Veel van de datalekken zijn simpelweg het verkeerd adresseren van een brief.

Nieuws Datalekken

Honderden datalekken bij UWV en SVB

Veel van de datalekken zijn simpelweg het verkeerd adresseren van een brief. Beeld Hollandse Hoogte / Reyer Boxem

Brieven naar het verkeerde adres, mails met gegevens van anderen en verloren harddisks. Bij het UWV en de SVB is veel mis.  

De privacy van klanten van het ­Uitvoeringsinstituut Werknemersverzekeringen (UWV) en de Sociale ­Verzekeringsbank (SVB) is slecht ­beschermd. In de eerste vier maanden van dit jaar hebben er bij UWV en de SVB respectievelijk 165 en 319 datalekken plaatsgevonden. Dat meldde minister Wouter Koolmees van sociale zaken onlangs in een van de vele rapporten die hij vlak voor het reces naar de Tweede Kamer stuurde.

Het betrof hoofdzakelijk gevallen waarin het om de persoonsgegevens van één persoon ging, bijvoorbeeld een verkeerd geadresseerde brief. Maar elk datalek is er een te veel, ­vanwege de impact op betrokkenen, ­aldus het ministerie in een reactie op de grote hoeveelheid lekken. Alle ­datalekken zijn gemeld bij de Autoriteit Persoonsgegevens (AP).

In drie situaties, die zich voordeden bij het UWV, betrof het grote aantallen persoonsgegevens. Zoals die keer dat er tussen 17 en 30 april in totaal 117.000 cv’s zijn gedownload door één gebruiker. Die heeft misbruik ­gemaakt van een account van een werkgever. Het account van die werkgever is direct geblokkeerd. Het UWV heeft aangifte gedaan bij de politie en het Nationaal Cyber Security Centrum.

Uit een evaluatie van het incident blijkt dat er geen automatische waarschuwing wordt gegeven bij ongewone activiteiten. Daardoor duurde het heel lang voordat het grote aantal downloads is ontdekt. Het UWV heeft ­inmiddels alle wachtwoorden van werkgevers gereset en de controles aangescherpt.

Daarnaast is het UWV van plan om automatische waarschuwingssignalen in te bouwen om ­eerder verdacht gedrag te kunnen opsporen. Ook wordt onderzocht of het ­mogelijk is om het aantal downloads te maximeren.

Dit jaar is ook een medewerker van het UWV onderweg een externe harde schijf verloren met onder meer burgerservicenummers en arbeidsongeschiktheidspercentages van circa 114.000 cliënten. Maar geen paniek, zegt het ministerie, want deze gegevens waren versleuteld en zijn niet zonder meer te herleiden tot individuele personen.

De medewerker heeft niet de juiste UWV-procedures gevolgd, meldt het rapport. Het UWV gaat maatregelen nemen om medewerkers extra ­bewust te maken van het risico van het gebruik van externe harde schijven. Daarnaast wordt extra gecontroleerd op beveiliging en versleuteling. Ook wordt het gebruik van gegevensdragers teruggedrongen.

Persoonsgegevens gemaild

En dan was er nog het incident waarbij een medewerker van het UWV bij een uitnodiging via de e-mail een ­bestand met persoonsgegevens van 586 cliënten aan 99 cliënten meestuurde. Ook deze medewerker heeft niet de UWV-procedures gevolgd, luidt de reactie. Zo is het tegen het UWV-beleid om direct via de e-mail met cliënten te communiceren (dat gaat via een berichtensysteem). De cliënten die al die persoonsgegevens hebben ontvangen, is gevraagd het bestand te verwijderen.

Risico’s met klantvolgsysteem

UWV en een deel van de ­gemeenten maken gebruik van het klantvolgsysteem Sonar om cliënten te matchen op werk. Dit systeem kent enkele beveiligingsrisico’s en bij de bouw van dit systeem is niet nagedacht over privacy, meldt het ministerie. Er zijn op dit ­moment nog geen datalekken vanuit Sonar bekend, en het UWV en gemeenten zijn van de risico’s op de hoogte gebracht. Het UWV tracht de beveiliging en privacy van Sonar te verbeteren.

Klant of uitkeringsgerechtigde?

De naam voor uitkeringsgerechtigden verandert nogal bij het UWV. In golfbewegingen zijn het werkzoekenden, klanten of cliënten en dan weer uitkeringsgerechtigden. Op dit moment heten ze klanten. UWV vindt dat er een klantrelatie is omdat UWV dienstverlening verstrekt voor het recht waarvoor iemand zelf heeft betaald. Een groot aantal medewerkers vindt de term niet toepasselijk, omdat het iets van vrijwilligheid in zich borgt, terwijl de klant niet vrijwillig naar het UWV komt maar afhankelijk van de organisatie is voor geld.

Lees ook:

ICT-expert: Bij het UWV wordt permanent data gelekt

Wie nog dacht dat zijn gegevens bij overheidsorganen in goede handen zijn, moet zich echt eens achter de oren krabben.

Wat UWV met medische gegevens doet, blijft vaag

De minister van sociale zaken heeft na een jaar nog altijd geen antwoord op Kamervragen naar privacyschendingen door het UWV.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden