woensdag, 7. juli 2021 - 17:24 Update: 07-07-2021 17:32

AP legt UWV boete op van 450.000,- euro om slechte beveiliging groepsberichten

computer-schermen-internet
Foto: Archief EHF/ foto ter illustratie
Den Haag

De Autoriteit Persoonsgegevens (AP) legt het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een boete van 450.000,- euro op. 'Het UWV had het versturen van groepsberichten via de zogenoemde ‘Mijn Werkmap’-omgeving niet goed beveiligd', zo meldt de AP woensdag.

'Mijn werkmap'-omgeving

Dat is een persoonlijke omgeving op de website van het UWV, waar werkzoekenden contact hebben met het UWV. Hierdoor waren er verschillende datalekken van persoonsgegevens, waaronder gezondheidsgegevens, van in totaal ruim 15.000 mensen.

Eerdere beveiligingsproblemen

Katja Mur, bestuurslid AP: 'Hoe het UWV omgaat met de bescherming van persoonsgegevens, heeft de aandacht van de AP. Zo waren er eerder beveiligingsproblemen met het werkgeversportaal en moesten wij met een sanctie een betere beveiliging afdwingen. Je moet van een organisatie zoals het UWV kunnen verwachten dat jouw gegevens veilig zijn. Als dat niet zo is, raakt dit het vertrouwen van de burger in de overheid.'

Verkeerde ontvangers

Tussen augustus 2016 en eind 2018 was het proces voor het verzenden van groepsberichten via de Mijn Werkmap-omgeving niet goed beveiligd. Daardoor kwamen bestanden met een veelheid aan persoonsgegevens van werkzoekenden terecht bij de verkeerde ontvangers, namelijk in de Mijn Werkmap-omgeving van andere werkzoekenden.

Gelekte persoonsgegevens

Het ging hierbij om verschillende persoonsgegevens, zoals adresgegevens, gegevens over opleidingen, nationaliteit, BSN, maar ook informatie over fysieke beperkingen, psychisch en lichamelijk werkvermogen en of mensen te ziek zijn om te werken. Het lekken van gegevens gebeurde in die periode 9 keer, waarbij in totaal de gegevens van ruim 15.000 mensen bij de verkeerde ontvangers terecht zijn gekomen.

Bijzondere persoonsgegevens

Mur: 'Dit zijn voor een deel bijzondere persoonsgegevens, waar extra zorgvuldig mee omgesprongen moet worden. Het is pijnlijk als dit soort gegevens over jezelf in verkeerde handen terechtkomen. Ook kan iemand ermee aan de haal gaan, waardoor je kwetsbaar bent voor bijvoorbeeld oplichting.'

'Zorgelijk'

'Het is daarom zorgelijk dat het UWV na de eerste datalekken niet meteen met een passende actie kwam. Er stonden toen 4,5 miljoen Nederlanders ingeschreven bij het UWV, waaronder werkzoekenden, zieken en arbeidsongeschikten. Deze mensen liepen onnodig het risico dat hun persoonsgegevens werden gelekt.'

Beveiligingsmaatregelen

De AP is dit onderzoek gestart nadat bij het UWV 9 datalekken hadden plaatsgevonden. Uit het onderzoek bleek onder meer dat het UWV de risico’s bij het verwerken van persoonsgegevens van werkzoekenden van te voren onvoldoende in kaart had gebracht.

'Eerder'

Daarnaast had het UWV eerder technische maatregelen moeten doorvoeren. Bovendien heeft het UWV de eigen beveiligingsmaatregelen onvoldoende gecontroleerd en geëvalueerd. Pas eind 2018 nam het UWV technische maatregelen om soortgelijke datalekken te voorkomen.

Categorie:
Provincie: