image

UWV en SVB hadden duizend datalekken in eerste acht maanden 2023

dinsdag 26 maart 2024, 11:10 door Redactie, 19 reacties

Het UWV en de Sociale Verzekeringsbank (SVB) hebben in de eerste acht maanden van vorig jaar met ruim duizend datalekken te maken gekregen die bij de Autoriteit Persoonsgegevens zijn gemeld. Zo bleek onder andere dat UWV-medewerkers ten onrechte toegang hadden tot de gegevens van acht miljoen mensen en werden salarisgegevens van meer dan negenhonderd mensen naar iemand gemaild.

In de periode van 1 januari tot en met 31 augustus 2023 deden zich bij het UWV en de SVB respectievelijk 527 en 509 datalekken voor. Het betrof in vrijwel alle gevallen datalekken waarin het om de persoonsgegevens van één persoon ging. Volgens het ministerie van Sociale Zaken en Werkgelegenheid betreft het datalekken met beperkte impact, bijvoorbeeld een verkeerd geadresseerde brief. "Elk datalek is er echter één te veel vanwege de schending van de privacy van betrokkenen", aldus het ministerie in de Stand van de uitvoering sociale zekerheid.

Salarisgegevens

Vooralsnog zijn er vorig jaar vier impactvolle datalekken geweest. Zo verzond het UWV door een menselijke fout de salarisgegevens van 920 personen per e-mail aan één cliënt die uitsluitend inzage wilde in zijn eigen gegevens. Deze persoon heeft aangegeven de gegevens niet te hebben bekeken en het bestand op verzoek van het UWV te hebben verwijderd. Het datalek is gemeld bij de Autoriteit Persoonsgegevens. Ook is de toegang tot de e-mail ingetrokken. Om herhaling te voorkomen zegt het ministerie dat dit soort gegevens voortaan op papier zullen worden verstrekt.

Verkeerde toegangsrechten op UWV-servers

Een ander groot datalek betreft verkeerde toegangsrechten. Na groot onderhoud in 2019 zijn de instellingen voor toegangsrechten verkeerd afgesteld op een aantal servers van het UWV. Hierdoor waren de gegevens op deze servers toegankelijk voor alle UWV-medewerkers die gebruikmaken van kantoorautomatisering. Het gaat daarbij ook om persoonsgegevens, waaronder strafrechtelijke en bijzondere persoonsgegevens, van acht miljoen mensen.

Vorig jaar werd gemeld dat alleen UWV-medewerkers met een klantadviseurs-account toegang hadden. Dat blijkt niet het geval te zijn. Het betreft alle UWV-medewerkers met een kantoorautomatiserings-account, wat er meer zijn. Het probleem is inmiddels verholpen en het UWV schat de kans op misbruik van de gegevens laag in. "Omdat dat diepgaande technische kennis vergt van de betreffende systemen", zo legt het ministerie uit.

Beveiligingslek STAP-applicatie

Vorig jaar maart ontdekte het Nationaal Cyber Security Centrum (NCSC) een kwetsbaarheid in de STAP- applicatie van het UWV. Via het beveiligingslek konden onbevoegden inzage krijgen in gegevens van andere BSN-nummers. Het ministerie stelt dat het technisch niet mogelijk was om te achterhalen of en welke BSN-nummers zijn ingezien. "Fraude is onwaarschijnlijk aangezien een vooraanmelding noodzakelijk was en het budget inmiddels volledig was benut." Via het STAP-budget kan er tot duizend euro worden aangevraagd voor scholing en ontwikkeling.

In- en uitloggen met DigiD op Mijn UWV

Een ander groot datalek dat zich vorig jaar voordeed betref het in- en uitloggen met DigiD op Mijn UWV. In een aantal gevallen konden burgers na het inloggen met DigiD op Mijn UWV gegevens inzien van andere burgers met wie ze gezamenlijk één computer gebruiken. Dit is alleen mogelijk als iemand zich niet afmeldt en binnen vijftien minuten een ander persoon inlogt op dezelfde browser. Het UWV zegt de oplossingsmogelijkheden hiervoor te onderzoeken.

Reacties (19)
26-03-2024, 11:15 door Anoniem
tja en wij maar 2FA en apps enzv. wat mij betreft moet er plaats op de pas komen en eerst de basis op orde zijn bij dit soort partijen ipv nieuwe dingen te gaan doen die het gebruikers ook nog eens lastiger maken. de "gaten" in het net zitten elders!
26-03-2024, 11:36 door Anoniem
Zullen we maar niet gewoon stoppen met alles te digitaliseren?
Hoe kan je van burgers verwachten dat die de digitalisering kunnen bijhouden als het de overheid zelf al niet eens lukt?
26-03-2024, 12:11 door Anoniem
Wat een klungelige bende. En natuurlijk is niemand persoonlijk verantwoordelijk. Om van te walgen.
26-03-2024, 12:36 door Anoniem
En dit soort instanties zijn nu ook al bezig met AI... want microsoft zei dat co-pilot echt iets voor ons kan betekenen.... het is zo duidelijk allemaal maar gewoon oogkleppen ophouden.
26-03-2024, 12:56 door Anoniem
Alle specialisten zitten weer thuis lekker op hun toetsenbord hun wijsheid te spuien, maken schijnbaar nooit fouten. Wees gerust, wie werkt maakt fouten, de mensen, die GEEN bfouten maken, werken dus niet.
26-03-2024, 13:00 door Anoniem
Door Anoniem: Wat een klungelige bende. En natuurlijk is niemand persoonlijk verantwoordelijk. Om van te walgen.

Wie is er verantwoordelijk: de directie van het UWV.
Daarboven weer de minister.
En als laatste het parlement.

Maar die zullen allemaal niet-thuis geven.
Het is in hun ogen al snel een "ICT-probleem".
26-03-2024, 13:27 door Anoniem
Waar gewerkt wordt, worden fouten gemaakt. Maar dit zijn ambtenaren /i ;-)
26-03-2024, 14:23 door Anoniem
Door Anoniem: Alle specialisten zitten weer thuis lekker op hun toetsenbord hun wijsheid te spuien, maken schijnbaar nooit fouten. Wees gerust, wie werkt maakt fouten, de mensen, die GEEN bfouten maken, werken dus niet.

Fouten maken is niet egr als je herstellende vermogen maar op orde is. Dit is overheid (ambtenaren) daar blijkt uit vele voorbeelden dat helaas deze mensen nooit leren van hun fouten.

Ook zeggen deze mensen altijd dat men hard werkt maar eigenlijk doen ze niet veel meer dan veel online overlegjes houden (het liefst zonder notulen want dat is niet hip), veel thuis"werken" en wat documentjes typen....

Van het UWV is ooit een mooi praktijk voorbeeld opgeschreven ... dat had de toepasselijke naam "kronieken van een faalfabriek"
26-03-2024, 15:21 door Anoniem
Door Anoniem: Alle specialisten zitten weer thuis lekker op hun toetsenbord hun wijsheid te spuien, maken schijnbaar nooit fouten. Wees gerust, wie werkt maakt fouten, de mensen, die GEEN bfouten maken, werken dus niet.
Stel jij maakt 1000 grove en nalatige fouten op je werk in 8 maanden wat zou er gebeuren met je contract?
Ik verzeker je je ligt er al na je eerste 10 mogelijk eerder eruit.

Maar dat is niet hoe het werkt bij overheid en ambtenaren die schuif je hoogstens rond qua afdeling en project als *ahem* diciplinaire actie of in ergste geval verplichte betaalde vakantie of als ze bijna einde rit zijn vervroegd pensioen of vrijwillig opstap om vervolgens maand of 3 later weer in te huren als zelfstandige consultant en nog meer geld eraan uit te geven dan toen ze in vast dienstverband waren.

En dat maakt dat de accountability 0,0 daar is. Dat hoger geplaatsten vervolgens weer misbruiken om de jongere generatie die nog wel goed werk willen leveren hun kans op verbetering te saboteren en naar de zelfde werkwijze te zetten. Wil je bewijs lees even alle rapportages over verziekte bedrijfs cultuur in de overheid. Gewoon even googlen slechte werksfeer overheid, gemeenten of giftige cultuur gemeente bijvoorbeeld. En dit speelt al meer dan 30 jaar.


Jaren meegemaakt van dichtbij als IT manager voor een partner van gemeente met ambtenaren kantoor tuin en facilitering. Meetings meetings inplannen zonder enig nut, teambuilding events, opzettelijk verstoren van inlog door te vaak verkeerd tokens in te toetsten zodat er niet gewerkt kan worden voor een unlock of nog erger vervanging is geregeld maar echt werk leveren misschien paar procent van de gehele werkweek op een paar na met een gevoel van zelf respect en respect voor de burgers, klanten die zich letterlijk kapot werken in burn-out kwamen omdat de rest niks tot weinig deed.

En als er iets niet werkt en hogerop krijgt problemen ermee wel dan trekken we toch even PWC, Deloit, FoxIT uit de kast met duren consultatie weken gezever en onderbreking van taskflows omdat ze mee moeten kunnen kijken. Vervolgens komt er een advies rapport uit daar gaat men maanden over nadenken komt men op allerlei tegen eisen om de invoer van betere efficientie te voorkomen en omdat die onderzoeks bureaus enkel advies mogen geven en betaald worden door de overheid is het voornamelijk ja knikken en buigen voor het comentaar van een partij die eigenlijk werkelijk niks in te brengen heeft op de resultaten van specialisten.

Dus ja hier een specialist die een toetsenbord gebruikt om wijsheid of wel ervaring te delen. De meerderheid maken stelselmatig fouten *en* tegelijk werken ze niet.
26-03-2024, 15:57 door Anoniem
Door Anoniem:
Door Anoniem: Alle specialisten zitten weer thuis lekker op hun toetsenbord hun wijsheid te spuien, maken schijnbaar nooit fouten. Wees gerust, wie werkt maakt fouten, de mensen, die GEEN bfouten maken, werken dus niet.

Fouten maken is niet egr als je herstellende vermogen maar op orde is. Dit is overheid (ambtenaren) daar blijkt uit vele voorbeelden dat helaas deze mensen nooit leren van hun fouten.

Ook zeggen deze mensen altijd dat men hard werkt maar eigenlijk doen ze niet veel meer dan veel online overlegjes houden (het liefst zonder notulen want dat is niet hip), veel thuis"werken" en wat documentjes typen....

Van het UWV is ooit een mooi praktijk voorbeeld opgeschreven ... dat had de toepasselijke naam "kronieken van een faalfabriek"
Wie zaten achter die faalfabriek, dat waren ICT-ers, toch? En hun opdrachtgevers, de vergeven tenders, de uitbestedingen. De beroepsgroep is navelstaarderig, en wist zich in te werken in bestuur. Hoe in de toekomst hun bijdrage aan de nieuwe wereldorde beoordeeld gaat worden, is aan psychologen.
26-03-2024, 17:13 door Reinder
Het valt me eigenlijk nogal mee. Het zijn ook niet 1000 grove of nalatige fouten. Beide instanties gaan om met de gegevens van letterlijk miljoenen mensen en verwerken daarvoor tientallen miljoenen transacties per jaar die gecompliceerd worden door wijzigende regelgeving, rechterlijke uitspraken, veranderende prioriteiten en de wens om in bepaalde gevallen maatwerk te leveren. Onder die omstandigheden is het dus (met in 2023 zo'n 1.75 miljoen verhuizingen) niet zo raar dat er wel eens een brief per abuis naar een verkeerd adres gaat, of dat informatie over personen bij een verkeerd team terecht komt. Tel daarbij op dat in elke normale organisatie er fouten gemaakt worden waardoor bepaalde groepen gebruikers van IT-systemen abusievelijk meer of minder toegangsrechten toebedeeld krijgen, en dan is 1000 op jaarbasis eigenlijk niet eens zo slecht.

Het ene datalek is het andere ook niet. Als een ambtenaar die toegang nodig heeft tot gegevens van 7 miljoen mensen door een configuratie-fout in de software toegang krijgt tot de gegevens van 7 miljoen en 1 mensen dan is dat een datalek, maar een van een andere orde dan een bestand online lekken met alle gegevens van alle Nederlanders. Het lijkt dat het merendeel van die 1000 datalekken in die eerste categorie valt.

Er zijn, zo lees ik, vier datalekken geweest met impact. Gegeven de complexiteit van het werk en de hoeveel data vind ik dat enorm meevallen, en ik denk dat we juist positief zouden moeten zijn over hoe serieus ze het nemen door ook kleine datalekken zonder significante impact te melden. Bij de meeste organisaties verdwijnen die onder het tapijt.
26-03-2024, 18:38 door Anoniem
Door Anoniem:
Door Anoniem: Alle specialisten zitten weer thuis lekker op hun toetsenbord hun wijsheid te spuien, maken schijnbaar nooit fouten. Wees gerust, wie werkt maakt fouten, de mensen, die GEEN bfouten maken, werken dus niet.
Stel jij maakt 1000 grove en nalatige fouten op je werk in 8 maanden wat zou er gebeuren met je contract?
Ik verzeker je je ligt er al na je eerste 10 mogelijk eerder eruit.

Maar dat is niet hoe het werkt bij overheid en ambtenaren die schuif je hoogstens rond qua afdeling en project als *ahem* diciplinaire actie of in ergste geval verplichte betaalde vakantie of als ze bijna einde rit zijn vervroegd pensioen of vrijwillig opstap om vervolgens maand of 3 later weer in te huren als zelfstandige consultant en nog meer geld eraan uit te geven dan toen ze in vast dienstverband waren.

En dat maakt dat de accountability 0,0 daar is. Dat hoger geplaatsten vervolgens weer misbruiken om de jongere generatie die nog wel goed werk willen leveren hun kans op verbetering te saboteren en naar de zelfde werkwijze te zetten. Wil je bewijs lees even alle rapportages over verziekte bedrijfs cultuur in de overheid. Gewoon even googlen slechte werksfeer overheid, gemeenten of giftige cultuur gemeente bijvoorbeeld. En dit speelt al meer dan 30 jaar.


Jaren meegemaakt van dichtbij als IT manager voor een partner van gemeente met ambtenaren kantoor tuin en facilitering. Meetings meetings inplannen zonder enig nut, teambuilding events, opzettelijk verstoren van inlog door te vaak verkeerd tokens in te toetsten zodat er niet gewerkt kan worden voor een unlock of nog erger vervanging is geregeld maar echt werk leveren misschien paar procent van de gehele werkweek op een paar na met een gevoel van zelf respect en respect voor de burgers, klanten die zich letterlijk kapot werken in burn-out kwamen omdat de rest niks tot weinig deed.

En als er iets niet werkt en hogerop krijgt problemen ermee wel dan trekken we toch even PWC, Deloit, FoxIT uit de kast met duren consultatie weken gezever en onderbreking van taskflows omdat ze mee moeten kunnen kijken. Vervolgens komt er een advies rapport uit daar gaat men maanden over nadenken komt men op allerlei tegen eisen om de invoer van betere efficientie te voorkomen en omdat die onderzoeks bureaus enkel advies mogen geven en betaald worden door de overheid is het voornamelijk ja knikken en buigen voor het comentaar van een partij die eigenlijk werkelijk niks in te brengen heeft op de resultaten van specialisten.

Dus ja hier een specialist die een toetsenbord gebruikt om wijsheid of wel ervaring te delen. De meerderheid maken stelselmatig fouten *en* tegelijk werken ze niet.
Waar staat ergens, dat die fouten door een en dezelfde persoon gemaakt zijn. Dat is gewoon een aanname van jou om jouw gelijk te halen, komt nogal dom over.
27-03-2024, 11:28 door MZi038
Door Anoniem: Zullen we maar niet gewoon stoppen met alles te digitaliseren?
Hoe kan je van burgers verwachten dat die de digitalisering kunnen bijhouden als het de overheid zelf al niet eens lukt?

Datalekken kunnen ook prima analoog hoor. Dossiertje in trein... etc. Digitalisering is ook een kans om de boel wél te beveiligen en privacy vriendelijk in te richten.
27-03-2024, 11:29 door MZi038
Door Anoniem: Wat een klungelige bende. En natuurlijk is niemand persoonlijk verantwoordelijk. Om van te walgen.

Ben je de oveheid aan het bashen, of meen je dit? Het melden van datalekken is juist heel professioneel. Je moet je zorgen maken om de instanties die nooit wat melden...
27-03-2024, 11:30 door MZi038
Door Anoniem: En dit soort instanties zijn nu ook al bezig met AI... want microsoft zei dat co-pilot echt iets voor ons kan betekenen.... het is zo duidelijk allemaal maar gewoon oogkleppen ophouden.

(gen) AI is voorlopig verboden door de minister.
27-03-2024, 11:35 door MZi038
Door Anoniem:
Door Anoniem: Alle specialisten zitten weer thuis lekker op hun toetsenbord hun wijsheid te spuien, maken schijnbaar nooit fouten. Wees gerust, wie werkt maakt fouten, de mensen, die GEEN bfouten maken, werken dus niet.
Stel jij maakt 1000 grove en nalatige fouten op je werk in 8 maanden wat zou er gebeuren met je contract?
Ik verzeker je je ligt er al na je eerste 10 mogelijk eerder eruit.

Maar dat is niet hoe het werkt bij overheid en ambtenaren die schuif je hoogstens rond qua afdeling en project als *ahem* diciplinaire actie of in ergste geval verplichte betaalde vakantie of als ze bijna einde rit zijn vervroegd pensioen of vrijwillig opstap om vervolgens maand of 3 later weer in te huren als zelfstandige consultant en nog meer geld eraan uit te geven dan toen ze in vast dienstverband waren.

