Ik heb vluchtig in de (volledige) privacyverklaring van UWV gekeken en zo snel niet gevonden dat hier iets over gemeld wordt, dus daar lijkt iets te ontbreken wat erin moet staan. Kijk zelf even wat grondiger om te zien of dat klopt, en neem het mee in de vragen die je stelt.
29-02-2024, 16:36 door Anoniem
Voor de zekerheid, ik ben een andere anoniem dan de OP
Door Anoniem:En de vervolgvraag is: waarom heb jij het idee dat de privacywetgeving niet nageleefd wordt?
Als je de website van queue-it bezoekt worden scripts van all-over-the-place geladen, inclusief buiten de EU, vanuit een bezoeker van het UWV gezien zijn dat zelfs 4e of 5e partijen. De privacy policy van queue-it laat ook te wensen over, ze zeggen niets te verkopen maar verzamelen wel alles wat los en vast zit.
Daarnaast heeft UWV niet echt een best track record, dus het lijkt me prima om daar eens kritisch naar te kijken.
29-02-2024, 21:27 door Anoniem
Van OP:

dank voor reacties.

t.a.v privacy (Vandaag, 15:16 door Anoniem):
hoe kan een "leek" beoordelen of een derde partij legitiem is. Veiligheidshalve beschouw alles dat niet van de originele site komt als: waarom nodig als ik op de site ook zonder die toeters en bellen mijn ding kan (had kunnen) doen. Waarom mag/moet de Deen weten dat mijn ip poogt in te loggen bij uwv? I.e.g. bedankt voor attentie privacy regulation.

t.a.v. tender (Vandaag, 15:17 door Anoniem):
geen idee. Pas door je opmerking is het voor mij ook een vraag en is door Vandaag, 15:33 door Anoniem beantwoord.

t.a.v Vandaag, 16:08 door Anoniem
wanneer/als ik de Deen block in uBlock en inlogbutton click meldt uBlock "uBlock Origin has prevented the following page from loading".
Je mag je idd afvragen hoe dramatisch e.e.a. is, maar mijn stelling is: met zelfs die "magere" gegevens die aldaar gelogd (kunnen) worden heeft de Deen nix te maken.
Bedankt voor privacypanel attentie; zal dit (ook) nog eens bekijken.

t.a.v Vandaag, 16:36 door Anoniem
Je mening is zo'n beetje gelijk aan de mijne en de reden voor mijn post. Waarom is dat van her en der aangesleept spul noodzakelijk? Dat het lekker makkelijk is voor de 1e partij onderken ik wel.

Of ik hier een drama van ga maken bij uwv weet ik nog niet. Ik besef dat veel sites van en door her der geplukte houtjes en touwtjes in elkaar hangen en dat je misschien beter als schaap/koe meegaat met de kudde. Mijn post is/was ook beetje om mijn ei kwijt kunnen en anderen (nog meer) te attenderen op wat sites "onderhuids" "uitspoken".

Allen nogmaals hartelijk dank voor jullie reacties/input.
29-02-2024, 23:51 door Anoniem
Hadden alle eindgebruikers maar de instelling en kunde,
zoals de OP, dan zou er online af en toe niet zo'n zootje van gemaakt worden.

Op IT niveau worden dus kennelijk niet de besluiten genomen.
Nederland wordt vaak zo onveilig 'gemanaged'.

Later zit een ieder soms hierdoor met de gebakken peren.

Overigens goed dat u het aangekaart hebt.
Alleen daarvoor al een dikke pluim.

#laufer
01-03-2024, 12:59 door Ron625 - Bijgewerkt: 01-03-2024, 13:01
Door Topic Starter:
Weten jullie te adviseren hoe verder te handelen mbt uwv en noodzakelijk gebruik van hun site?
Even heel kort door de bocht:
De (open)standaard voor websites is HTML.
Het W3C beheert deze standaard, iedere website is met de online validator van het W3C te controleren op de juistheid van de HTML code.
Neem van mij aan, dat het barst van de fouten, terwijl het voor overheden verplicht is, om aan deze standaard te voldoen.
De pagina https://www.uwv.nl/particulieren bevat al 78 problemen !
Een goed argument lijkt mij, om te vertellen dat je de website niet kan lezen.
Dan zal alles dus weer op papier moeten gebeuren........

ps: De Nederlandse overheid heeft ook zitting in het W3C.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.