Vandaag maakt de Autoriteit Persoonsgegevens, afgekort AP bekend dat het Uitvoeringsinstituut Werknemersverzekeringen, afgekort UWV een boete opgelegd heeft van 450.000 euro. Het UWV had het versturen van groepsberichten via de ‘Mijn Werkmap’-omgeving niet goed beveiligd. Dat is een persoonlijke omgeving op de website van het UWV, waar werkzoekenden contact hebben met het UWV. Het gevolg was dat er verschillende datalekken van persoonsgegevens, waaronder gezondheidsgegevens van in totaal ruim 15.000 mensen geconstateerd werden. Voor sommige experts niet echt een verrassing.
Tussen augustus 2016 en eind 2018 was het proces voor het verzenden van groepsberichten via de Mijn Werkmap-omgeving niet goed beveiligd. Daardoor kwamen bestanden met een veelheid aan persoonsgegevens van werkzoekenden terecht bij de verkeerde ontvangers, namelijk in de Mijn Werkmap-omgeving van andere werkzoekenden.
Persoonsgegevens gelekt
Het ging hierbij om verschillende persoonsgegevens, zoals adresgegevens, gegevens over opleidingen, nationaliteit, BSN, maar ook informatie over fysieke beperkingen, psychisch en lichamelijk werkvermogen en / of gegevens van mensen die te ziek zijn om te werken. Het lekken van gegevens gebeurde in die periode negen keer, waarbij in totaal de gegevens van ruim vijftienduizend mensen bij de verkeerde ontvangers terecht zijn gekomen.
Katja Mur, bestuurslid AP licht het boetebesluit als volgt toe: “Hoe het UWV omgaat met de bescherming van persoonsgegevens, heeft de aandacht van de AP. Zo waren er eerder beveiligingsproblemen met het werkgeversportaal en moesten wij met een sanctie een betere beveiliging afdwingen. Je moet van een organisatie zoals het UWV kunnen verwachten dat jouw gegevens veilig zijn. Als dat niet zo is, raakt dit het vertrouwen van de burger in de overheid. Dit zijn voor een deel bijzondere persoonsgegevens, waar extra zorgvuldig mee omgesprongen moet worden. Het is pijnlijk als dit soort gegevens over jezelf in verkeerde handen terechtkomen. Ook kan iemand ermee aan de haal gaan, waardoor je kwetsbaar bent voor bijvoorbeeld oplichting. Het is daarom zorgelijk dat het UWV na de eerste datalekken niet meteen met een passende actie kwam. Er stonden toen 4,5 miljoen Nederlanders ingeschreven bij het UWV, waaronder werkzoekenden, zieken en arbeidsongeschikten. Deze mensen liepen onnodig het risico dat hun persoonsgegevens werden gelekt.”
De AP is dit onderzoek gestart nadat bij het UWV 9 datalekken hadden plaatsgevonden. Uit het onderzoek bleek onder meer dat het UWV de risico’s bij het verwerken van persoonsgegevens van werkzoekenden van te voren onvoldoende in kaart had gebracht. Daarnaast had het UWV eerder technische maatregelen moeten doorvoeren. Bovendien heeft het UWV de eigen beveiligingsmaatregelen onvoldoende gecontroleerd en geëvalueerd. Pas eind 2018 nam het UWV technische maatregelen om soortgelijke datalekken te voorkomen.
Reactie van het UWV
Janet Helder, lid Raad van Bestuur van UWV regeert als volgt op de boete: “De privacy-vereisten van de AVG zijn van essentieel belang voor onze dienstverlening en voor de privacybescherming van werkzoekenden. Wij onderschrijven dan ook het oordeel van de Autoriteit Persoonsgegevens dat UWV anders had moeten handelen. UWV heeft na de eerste datalekken wel degelijk maatregelen genomen. Maar dit waren vooral organisatorische maatregelen, zoals aangescherpte werkinstructies, bewustwording bij medewerkers en een collega vragen mee te laten kijken (vier-ogen-principe). Ondanks deze maatregelen deden zich in 2017 en 2018 nog datalekken voor. Dit trekken wij ons zeer aan. In 2018 hebben wij na een evaluatie van deze datalekken een technische maatregel toegepast om het niet meer mogelijk te maken om Excel-documenten toe te voegen aan een Werkmap-groepsbericht. Sindsdien hebben dergelijke datalekken zich niet meer voorgedaan. Achteraf gezien had het voor de hand gelegen om eerder in te zetten op de technische maatregel om de mogelijkheid voor het toevoegen van een Excel-bestand te blokkeren. Het is terecht dat de AP daar op wijst.”
Context
Jaarlijks verwerkt UWV persoonsgegevens van meer dan 13 miljoen Nederlanders. UWV voelt zich daarvoor verantwoordelijk en vindt dat iedereen erop moet kunnen vertrouwen dat je gegevens bij UWV veilig zijn. UWV hanteert daarom strikte regels voor medewerkers over welke gegevens zij mogen raadplegen of wijzigen. Zo zijn medische gegevens afgeschermd en wordt ook vastgelegd wie er toegang heeft gehad. Bij UWV komt de bescherming van persoonsgegevens op diverse functies door de hele organisatie terug. Zo zijn er workshops voor medewerkers over dit thema. Er is een speciale afdeling die zich volledig bezighoudt met privacybescherming. Deze afdeling zorgt dat UWV waar nodig maatregelen neemt om de omgang met gegevens nog veiliger te maken. Ook hebben alle staf- en divisieonderdelen hun eigen team Informatiebeveiliging en Privacy.
Pierre Lommerse Reageren
Leuk zo’n boete, maar is dit niet vestzak broekzak en wat heeft de betrokken consument hieraan? De consument heeft hier het nadeel, maar ziet niets terug.