En dat maakt dat de accountability 0,0 daar is. Dat hoger geplaatsten vervolgens weer misbruiken om de jongere generatie die nog wel goed werk willen leveren hun kans op verbetering te saboteren en naar de zelfde werkwijze te zetten. Wil je bewijs lees even alle rapportages over verziekte bedrijfs cultuur in de overheid. Gewoon even googlen slechte werksfeer overheid, gemeenten of giftige cultuur gemeente bijvoorbeeld. En dit speelt al meer dan 30 jaar.


Jaren meegemaakt van dichtbij als IT manager voor een partner van gemeente met ambtenaren kantoor tuin en facilitering. Meetings meetings inplannen zonder enig nut, teambuilding events, opzettelijk verstoren van inlog door te vaak verkeerd tokens in te toetsten zodat er niet gewerkt kan worden voor een unlock of nog erger vervanging is geregeld maar echt werk leveren misschien paar procent van de gehele werkweek op een paar na met een gevoel van zelf respect en respect voor de burgers, klanten die zich letterlijk kapot werken in burn-out kwamen omdat de rest niks tot weinig deed.

En als er iets niet werkt en hogerop krijgt problemen ermee wel dan trekken we toch even PWC, Deloit, FoxIT uit de kast met duren consultatie weken gezever en onderbreking van taskflows omdat ze mee moeten kunnen kijken. Vervolgens komt er een advies rapport uit daar gaat men maanden over nadenken komt men op allerlei tegen eisen om de invoer van betere efficientie te voorkomen en omdat die onderzoeks bureaus enkel advies mogen geven en betaald worden door de overheid is het voornamelijk ja knikken en buigen voor het comentaar van een partij die eigenlijk werkelijk niks in te brengen heeft op de resultaten van specialisten.

Dus ja hier een specialist die een toetsenbord gebruikt om wijsheid of wel ervaring te delen. De meerderheid maken stelselmatig fouten *en* tegelijk werken ze niet.

Grove nalatigheid? We hebben het over datalekken van klein tot groot. En zo te lezen ben jij een N=1 wetenschapper / toetsenbordheld.

Het is toch prachtig dat we als publiek enige inzicht krijgen in de datalekken (onze privacy) bij een uitvoeringsinstantie!? Zes jaar geleden hadden we het er niet over. Nu staat privacy hoog op de agenda. Ik ben er wel blij mee.

UWV (de overheid) heeft een bijzondere morele verplichting om zorgvuldig om te gaan met onze gegevens, omdat we als burgers geen keuze hebben. WW uitkering = UWV ... geen andere keuze... geen concurrentie.
27-03-2024, 16:10 door Anoniem
"Om herhaling te voorkomen zegt het ministerie dat dit soort gegevens voortaan op papier zullen worden verstrekt."

Mogen we dan ook weer gewoon contact geld terug in de maatschappij als betaalmiddel?
Want wettelijk maakt nog niet volwaardig.
31-03-2024, 18:50 door Anoniem
Ben je de oveheid aan het bashen, of meen je dit? Het melden van datalekken is juist heel professioneel. Je moet je zorgen maken om de instanties die nooit wat melden...
Dit zie ik heel anders, namelijk dat de overheid en burgers betrouwbaar met elkaar kunnen communiceren,
en dat is digitaal helaas “nog”niet mogelijk. Voor de overheid geen probleem want gaat het fout wordt de schuld
bij de burgers gelegd zelf nemen ze geen verantwoording.
02-04-2024, 09:51 door Anoniem
echt .... dat gelul over privacy... alsof dat nog te redden is:

Mobieltje ? Ok laat maar.... je privacy is al te grabbel gegooid
Windows 10 of hoger ? Ok laat maar..... microsoft volgt je hele computer gedrag al en verkoopt je data
M365 of andere Big Tech cloud ? Ok laat maar.... je data valt onder de Patriot-Act
Facebook ? Ok laat maar... lees het nieuws

Die hele AVG gaat er niets aan oplossen... het is een lomp systeem alleen maar om aan te tonen dat je zogenaamd iets aan privacy doet .... ondertussen ligt er al zoveel op straat dat je het gewoon een lachwekkend iets begint te worden (zie alle nieuws artikelen constant op deze site).

Als je echt er iets aan wilt doen moet je Internet en Big tech aan banden leggen en dat kan niet meer, je bent 10 jaar te laat.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.