De Autoriteit Persoonsgegevens (AP) legt het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een boete van 450.000 euro op. Het UWV had het versturen van groepsberichten via de zogenoemde ‘Mijn Werkmap’-omgeving niet goed beveiligd. Dat is een persoonlijke omgeving op de website van het UWV, waar werkzoekenden contact hebben met de uitvoeringsorganisatie. Hierdoor waren er verschillende datalekken van persoonsgegevens, waaronder gezondheidsgegevens, van in totaal ruim vijftienduizend mensen.
De privacywaakhond heeft het UWV al een aantal jaar in het vizier als het gaat om de bescherming van persoonsgegevens. Zo waren er eerder beveiligingsproblemen met het werkgeversportaal en dwong de AP met een sanctie een betere beveiliging af. Deze dwangsom van maximaal 900.000 euro werd uiteindelijk na deze verbetering niet opgelegd.
Toch krijgt het UWV nu een boete opgelegd van 450.000 euro. Tussen augustus 2016 en eind 2018 bleek het proces voor het verzenden van groepsberichten via de Mijn Werkmap-omgeving niet goed beveiligd. Daardoor kwamen bestanden met een veelheid aan persoonsgegevens van werkzoekenden terecht bij de verkeerde ontvangers, namelijk in de Mijn Werkmap-omgeving van andere werkzoekenden.
Het ging hierbij om verschillende persoonsgegevens, zoals adresgegevens, gegevens over opleidingen, nationaliteit, BSN, maar ook informatie over fysieke beperkingen, psychisch en lichamelijk werkvermogen en of mensen te ziek zijn om te werken. Het lekken van gegevens gebeurde in die periode negen keer, waarbij in totaal de gegevens van ruim 15.000 personen bij de verkeerde ontvangers terecht zijn gekomen, constateert de AP.
Niet in beroep
De waakhond noemt het zorgelijk dat het UWV na de eerste datalekken niet meteen met een passende actie kwam. ‘Er stonden toen 4,5 miljoen Nederlanders ingeschreven bij het UWV, waaronder werkzoekenden, zieken en arbeidsongeschikten. Deze mensen liepen onnodig het risico dat hun persoonsgegevens werden gelekt’, aldus de AP. Ook had het UWV in haar ogen eerder technische maatregelen moeten doorvoeren, – dat gebeurde pas eind 2018 -, en ontbrak een goede controle en evaluatie van de eigen beveiligingsmaatregelen.
Het UWV stelt in een reactie het eens te zijn met deze kritiek maar wijst er op dat er na de eerste datalekken wel degelijk maatregelen zijn genomen. Dit waren vooral organisatorische maatregelen, zoals aangescherpte werkinstructies, het vergroten van de bewustwording bij medewerkers en het invoeren van het vier-ogen-principe (een collega vragen mee te kijken). Desondanks gaat de uitvoeringsinstantie niet in beroep tegen de opgelegde AP-boete.
Het UWV heeft inmiddels een speciale afdeling opgericht die zich volledig bezighoudt met privacybescherming. Deze afdeling kijkt hoe UWV systemen en regels kan toepassen en aanpassen om de omgang met gegevens nog veiliger te maken. Ook hebben alle staf- en divisieonderdelen hun eigen team Informatiebeveiliging en Privacy en zijn er workshops voor medewerkers over dit thema.
Maarre wie betaalt die boete dan? Ik bedoel wie gaat er dan uiteindelijk voor bloeden? Juist ja…
Het is toch werkelijk niet te geloven, maar tegelijk weer exact conform verwachting. Onze overheidsinstanties maken er in bepaalde, misschien nog wel de meeste gevallen een puinhoop van. Of een boete dan het gewenste effect heeft, daar heb ik mijn twijfels over. Structurele verandering is zeer noodzakelijk en het geld dat met zo’n boete gemoeid is kan mijns inziens beter besteed worden aan goed personeel die deze verandering teweeg kunnen brengen. Maar goed…we hebben nu eenmaal te maken met privacy wetgeving. Houd je, je daar niet aan dan moet je op de blaren zitten. Alleen gevoelsmatig is het zo dat de kosten van deze boete toch grotendeels weer gedragen moeten worden door de burger. M.a.w. als je de dupe bent geworden van de datalekken ben je ook nog eens dubbel genaaid.
Marcel, een boete voor het UWV betekent inderdaad geld rondpompen van overheid naar overheid. Maar het is wel een vervelende tik op de vingers van de budgetverantwoordelijke. Gezien de impact van de lekken, was de boete meer dan terecht. Het UWV is dan ook bezig de put te dempen.
Als een bedrijf een boete krijgt, en dat komt ook heel vaak voor, dan is het ook meestal de klant die betaald.
De ICT van het UWV was en is een puinhoop, mede door hun huisleverancier. De broncode van de centrale systemen worden steeds meer spaghetti. Systemen zijn moeilijk te beheren, fouten worden niet of laat opgelost, met alle gevolgen van dien. Er is veel meer nodig dan eindelijk een speciale afdeling oprichten die zich volledig bezighoudt met privacybescherming.