Autoriteit Persoonsgegevens onderzoekt beveiliging van persoonsgegevens UWV

05-01-2021 | door: Wouter Hoeffnagel

Autoriteit Persoonsgegevens onderzoekt beveiliging van persoonsgegevens UWV

De Autoriteit Persoonsgegevens (AP) gaat de wijze waarop het UWV persoonsgegevens beschermd nader onderzoeken. De toezichthouder wil dat de overheidsdienst de beveiliging van persoonsgegevens beter op het netvlies houdt.

Uit een onderzoeksrapport van adviesbureau KPMG bleek deze week dat gegevens van ongeveer miljoenen (voormalige) klanten van het UWV inzichtelijk zijn voor zo'n vijftienduizend medewerkers, hoewel zij deze toegang lang niet altijd nodig hebben. Onder meer namen, adresgegevens en burgerservicenummers zijn in het systeem vastgelegd. Het UWV gebruikt het systeem om werkzoekenden aan potentiële werkgevers te koppelen.

Toegankelijk voor zeventienduizend gebruikers

Opvallend is dat de gegevens inzichtelijk zijn voor nagenoeg alle UWV-medewerkers die gebruik maken van Sonar, ook als zij deze toegang niet nodig hebben. Daarnaast kunnen de medewerkers gegevens ook downloaden. Naast UWV-medewerkers hebben ook zo'n tweeduizend ambtenaren van gemeenten dezelfde toegang tot Sonar.

KPMG meldt tevens dat gegevens niet juist worden verwijderd en langer worden bewaard dan wettelijk is toegestaan. Het adviesbureau concludeert dat Sonar hierdoor niet aan de beginselen van de privacyregels van de Algemene Verordening Gegevensbescherming (AVG) voldoet.

'UWV zou beveiliging beter op netvlies moeten hebben'

“Het UWV zou de beveiliging van persoonsgegevens beter op het netvlies moeten hebben. Het gaat vaak ook nog om gezondheidsgegevens van veel mensen”, zegt een woordvoerder van de AP tegen Trouw. “Deze organisatie is wettelijk verplicht om dit goed te doen. Om die reden heeft het UWV een privacy-expert in dienst die hiervoor moet zorgen: de functionaris gegevensbescherming.”

De woordvoerder wijst ook op eerdere incidenten bij het UWV. Zo werd de overheidsdienst in 2017 op de vingers getikt nadat de beveiliging van het online werkgeversportaal niet op orde bleek te zijn, aangezien werkgevers via uitsluitend een e-mailadres en wachtwoord konden inloggen. Dit vond de AP onvoldoende. Het UWV kreeg een last onder dwangsom opgelegd van 150.000 euro per maand, met een maximale boete van 900.000 euro. Naar aanleiding hiervan is de beveiliging van het systeem verbeterd.

'Transparant zijn'

Een woordvoerder van het UWV meldt enkele maanden gelegen door de toezichthouder te zijn geïnformeerd over het onderzoek naar Sonar. “Wij vinden het belangrijk om transparant te zijn en delen daarom met de AP onze plannen voor de aanpassingen, net als de vervanging van het systeem op de langere termijn. Het UWV gaat dan ook graag met de AP verder in gesprek", zegt de woordvoerder tegen Trouw.

Terug naar nieuws overzicht
Security