UWV-privacy

De privacy van werkzoekenden wordt bij het UWV onvoldoende beschermd

Het hoofdkantoor van UWV in Amsterdam.Beeld ANP

Te veel mensen kunnen de persoonsgegevens van werkzoekenden inzien doordat het IT-systeem van het UWV niet voldoet aan de privacywet AVG.

Het administratiesysteem van UWV waarin de persoonsgegevens van alle werkzoekenden met een uitkering in staan, kent grote problemen met de bescherming van de privacy. Van bijna een miljoen mensen zijn de naam, adres, geboortedatum, nationaliteit, opleidingsniveau, bsn en belastbaarheid te zien door heel veel UWV-medewerkers en gemeente-ambtenaren.

In totaal 16.000 mensen kunnen gebruik maken van dit landelijke klantregistratiesysteem, dat Sonar heet. Dat systeem is in 2005 in werking getreden, en toen was er nog niet zoveel aandacht voor een zorgvuldige omgang met persoonsgegevens, schrijft minister Wouter Koolmees van sociale zaken aan de Tweede Kamer. Sonar werd juist zo gemaakt dat het makkelijk was om gegevens te delen tussen bemiddelaars en potentiële werkgevers.

Het is al langer bekend dat er problemen zijn met dit IT-systeem. Tussen 2016 en 2018 waren er verschillende datalekken bij UWV binnen Sonar, bijvoorbeeld omdat bestanden per ongeluk onder te veel mensen werden verspreid. Die datalekken waren het gevolg van menselijk handelen, benadrukt UWV, maar het was wel aanleiding om enkele maatregelen te nemen en te kijken of Sonar kan worden vervangen.

In 2019 zijn daartoe de eerste stappen genomen, maar uit een recent onderzoek van KPMG blijkt dat er nog veel meer werk verzet met worden. KPMG stelt in zijn onderzoeksrapport dat Sonar op dit moment niet voldoet aan veel beginselen van de privacywet, de Algemene verordening gegevensbescherming (AVG).

Aan de privacywet wordt niet voldaan

Zo zijn er dus problemen met de toegang tot het systeem: veel te veel mensen kunnen erbij. Ook worden er veel meer persoonsgegevens gebruikt en verwerkt dan nodig is (oftewel er zijn problemen met dataminimalisatie). En de gegevens worden langer bewaard dan noodzakelijk (dat noemt AVG opslagbeperking). De conclusie luidt: UWV houdt zich niet aan de eisen van de privacywet.

KPMG noemt het gebrekkige systeem een risico voor voormalige, huidige en toekomstige klanten van UWV. Zo staan er ook nog veel burgers in het systeem die al lang niet meer in de bestanden zouden moeten voorkomen. Dat zou volgens de onderzoekers kunnen leiden tot boetes van de Autoriteit Persoonsgegevens, met eventuele maatschappelijke onrust als gevolg. 

Tientallen miljoenen euro’s

Stapsgewijs gaat UWV een aantal technische verbeteringen doorvoeren, en op zijn vroegst wordt in 2025 het hele systeem vervangen, schrijft minister Koolmees aan de Kamer. Eerder kan niet, omdat anders de continuïteit van de dienstverlening van het UWV in gevaar komt, meldt hij. Dit gaat veel geld kosten. UWV schat dat het om tientallen miljoenen euro’s zal gaan aangezien ‘het een meerjarig ICT-project wordt’, zegt een woordvoerder. 

Wel gaat het UWV al eerder de wachtwoorden resetten, en gaat het medewerkers beter informeren over het belang van privacy, belooft Koolmees. In 2019 heeft UWV eisen gesteld aan het personeel dat toegang heeft tot gevoelige data. Deze medewerkers moeten een verklaring omtrent gedrag (VOG) bezitten, een ondertekende geheimhoudingsverklaring afleggen en de e-learning integriteit volgen.

KPMG heeft twijfels of dat genoeg is, en adviseert nadrukkelijk om al eerder oplossingen te zoeken voor de grootste risico’s.

Lees ook:

Honderden datalekken bij UWV en SVB

Brieven naar het verkeerde adres, mails met gegevens van anderen en verloren harddisks. Bij het UWV en de SVB is veel mis.

ICT-expert: Bij het UWV wordt permanent data gelekt

Wie nog dacht dat zijn gegevens bij overheidsorganen in goede handen zijn, moet zich echt eens achter de oren krabben.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden