Welkom bij een nieuwe aflevering van “Dus u dacht dat u niets te verbergen had”, waarin de hoofdrol deze keer vertolkt wordt door de Gemeente Enschede. De Gemeente Enschede had namelijk een zogenoemd “datalek”.
Vanwege de meldplicht die op datalekken zit, hebben ze dat nu ook de burger moeten vertellen en dus weten we nu ongeveer wat er met uw gegevens gebeurt terwijl u niet kijkt. Wat is er gebeurt dan? NSA? Wikileaks? Cyberaanval van IS of de Russen die Enschede overmorgen binnen willen vallen? Neen.
Het datalek in kwestie is niet zozeer een ‘lek’ als wel een fuck-up van dataleken die een kraantje met informatie open hebben gezet naar de mensen toe. Wat gebeurde er namelijk? Enschede wilde een aantal ‘werkzoekenden’ op de hoogte brengen van een nieuwe vacature.
E-mail! Vet man!
Om dat soort dingen te bewerkstelligen, gaan ze (heel modern) mensen e-mailen. Volgens de e-mail zit Enschede in een samenwerking van 14 Twentse gemeenten en het UWV, waardoor ze over uw informatie beschiken. Die samenwerking kennen we. Dat heet Suwinet, die vaker een hoofdrol in onze stukjes over privacyfuckups vertolkt. Dus iemand heeft in die gegevens zitten zoeken, en in plaats van alleen de nodige data (een naam en e-mail) álle data UIT de beveiligde omgeving van Suwinet gehaald en in een bestand gezet.
“Hoi, hier gegevens over burgers”
Om vervolgens in plaats van de e-mail adressen uit dat bestand te gebruiken, het hele bestand te mailen aan 30 andere uitkeringstrekkers. En daar stonden dan namen, telefoonnummers, geboortedata, BSN-nummers, opleidingsniveaus, rijbewijsgegevens en het type uitkering in.
Even Enschede bellen
Geen zorgen, zegt de Gemeente Enschede, we hebben iedereen die die mail kreeg gebeld en nu gaat het allemaal goedkomen.
https://twitter.com/BrutRoyyal/status/849708036390363137
Waarom? Warum?
Dat kan wel zijn, maar dit roept vragen op. De eerste daarvan is deze: Suwinet is een gesloten systeem met toegangscontrole bedoeld om op een gecontroleerde en beveiligde manier deze gegevens tussen overheidsinstanties te delen. Of dat nou goed beveiligd is of niet, de intentie is hopelijk om dat wel te doen. Een cruciaal onderdeel is dat alleen mensen met toegang tot die gegevens ze kunnen opvragen EN dat geregistreerd wordt wie dat doet en wanneer. WAAROM zit er dan iemand bestanden te maken met gegevens die überhaupt via mail verstuurd kunnen worden? Is dat een feature, en zo ja waarom, want dat ondermijnt het gehele principe van gecontroleerde toegang? Of zit iemand dat bij gemeente Enschede handmatig over te typen? En zo ja: waarom dan zoveel gevoelige gegevens overnemen die je niet nodig hebt om een paar mensen te mailen? Dat is meer werk!
Het lijkt ons dat dit nog wat onderzoek vraagt, want dit is niet een simpele kwestie van “oeps, verkeerde bijlage”: die hele bijlage had niet moeten bestaan. In de tussentijd, als iemand tegen u zegt: “Ja, maar wij zijn de overheid, dus u kunt ons met uw gegevens vertrouwen”, dan liever niet al te hard lachen. Dat is onbeleefd, namelijk.
BKWI heeft een e-learning module veilig gebruik van Suwinet, toeval bestaat niet! https://www.bkwi.nl/nieuws/e-learningmodule-veilig-gebruik-suwinet
Oh, ik zie dat de foto die bij dit topic hoort per ongeluk bij het topic eronder is terecht gekomen.
Een glas, een plas, en alles bleef precies zoals het was..