UWV bereidt aangifte voor wegens 'oneigenlijk gebruik' 150.000 cv's
Het UWV bereidt een aangifte bij de politie voor wegens een vermoeden dat iemand 150.000 cv's op werk.nl voor 'oneigenlijk gebruik' heeft gedownload. Volgens de instantie heeft een account op werk.nl op 4 mei een buitenproportioneel aantal cv's ingezien. Via werk.nl kunnen werkzoekenden onder meer met het UWV communiceren, naar sollicitaties zoeken en een cv maken. Werkgevers kunnen door het aanmaken van een account cv's bekijken en vervolgens gebruiken om actieve vacatures te vervullen.
"Het aanbieden van cv's van werkzoekenden is een belangrijk onderdeel van onze dienstverlening. Het is daarom voor werkgevers mogelijk om cv's van werk.nl in te zien en te downloaden wanneer zij potentieel geschikte kandidaten voor hun vacatures hebben gevonden", aldus het UWV. "Het is voor werkgevers mogelijk om dit in grotere aantallen te doen wanneer zij meerdere kandidaten zoeken voor meerdere vacatures."
In het geval van de nu ontdekte situatie spreekt het UWV over een buitenproportioneel grote hoeveelheid cv's die is ingezien en mogelijk gedownload door één partij. "Dit gaat in tegen de gebruiksvoorwaarden van werk.nl. Daarom beschouwt UWV dit als een actie tot vermoedelijk gebruik voor oneigenlijke doelen. Er worden aanvullende maatregelen genomen om onwenselijke massale inzage en downloads van cv's te voorkomen", zo laat de instantie verder op de eigen website weten.
De betrokken personen van wie de cv's ingezien, en mogelijk gedownload zijn, worden door het UWV geïnformeerd over welke informatie er is bekeken. Het betreffende account dat voor de inzage is gebruikt, is geblokkeerd en er is een aangifte in voorbereiding, omdat het volgens het UWV vermoedelijk gaat om oneigenlijk gebruik van de cv's. Ook is er een voorlopige melding gedaan bij de Autoriteit Persoonsgegevens. "Werk.nl is bedoeld om mensen die werk zoeken in contact te brengen met werkgevers en andersom. De cv's die op de website staan zijn niet bedoeld voor andere doeleinden", zegt Judith Duveen van het UWV.
Dus gaat UWV nu onmiddellijk ophouden met mensen 'verplichten' om hun CV op UWV-vergiet 'Werk.nl' te zetten?
Nee hoor, ze gaan rustig door. Op naar het volgende verdronken kalf.
Enzovoort, enzoverder.
En dat zo'n "werkgever" niet ongebreideld alle CVs bij het UWV kan inzien
Maar dat daar minimaal een vacature tegenover moet staan waar werkzoekenden zelf op kunnen reageren als ze interesse hebben.
Je weet wel: minimale procedurele beveiliging.
Het verbaast me dat het inzien van 150.000 Cv's iemand daar opgevallen is (achteraf).
Zodra een werkgever meer dan 100 of 1000 CV's bekijkt/download, dan zou je toch een timeout oid verwachten en een medewerker die gaat bellen waarom deze werkgever zoveel CV's bekijkt/download.
Aanstaande ex-werknemer daar die een uitzendbureau wil beginnen?
Uitzendbureau dat het bestand wil bijwerken?
Allemaal misbruik...
Aanstaande ex-werknemer daar die een uitzendbureau wil beginnen?
Uitzendbureau dat het bestand wil bijwerken?
Allemaal misbruik...
Hmmm:
- Je mag nooit je ww delen met een ander. (Slordigheid is geen excuus)
- Als die ex-werknemer (van welke organisatie) geen eigen account heeft, dan is dat een overtreding van de "regels". Noem het maar meteen illigaal data-scraping. (150.000 CV's)
- Als dat uitzendbureau een eigen account heeft, en afspraken over bulk-updaten heeft met de UWV, dan zou er geen vuiltje aan de lucht zijn. Of anders met een telefoontje op te lossen. Dat is niet gebeurd.
Of mischien had FB extra profiel-data nodig.
Of wil iemand deze data aan reclame-boeren verkopen.
Of heeft een Nigeriaanse prins een grote vacature te vullen (150.000 CV's !!!!!!) Maar wel eerst 100 euro (pp) storten op een bankrekening in Zwitserland, als administratiekosten voor het selectieproces.
Althans op korte termijn.
De politie wordt voor iets anders ingeschakeld.
Waarschijnlijk voor het misbruik van de gedownloade gegevens.
Verder is het geen strafrecht maar civielrecht, een onrechtmatige daad if contractbreuk. Gaat de politie niet over
De politie wordt voor iets anders ingeschakeld.
Waarschijnlijk voor het misbruik van de gedownloade gegevens.
Verder is het geen strafrecht maar civielrecht, een onrechtmatige daad if contractbreuk. Gaat de politie niet over
Dat was al voldoende duidelijk bij de eerste keer dat het mis ging. De tweede keer is een bevestiging van falend securitybeleid. De persoon verantwoordelijk mag zich inschrijven als werkzoekende.
Is dat strafbaar? Ik denk niet, zoals MathFox hierboven, dat dit onder computervredebreuk (artikel 138ab van het Wetboek van strafrecht) valt, omdat er geen sprake is van het wederrechtelijk binnendringen in het systeem: de persoon had een geldig account en kon daarmee de gegevens benaderen, dan is er geen sprake van binnendringen. Artikel 138c lijkt me wel van toepassing: opzettelijk en wederrechtelijk[*] gebruik van niet-openbare gegevens (eerste lid), met een vermoeden van een oogmerk dat niet mag (derde lid):
1 Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die opzettelijk en wederrechtelijk niet-openbare gegevens die zijn opgeslagen door middel van een geautomatiseerd werk, voor zichzelf of voor een ander overneemt of doorgeeft.
2 Indien de gegevens een niet-contant betaalinstrument betreffen, wordt de schuldige gestraft met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie.
3 Indien het feit wordt gepleegd met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, wordt de schuldige gestraft met gevangenisstraf van ten hoogste drie jaren of geldboete van de vierde categorie.
[*] Waarom kan het wederrechtelijk zijn? Iets is wederrechtelijk als er geen wettelijke bevoegdheid en geen toestemming voor is. In tegenstelling tot wat veel techneuten regelmatig lijken te denken wordt die toestemming niet alleen bepaald door de implementatie van het systeem[**] maar ook door andere factoren, zoals de afspraken die er gemaakt zijn, inclusief voorwaarden waarmee men akkoord is gegaan. En dus kan iemand die op op technisch niveau toestemming heeft om die gegevens te benaderen er veel meer benaderen dan waar de gemaakte afspraken redelijkerwijs recht op geven. Daarmee kan het wederrechtelijk worden, en dus ook strafbaar.
[**] De implementatie schiet natuurlijk schromelijk tekort hier, maar strafrecht is geen technische beveiligingsmaatregel. Ter vergelijking: een simpel "verboden toegang"-bordje bij de ingang van privéterrein maakt dat je strafbaar bent als je er zonder toestemming of bevoegdheid voorbij loopt, er hoeft geen metershoog hek met prikkeldraad, schrikdraad en camera's te staan om het strafbaar te maken.
Dit gaat geen stand houden in de rechtzaal.
In het ergste geval "was het gedrag van de download tool anders dan wat er verwacht werdt".
De zoveelste flater van het UWV.
Dit gaat geen stand houden in de rechtzaal.
In het ergste geval "was het gedrag van de download tool anders dan wat er verwacht werdt".
De zoveelste flater van het UWV.
Weet ik niet. Hangt af van de voorwaarden die de UWV heeft gesteld bij akkoordverklaring. Dat zal denk ik de rechter vooral onderzoeken. Of het met een tooltje is gebeurd is niet zo relevant.
Zo was het een aantal jaar geleden.
Blij dat ik daar weg ben. Ze doen er alles aan om je met zogenaamd 'steunende' peptalk op te juinen dat het je eigen schuld is als je niet meteen een andere baan hebt gevonden.
Soort virtuele bubble waarin je volgens hun vanzelf succes hebt als je maar wilt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!