UWV

UWV krijgt Autoriteit Persoonsgegevens achter zich aan: Privacy moet beter beschermd

De ingang van het Werkbedrijf van UWV, locatie Delflandlaan in Amsterdam.  Beeld ANP, Jeroen Jumelet
De ingang van het Werkbedrijf van UWV, locatie Delflandlaan in Amsterdam.Beeld ANP, Jeroen Jumelet

De Autoriteit Persoonsgegevens gaat het UWV achter de broek zitten. ‘Het UWV zou de beveiliging van persoonsgegevens beter op het netvlies moeten hebben.’

Hoe het UWV omgaat met de bescherming van persoonsgegevens heeft al langer de aandacht van de Autoriteit Persoonsgegevens (AP), laat de toezichthouder weten. “Er lopen momenteel verschillende onderzoeken naar het UWV. Wat de inhoud is van de onderzoeken die nu lopen, kan ik nu niet toelichten in het belang van deze onderzoeken”, zegt een woordvoerder van AP.

Het IT-systeem bij het Uitvoeringsinstituut Werknemersverzekeringen, dat van 4,1 miljoen mensen de klantgegevens bewaart, voldoet aan ‘geen van de beginselen uit de AVG’, bleek uit onderzoek dat Trouw via de Wet openbaarheid bestuur (Wob) had opgevraagd bij het UWV. Miljoenen persoonsgegevens van voormalige UWV-klanten zijn makkelijk in te zien door duizenden ambtenaren.

“Ook in het verleden heeft de AP al vaker moeten optreden bij UWV”, meldt de woordvoerder. Zo concludeerde de AP in 2017 dat de beveiliging van het online werkgeversportaal onvoldoende was. Werkgevers konden via dit portaal werknemers ziek en beter melden. Het UWV verstrekt ziektewetuitkeringen op grond van deze meldingen. In het werkgeversportaal staan diverse gegevens van medewerkers, zoals naam en adres, het burgerservicenummer, financiële gegevens en gegevens over arbeidsongeschiktheid, ontslag en bevalling.

Gegevensopslag is niet goed geregeld

Werkgevers konden via internet op het portaal inloggen door een e-mailadres en wachtwoord in te voeren. De AP vond dat onvoldoende beveiligd. In 2018 werd een last onder dwangsom opgelegd van 150.000 euro per maand, als UWV dit niet snel zou verbeteren, met een maximumboete van 900.000 euro. Het UWV heeft vervolgens de beveiliging daarvan op orde gebracht. Werkgevers en arbodiensten kunnen nu alleen nog via eHerkenning inloggen in het portaal. EHerkenning is een soort DigiD, maar dan voor bedrijven.

“Het UWV zou de beveiliging van persoonsgegevens beter op het netvlies moeten hebben. Het gaat vaak ook nog om gezondheidsgegevens van veel mensen”, zegt een woordvoerder van de AP. “Deze organisatie is wettelijk verplicht om dit goed te doen. Om die reden heeft het UWV een privacy-expert in dienst die hiervoor moet zorgen: de functionaris gegevensbescherming.”

Deze functionaris heeft ook al eerder intern aangegeven dat het niet goed geregeld is met de gegevensopslag van de miljoenen klanten. Steeds was dat aanleiding voor UWV om een vervolgonderzoek in te stellen of kleine verbeteringen door te voeren. De grote slag wordt pas in 2025 gemaakt, als het nieuwe computersysteem helemaal afgerond is.

Het UWV laat weten dat de AP al enkele maanden geleden is geïnformeerd over het onderzoek naar het IT-systeem Sonar. “Wij vinden het belangrijk om transparant te zijn en delen daarom met de AP onze plannen voor de aanpassingen, net als de vervanging van het systeem op de langere termijn. Het UWV gaat dan ook graag met de AP verder in gesprek.”

Lees ook:

UWV schendt alle privacybeginselen voor klantgegevens

Persoonsgegevens van 4,1 miljoen mensen die nu of in het verleden klant waren bij UWV, zijn simpel op te vragen door duizenden ambtenaren.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden