Niet een persoon zoals het UWV meent, maar een software-bot, ontwikkeld door ‘een persoon’, heeft vorige week zaterdag 150.000 cv’s van Werk.nl weggeschreven in een bestand. Dit stelt Computable-opiniemaker René Veldwijk in een toelichting op de melding van het UWV over de nieuwe datalek. Volgens het UWV heeft ‘iemand’ die dag ‘150.000 cv’s ingezien op Werk.nl en mogelijk gedownload.’
René Veldwijk, die regelmatig analyseert wat er bij het UWV misgaat, zegt dat de UWV-site Werk.nl voortdurend slachtoffer wordt van ‘scrapen’, vooral van vacatures maar zeker ook van cv’s vol persoonsgegevens. Die privacygevoelige data kunnen interessant zijn voor bepaalde vormen van identiteitsdiefstal. Maar Veldwijk houdt er rekening mee dat de datadief de gegevens wil gebruiken voor commerciële doeleinden.
Het UWV stelt dat monitoring-software achter het lek kwam. Volgens Veldwijk merkt die software het scrapen niet op wanneer het slim gebeurt met meerdere accounts en vanaf meerdere ip-adressen. Hij leidt hieruit af dat in dit geval een amateur of een wanhopige partij aan het werk is geweest.
Overigens is het niet de eerste keer dat een groot aantal cv’s bij het UWV is weggelekt. Vijf jaar geleden kwamen 117.000 cv’s in verkeerde handen. Volgens Veldwijk dateert de software achter Werk.nl uit de vorige eeuw. Modernisering heeft nooit plaatsgevonden.
Aangifte
Het UWV heeft het laatste lek gemeld bij de Autoriteit Persoonsgegevens (AP). Aangifte is in voorbereiding omdat het vermoedelijk gaat om oneigenlijk gebruik van cv’s. Het UWV zegt te weten wie de cv’s heeft buitgemaakt. Door één account is buitensporig veel inzage geweest van cv’s. ‘Hoogstwaarschijnlijk zijn deze cv’s toen ook gedownload,’ stelt het UWV.
Mensen kunnen Werk.nl gebruiken om een baan te vinden. Zij kunnen hun cv op de website zetten. Werkgevers mogen deze cv’s inzien en downloaden wanneer zij potentieel geschikte kandidaten voor hun vacatures hebben gevonden. Het is toegestaan om dit in grotere aantallen te doen wanneer zij meerdere kandidaten voor meerdere vacatures zoeken.
Maar de schaal waarop dit vorige week zaterdag door één partij gebeurde, gaat volgens het UWV in tegen de gebruiksvoorwaarden. Daarom beschouwt de uitkeringsinstantie dit als een actie tot vermoedelijk gebruik voor oneigenlijke doelen.’
‘Het is zeer kwalijk dat er vermoedelijk voor oneigenlijk gebruik op zulke grote schaal cv’s zijn ingezien en mogelijk gedownload,’ zegt Judith Duveen, directeur Werkbedrijf bij UWV. ‘We hebben direct passende maatregelen genomen en gaan de betrokken mensen zo goed mogelijk informeren over de gevolgen van deze onwenselijke massale inzage en mogelijke download.’
Het UWV heeft nog niet gereageerd op de zienswijze van Veldwijk.
Recent was het UWV nog in het nieuws vanwege een omstreden traject over het koppelen van werkzoekenden aan banen met behulp van artificiële intelligentie (ai)-software waarbij cv-scraping een rol speelt. René Veldwijk schreef daar deze opinie over. Ook de AP waarschuwde kortgeleden tegen het automatisch verzamelen en opslaan van informatie van internet.
[UPDATE 13-05-2024, 12:25] René Veldwijk heeft in een LinkedIn-post nog een verdere toelichting gegeven.
Het kan wel, het mag niet gaat niet alleen om de tekortkomingen in de monitoring waarop René wijst want de dienstverlening met een kruideniersmentaliteit is vastgeroest in alle juridische gebruiksvoorwaarden die uiteindelijk alleen nog door juristen gelezen worden. Te goed van vertrouwen hebben gedupeerden niks aan een aangifte die net als bij Hof van Twente de systemische fout van een loketmentaliteit bij het bestuur ongemoeid laat. Wat betreft alle oude koeien in de kont kijken en de mooie schilderijen van de oud-Hollandse landschappen achter de dijken schreef WRR ruim 10 jaar geleden een prachtig rapport over alle informatiestromen die alleen maar door techniek ondersteund worden. De iOverheid vraagt volgens WRR om nieuwe instituties want Internet heeft de wereld niet kleiner gemaakt maar transparanter.
Ik geloof direct dat de software achter Werk.NL uit de vorige eeuw komt want veel organisaties hebben een façade opgezet met het ‘web-enablen’ waarbij alle loketten van SOA ervoor zorgen dat bestuurders een decennium aan voortschrijdende datasynthese hebben gemist. Commerciële bemiddeling heeft voor een nieuwe branch in de quartaire sector gezorgd hoewel sommige in de kaartenbak bij UWV altijd onbemiddelbaar zullen blijven, hoe mooi hun C.V. ook is.