Hoewel het een lange serie maatregelen heeft ondergaan, blijft het Sonar-systeem dat UWV gebruikt voor arbeidsbemiddeling tekortschieten. De informatiebeveiliging en privacy vallen niet perfect te krijgen en restrisico's blijven voortbestaan. Oorzaken zijn de beperkte technische mogelijkheden om het systeem aan te passen, de veroudering van het systeem en de gebreken op functioneel gebied.
Eind 2022 moet een aantal technische verbeteringen klaar zijn die het ergste leed wegnemen. Onder meer de autorisaties moeten dan beter zijn geregeld. Op zijn vroegst in 2025 wordt het systeem vervolgens geheel vervangen.
Minister Koolmees (Sociale Zaken en Werkgelegenheid) meldt in een brief aan de Tweede Kamer hoe de planning eruitziet. Een aantal maatregelen zal versneld moeten worden doorgevoerd. Voor maart 2021 moeten de logging en monitoring zijn verbeterd. De bewindsman zegt dat er geen andere mogelijkheid is dan het huidige systeem eerst op te lappen.
Vervanging is niet voor 2025 te realiseren, omdat anders de continuïteit van de dienstverlening van UWV in gevaar komt. Zeker nu veel bedrijven reorganiseren, is het systeem hard nodig om mensen van werk naar werk te begeleiden. Om volledig inzicht te krijgen in de tekortkomingen is een externe privacy audit uitgevoerd. Om de aanbevelingen uit te voeren, heeft UWV het project Sonar IB&P opgezet.
In twee fases worden maatregelen genomen om het systeem te verbeteren. Pas op lange termijn is vervanging aan de orde. Op de korte termijn wordt een aantal reeds geplande verbeteringen versneld opgestart. Voor maart 2021 moet er een meer geautomatiseerd systeem komen van logging en monitoring op mutaties en raadplegingen. Hierdoor worden de risico’s op onrechtmatig gebruik van gegevens verminderd, omdat door dit inzicht medewerkers kunnen worden aangesproken als zij gegevens inzien die zij niet nodig hebben. Ook wordt de mogelijkheid om het systeem op te schonen verbeterd. Dat wil zeggen dat gegevens van burgers die niet meer in het gegevensbestand thuishoren, bijvoorbeeld omdat wettelijke bewaartermijnen zijn verstreken, daadwerkelijk verwijderd worden.
Op de middellange termijn (tot eind 2022) worden nieuwe technische maatregelen geïntroduceerd. De belangrijkste maatregel betreft het aanscherpen en beter documenteren van autorisaties in Sonar. Door een fijnmaziger autorisatiemodel te implementeren kan een meer proportionele toegang tot gegevens bewerkstelligd worden. Daarbij kan niet iedere medewerker alle gegevens inzien zonder dat dit noodzakelijk is voor de uitvoering van diens taak. UWV werkt daarnaast aan de technische mogelijkheid om medewerkers alleen toegang te geven tot klantgegevens in de eigen regio.
