UWV krijgt boete wegens slecht beveiligen van groepsberichten

De 'Mijn Werkmap'-omgeving is een persoonlijke omgeving op de website van het UWV, waar werkzoekende contact hebben met de organisatie. Tussen augustus 2016 en eind 2018 was het proces van het verzenden van groepsberichten via deze omgeving slecht beveiligd. Hierdoor kwamen verschillende persoonsgegevens terecht bij andere werkzoekenden. Het ging dan om bijvoorbeeld adresgegevens en gegevens over de nationaliteit, maar ook om informatie over fysieke beperkingen of over mensen die te ziek waren om te werken.

Uit onderzoek naar de negen datalekken blijkt onder meer dat het UWV de risico's van het verwerken van persoonsgegevens van werkzoekenden van tevoren onvoldoende in kaart had gebracht. Ook had het instituut volgens de AP eerder technische maatregelen moeten doorvoeren. Daarnaast controleerde en evalueerde het UWV de eigen beveiligingsmaatregelen onvoldoende. Pas eind 2018 nam het UWV technische maatregelen om soortgelijke datalekken te voorkomen, aldus de AP.

"Dit zijn voor een deel bijzondere persoonsgegevens, waar extra zorgvuldig mee omgesprongen moet worden. Het is pijnlijk als dit soort gegevens over jezelf in verkeerde handen terechtkomen. Ook kan iemand ermee aan de haal gaan, waardoor je kwetsbaar bent voor bijvoorbeeld oplichting", zegt AP-bestuurslid Katja Mur daarover. "Het is daarom zorgelijk dat het UWV na de eerste datalekken niet meteen met een passende actie kwam. Er stonden toen 4,5 miljoen Nederlanders ingeschreven bij het UWV, waaronder werkzoekenden, zieken en arbeidsongeschikten. Deze mensen liepen onnodig het risico dat hun persoonsgegevens werden gelekt”.

UWV niet in beroep

Het UWV onderschrijft het oordeel van de AP dat het anders had moeten handelen. "De privacy-vereisten van de AVG zijn van essentieel belang voor onze dienstverlening en voor de privacybescherming van werkzoekenden. Wij onderschrijven dan ook het oordeel van de Autoriteit Persoonsgegevens dat UWV anders had moeten handelen", zegt Janet Helder, lid van de Raad van Bestuur van UWV. "UWV heeft na de eerste datalekken wel degelijk maatregelen genomen. Maar dit waren vooral organisatorische maatregelen, zoals aangescherpte werkinstructies, bewustwording bij medewerkers en een collega vragen mee te laten kijken (vier-ogen-principe). Ondanks deze maatregelen deden zich in 2017 en 2018 nog datalekken voor. Dit trekken wij ons zeer aan."

Het instituut zegt eind 2018 een technische maatregel te hebben doorgevoerd, waardoor soortgelijke datalekken niet meer kunnen optreden. "Achteraf gezien had het voor de hand gelegen om eerder in te zetten op deze technische oplossing."

Eerdere problemen

Het is niet voor het eerst dat het UWV door de AP onder het vergrootglas is gelegd. In januari dit jaar zei de AP contact op te nemen met het UWV nadat KPMG constateerde dat IT-systeem Sonar niet voldeed aan de AVG. Dagblad Trouw meldde destijds dat van ruim 3,1 miljoen oud-klanten en van de huidige 1 miljoen uitkeringsgerechtigden persoonsgegevens in te zien waren. 

Daarnaast waren er eerder al beveiligingsproblemen met het werkgeversportaal. Naar aanleiding daarvan legde de AP een sanctie op om een betere beveiliging af te dwingen. "Je moet van een organisatie zoals het UWV kunnen verwachten dat jouw gegevens veilig zijn. Als dat niet zo is, raakt dit het vertrouwen van de burger in de overheid", aldus Mur.