Katja Mur, bestuurslid AP: 'Hoe het UWV omgaat met de bescherming van persoonsgegevens, heeft de aandacht van de AP. Zo waren er eerder beveiligingsproblemen met het werkgeversportaal en moesten wij met een sanctie een betere beveiliging afdwingen. Je moet van een organisatie zoals het UWV kunnen verwachten dat jouw gegevens veilig zijn. Als dat niet zo is, raakt dit het vertrouwen van de burger in de overheid.'
Verkeerde ontvangers
Tussen augustus 2016 en eind 2018 was het proces voor het verzenden van groepsberichten via de Mijn Werkmap-omgeving niet goed beveiligd. Daardoor kwamen bestanden met een veelheid aan persoonsgegevens van werkzoekenden terecht bij de verkeerde ontvangers, namelijk in de Mijn Werkmap-omgeving van andere werkzoekenden.
Gelekte persoonsgegevens
Het ging hierbij om verschillende persoonsgegevens, zoals adresgegevens, gegevens over opleidingen, nationaliteit, BSN, maar ook informatie over fysieke beperkingen, psychisch en lichamelijk werkvermogen en of mensen te ziek zijn om te werken.
Het lekken van gegevens gebeurde in die periode 9 keer, waarbij in totaal de gegevens van ruim 15.000 mensen bij de verkeerde ontvangers terecht zijn gekomen.
Mur: 'Dit zijn voor een deel bijzondere persoonsgegevens, waar extra zorgvuldig mee omgesprongen moet worden. Het is pijnlijk als dit soort gegevens over jezelf in verkeerde handen terechtkomen. Ook kan iemand ermee aan de haal gaan, waardoor je kwetsbaar bent voor bijvoorbeeld oplichting.'
'Het is daarom zorgelijk dat het UWV na de eerste datalekken niet meteen met een passende actie kwam. Er stonden toen 4,5 miljoen Nederlanders ingeschreven bij het UWV, waaronder werkzoekenden, zieken en arbeidsongeschikten. Deze mensen liepen onnodig het risico dat hun persoonsgegevens werden gelekt.'
Beveiligingsmaatregelen
De AP is dit onderzoek gestart nadat bij het UWV 9 datalekken hadden plaatsgevonden. Uit het onderzoek bleek onder meer dat het UWV de risico’s bij het verwerken van persoonsgegevens van werkzoekenden van te voren onvoldoende in kaart had gebracht.
Daarnaast had het UWV eerder technische maatregelen moeten doorvoeren. Bovendien heeft het UWV de eigen beveiligingsmaatregelen onvoldoende gecontroleerd en geëvalueerd.
Pas eind 2018 nam het UWV technische maatregelen om soortgelijke datalekken te voorkomen.