Privacy
Gegevens miljoenen oud UWV-klanten makkelijk in te zien. ‘Het interesseert ze niet bij UWV’
Persoonsgegevens van 4,1 miljoen mensen die nu of in het verleden klant waren bij UWV, zijn simpel op te vragen door duizenden ambtenaren.
Kanker gehad in 2018 en daardoor tijdelijk arbeidsongeschikt geweest, of ontslagen in 2016, gevolgd door een burn-out, en daardoor een tijdje in de ziektewet gezeten? Alle informatie over uw uitkering, de begeleiding die u heeft gehad - maar ook uw naam, adres, bsn, nationaliteit en geboortedatum - zijn niet netjes opgeborgen door het UWV.
Van ruim 3,1 miljoen voormalige klanten van UWV én de huidige 1 miljoen uitkeringsgerechtigden zijn persoonsgegevens in te zien door veel medewerkers van het UWV en door de gemeentelijke ambtenaren van de sociale dienst. Een ambtenaar uit Doetinchem kan dus op zijn werkcomputer zo zien welke Hagenaren een WIA-uitkering ontvangen of ontvingen. En kan die informatie eenvoudig downloaden.
‘Open huis’ met persoonsgegevens
Het IT-systeem bij UWV dat klantgegevens bewaart, voldoet aan ‘geen van de beginselen uit de AVG’, meldt KPMG dat op verzoek van het UWV onderzoek deed naar haar IT-systeem, genaamd Sonar. Dat zoveel werknemers van de uitkeringsorganisatie en van gemeenten in Sonar kunnen, moet onmiddellijk stoppen, melden de onderzoekers.
“Sonar is open huis voor iedereen”, vat IT-deskundige René Jan Veldwijk de conclusies samen: “Dat weten betrokkenen al jaren, en dat blijkt nu ook uit dit rapport. Waarom er dan niets aan gedaan wordt? Niemand vindt het erg. Er is bij UWV nog nooit iemand ontslagen omdat de privacy van mensen niet is beschermd. Er worden bij een datalek, die er heel vaak zijn geweest, hooguit wat Kamervragen gesteld. Dat risico wil de top wel nemen.”
Toch liegen de conclusies van KPMG er niet om: ‘De privacy van betrokkenen wordt momenteel buitensporig geschaad’, schrijven ze. Veldwijk: “Het interesseert ze niet bij UWV. Ook omdat ingrijpen als een groter risico wordt gezien. Als er dan iets fout gaat, kunnen drieduizend mensen die dagelijks gebruik maken van Sonar hun werk niet doen. Dat willen ze te allen tijde voorkomen.”
Het zogenoemde Werkbedrijf van UWV gebruikt de informatie over uitkeringsgerechtigden die in Sonar staan om ze te helpen met re-integreren. Maar ook andere UWV-afdelingen kunnen in Sonar. KPMG vindt dat minder werknemers toegang moeten krijgen. “Dat hebben zij niet nodig voor de uitoefening van hun functie.” De informatie over klanten is vaak gevoelig, zegt KPMG, want het betreft werkzoekenden, arbeidsongeschikten, jonggehandicapten en bijstandsgerechtigden.
Karin Menses, directeur Informatievoorziening bij het Werkbedrijf, vindt dat KPMG een punt heeft dat gemeenteambtenaren geen toegang tot alle klanten van UWV zouden moeten hebben. “Maar voor de mensen bij UWV is dat wel belangrijk, want wij werken landelijk. Als we bijvoorbeeld een inwoner van Zeist helpen, willen we ook weten welke banen er in Amsterdam voor hem of haar zijn. Onze dienstverlening houdt niet op bij een gemeentegrens.”
Veel aanpassingen zijn ‘heel eenvoudig’
KPMG adviseert ook nadrukkelijk om de persoonsgegevens van inactieve klanten -ruim 3,1 miljoen burgers- onzichtbaar te maken, net zoals gebeurt bij mensen die zijn overleden. Volgens Veldwijk kan dat heel eenvoudig, ‘als er opschoonsoftware aanwezig is’. Menses zegt dat het lastig is, omdat inactieve klanten vaak weer terugkeren bij UWV. “Mensen die een uitkering hebben gehad, vragen regelmatig op een later moment weer een vorm van dienstverlening aan. Dus wij kunnen die mensen niet helemaal uit het systeem halen.”
De gegevens van die mensen kunnen wel op een andere plek worden gezet, vindt KPMG, waar ze niet voor iedereen zo makkelijk opvraagbaar zijn. En de mensen die langer dan vijf jaar geleden klant waren, moeten er sowieso uit. Dan is de bewaringstermijn verlopen. Dat laatste gaat UWV ook doen. Eind maart moeten zeker 1 miljoen mensen uit het systeem zijn verwijderd, vertelt Menses.
De problemen bij UWV zijn jaren geleden al door meerdere instanties, waaronder de Autoriteit Persoonsgegevens, gemeld. Menses: “Sonar is in 2005 gebouwd toen gegevensuitwisseling juist gewenst was. Dat staat nu op gespannen voet met de privacy-eisen. We hebben wel al veel aangepast maar dat is inderdaad nog niet voldoende. Sonar is ook een heel uitgebreid systeem, dat kan je niet in één keer veranderen.”
In 2025 verwacht het UWV een nieuw IT-systeem af te hebben.
Lees ook:
De privacy van werkzoekenden wordt bij het UWV onvoldoende beschermd
Te veel mensen kunnen de persoonsgegevens van werkzoekenden inzien doordat het IT-systeem van het UWV niet voldoet aan de privacywet AVG.
