Datalek

Flinke boete voor UWV vanwege datalek: ‘Pijnlijk als dit soort gegevens in verkeerde handen terechtkomen’

Het UWV maakt jaarlijks honderden keren melding van een datalek bij de Autoriteit Persoonsgegevens. Beeld ANP XTRA
Het UWV maakt jaarlijks honderden keren melding van een datalek bij de Autoriteit Persoonsgegevens.Beeld ANP XTRA

Het Uitvoeringsinstituut Werknemersverzekeringen (UWV) moet een boete van 450.000 euro betalen wegens grote datalekken van persoonsgegevens.

Het UWV heeft jarenlang het versturen van groepsberichten via de ‘Mijn Werkmap’-omgeving niet goed beveiligd. Dat is een persoonlijke omgeving op de website, waar werkzoekenden contact hebben met het UWV. Hierdoor waren er vele datalekken van persoonlijke gegevens van ruim 15.000 mensen, onder meer over hun gezondheid.

De boete is opgelegd door de Autoriteit Persoonsgegevens (AP). “Hoe het UWV omgaat met de bescherming van persoonsgegevens, heeft al enige tijd de aandacht van de AP”, vertelt Katja Mur, AP-bestuurslid. “Zo waren er eerder beveiligingsproblemen met het werkgeversportaal en moesten wij met een sanctie een betere beveiliging afdwingen. Je moet van een organisatie als het UWV kunnen verwachten dat gegevens veilig zijn. Als dat niet zo is, raakt dit het vertrouwen van de burger in de overheid.”

Tussen augustus 2016 en eind 2018 kwamen bestanden met een veelheid aan persoonsgegevens van werkzoekenden terecht bij de verkeerde ontvangers, namelijk in de Werkmap-omgeving van andere werkzoekenden. Het ging hierbij om zaken als adres, opleidingsniveau, nationaliteit, burgerservicenummer, maar ook informatie over ziekte, fysieke beperkingen en de hoeveelheid werk die mensen psychisch en lichamelijk aankunnen.

Gegevens van 15.000 mensen

Het lekken van gegevens gebeurde in die periode negen keer, waarbij de gegevens van ruim 15.000 mensen bij de verkeerde ontvangers terecht zijn gekomen. Mur: “Dit zijn voor een deel bijzondere persoonsgegevens waarmee extra zorgvuldig omgesprongen moet worden. Het is pijnlijk als dit soort gegevens in verkeerde handen terechtkomen.”

Maar niet alleen pijnlijk. Mur: “Iemand kan ermee aan de haal gaan, waardoor mensen kwetsbaar zijn voor bijvoorbeeld oplichting. Het is daarom zorgelijk dat het UWV na de eerste datalekken niet meteen met een passende actie kwam. Er stonden toen 4,5 miljoen Nederlanders ingeschreven bij het UWV, onder wie werkzoekenden, zieken en arbeidsongeschikten. Deze mensen liepen onnodig het risico dat hun persoonsgegevens werden gelekt.”

Pas eind 2018 nam het UWV technische maatregelen om soortgelijke datalekken te voorkomen. “Achteraf gezien had het voor de hand gelegen eerder in te zetten op een oplossing", reageert UWV-bestuurder Janet Helder nu. “UWV heeft na de eerste datalekken wel maatregelen genomen, maar dit waren vooral organisatorische maatregelen, zoals aangescherpte werkinstructies, bewustwording bij medewerkers en het vragen aan een collega om mee te kijken (vierogenprincipe). Ondanks deze maatregelen deden zich in 2017 en 2018 nog datalekken voor. Dit trekken wij ons zeer aan.”

Te laat, een boete

Uit het onderzoek van AP bleek ook dat het UWV de risico’s bij het verwerken van persoonsgegevens van werkzoekenden onvoldoende in kaart had gebracht. Daarnaast had het UWV eerder technische maatregelen moeten doorvoeren. Bovendien heeft het UWV de eigen beveiligingsmaatregelen onvoldoende gecontroleerd en geëvalueerd. Nu is er dan een boete van 450.000 euro.

Het UWV zegt zich wel ‘verantwoordelijk te voelen’ voor de veiligheid van de persoonsgegevens van meer dan 13 miljoen Nederlanders waar de organisatie zicht op heeft. Helder: “UWV vindt dat iedereen erop moet kunnen vertrouwen dat je gegevens bij UWV veilig zijn. UWV hanteert daarom strikte regels voor medewerkers over welke gegevens zij mogen raadplegen of wijzigen. Zo zijn medische gegevens afgeschermd en wordt ook vastgelegd wie er toegang heeft gehad.”

Toch kwam tegelijkertijd met het bericht van de AP ook naar buiten dat in de eerste vier maanden van dit jaar 340 datalekken hebben plaatsgevonden bij het UWV. Dat meldt minister Wouter Koolmees van sociale zaken in een brief aan de Tweede Kamer. Ook bij de Sociale Verzekeringsbank (SVB) waren er veel datalekken: 347. Alle lekken zijn bij de AP gemeld. Hoewel de uitvoeringsorganisaties zeggen dat privacy hun aandacht heeft, stijgt het aantal overtredingen. In 2019 gaf Koolmees 165 en 319 datalekken door over de eerste vier maanden van dat jaar.

Brieven naar oud-werkgevers over zwangerschapsuitkering

Het betreft bijna altijd gegevens van één persoon die verkeerd aankomen, zoals bij een foutief geadresseerde brief. Maar dat maakt het niet minder ernstig, zegt de Autoriteit Persoonsgegevens. Er zaten ook een paar grote lekken tussen. Zoals brieven naar oud-werkgevers van honderden vrouwen over hun zwangerschapsuitkering.

Ook het administratiesysteem Sonar van het UWV, waarin de persoonsgegevens van alle werkzoekenden met een uitkering staan, kent grote problemen met de bescherming van de privacy. Toch wordt Sonar op zijn vroegst pas in 2025 vervangen. Tot die tijd zijn er kleine aanpassingen en krijgen werknemers instructies hoe om te gaan met persoonsgegevens.

Lees ook:

Gegevens miljoenen oud UWV-klanten makkelijk in te zien. ‘Het interesseert ze niet bij UWV’

Persoonsgegevens van 4,1 miljoen mensen die nu of in het verleden klant waren bij UWV, zijn simpel op te vragen door duizenden ambtenaren.

UWV vernietigt per abuis documenten van 144.000 klanten

Uitkeringsinstantie UWV heeft ‘per abuis’ documenten vernietigd van 144.000 mensen voordat de wettelijke bewaartermijn was verstreken.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden