Het UWV krijgt een boete van 450.000 euro voor de slechte beveiliging van de omgeving Mijn Werkmap van de Autoriteit Persoonsgegevens (AP).
De uitvoeringsinstantie die onder andere uitkeringsgerechtigden registreert, krijgt de boete omdat ze het versturen van groepsberichten via Mijn Werkmap niet goed had beveiligd. Dat is een persoonlijke omgeving op de website van het UWV, waar werkzoekenden contact hebben met de overheidsinstantie. Hierdoor waren er verschillende datalekken van persoonsgegevens, waaronder gezondheidsgegevens, van in totaal ruim 15.000 mensen.
Verkeerde ontvangers
Tussen augustus 2016 en eind 2018 was het proces voor het verzenden van groepsberichten via de Mijn Werkmap-omgeving niet goed beveiligd. Daardoor kwamen bestanden met een veelheid aan persoonsgegevens van werkzoekenden terecht bij de verkeerde ontvangers, namelijk in de Mijn Werkmap-omgeving van andere werkzoekenden.
Het ging persoonsgegevens, als adresgegevens, gegevens over opleidingen, nationaliteit en BSN. Zelfs informatie over fysieke beperkingen, of psychisch en lichamelijk werkvermogen zaten in het lek. Verder konden de verkeerde mensen ook zien of iemand te ziek was om te werken of niet. Het lekken van gegevens gebeurde in die periode 9 keer, waarbij in totaal de gegevens van ruim 15.000 mensen bij de verkeerde ontvangers terecht kwamen.
Katja Mur, bestuurslid AP stelt dat er al eerder beveiligingsproblemen waren met het werkgeversportaal. “We moesten met een sanctie een betere beveiliging afdwingen. Je moet van een organisatie zoals het UWV kunnen verwachten dat jouw gegevens veilig zijn. Als dat niet zo is, raakt dit het vertrouwen van de burger in de overheid. Dit zijn voor een deel bijzondere persoonsgegevens, waar extra zorgvuldig mee omgesprongen moet worden. Het is pijnlijk als dit soort gegevens over jezelf in verkeerde handen terechtkomen. Ook kan iemand ermee aan de haal gaan, waardoor je kwetsbaar bent voor bijvoorbeeld oplichting.”
Mur noemt het zorgelijk dat het UWV na de eerste datalekken niet meteen met een passende actie kwam. Er stonden toen 4,5 miljoen Nederlanders ingeschreven bij het UWV, waaronder werkzoekenden, zieken en arbeidsongeschikten. “Deze mensen liepen onnodig het risico dat hun persoonsgegevens werden gelekt.”
Beveiligingsmaatregelen
Uit het onderzoek van het AP bleek onder meer dat het UWV de risico’s bij het verwerken van persoonsgegevens van werkzoekenden van te voren onvoldoende in kaart had gebracht. Het UWV had eerder technische maatregelen moeten nemen.
Het AP is vooral niet blij met het feit dat het UWV de eigen beveiligingsmaatregelen onvoldoende heeft gecontroleerd en geëvalueerd. Pas eind 2018 nam de instantie technische maatregelen om soortgelijke datalekken te voorkomen.
Lees ook:
- Betere kwaliteitscontrole en inzicht nodig bij algoritmes overheid
- Verhoog de security awareness van medewerkers in 5 stappen
