ICT-expert: Bij het UWV wordt permanent data gelekt

UWV Beeld Studio Vonq

Cv’s van 117.000 werkzoekenden zijn onrechtmatig gedownload via een UWV-site. Hack of slecht beschermde data?

Wie nog dacht dat zijn gegevens bij overheidsorganen in goede handen zijn, moet zich echt eens achter de oren krabben. Afgelopen vrijdag meldde uitkeringsorganisatie UWV dat er 117.000 cv’s onrechtmatig zijn gedownload. Dit kon gebeuren doordat er op werk.nl, de website van het UWV, twee weken lang misbruik werd gemaakt van een account van een werkgever. De uitkeringsorganisatie, die onder verantwoordelijkheid valt van minister Wouter Koolmees (sociale zaken), heeft aangifte gedaan.

Volgens ICT-expert René Veldwijk is er niet zo zeer sprake van een lek, maar zijn gegevens op de betreffende site simpelweg veel te gemakkelijk toegankelijk. Vijf vragen over de ICT-blunder bij de uitkeringsorganisatie.

1. Waarom is dit lek volgens u geen lek?

“Je zou kunnen zeggen dat het UWV de hele tijd lekt. Werk.nl is een website die werkzoekenden en werkgevers aan elkaar koppelt, net zoals een datingsite dat doet. Het verschil is dat een datingsite op de profielen geen e-mailadres, telefoonnummer of adres laat zien. Die krijgt een geïnteresseerde pas als jij er toestemming voor geeft. Werk.nl heeft zo’n bescherming niet: elke werkgever kan al jouw gegevens zien. Tenminste, als je jouw cv ‘open’ hebt gezet. Dat doen de meeste mensen, omdat ze werk willen vinden.”

2. Dus eigenlijk lagen die gegevens al op straat?

“Ja, want ieder bedrijf dat een account heeft voor werk.nl kan de gevens van werkzoekenden bekijken. Het enige wat er nu is gebeurd, is dat iemand twee weken lang met een computerprogramma al die gegevens heeft uitgelezen. Dat kunnen criminelen zijn, maar het kan ook om een bedrijf gaan dat de data wil gebruiken om werkzoekenden te koppelen aan werkgevers.

“De data die het UWV heeft, is heel waardevol, maar het ‘matchen’ met behulp van software werkt niet zo goed. Het is niet zo gek dat andere bedrijven er brood in zien om de data eruit te trekken, kunnen koppelen. Al mag dat niet.”

3. Maar dit kan dus zo weer gebeuren?

“Ja, zolang de website niet aangepast wordt wel. Dat het twee weken duurde voordat het UWV doorhad dat er zoveel cv’s werden gedownload, laat wel zien dat ze dit niet goed in de gaten houden. Nu is alles gedaan via één account. Als de daders iets professioneler te werk waren gegaan en het met meerdere accounts hadden gedaan, had het UWV nu waarschijnlijk nog niets door gehad. Overigens hoeft het niet veel moeite te kosten om werk.nl aan te passen, zodat de gegevens beter beschermd zijn.”

4. Wat zijn de gevolgen van deze slechte gegevensbescherming?

“Het kan bijvoorbeeld leiden tot hele slimme phishing. Daar moet je dus voor oppassen. Ik denk dat er in dit geval geen burgerservicenummers zijn buitgemaakt. Dat scheelt.”

5. Hoe kan ik mij als werkzoekende beschermen tegen het lekken van mijn gegevens?

“Ik zou je cv wel ‘open’ laten staan, want met een ‘gesloten’ cv ben je als werkzoekende minder interessant voor werkgevers. Om jezelf toch te beschermen kun je je voornaam open laten door in te vullen ‘op aanvraag’. Je naam is voor een werkgever immers niet relevant. Maak van je geboortedatum 1 juli van je geboortejaar. Je kunt ook een apart e-mailadres gebruiken voor werk.nl. Wijzig niet het numerieke deel van je postcode, want de website gebruikt dat om te voorkomen dat je wordt benaderd door werkgevers die ver weg zitten.”

Lees ook: 

UWV is gul met hulp aan beperkten en dat kan prijzig uitpakken

Het UWV concludeert te vaak dat mensen met een arbeidsbeperking niet zonder ondersteuning aan het werk kunnen

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden