De Mijn Werkmap-omgeving is een persoonlijke omgeving op de website van het UWV, waar werkzoekenden contact hebben met het UWV. Hierdoor waren er verschillende datalekken van persoonsgegevens, waaronder gezondheidsgegevens, van in totaal ruim 15.000 mensen.
Katja Mur, bestuurslid AP:
‘Hoe het UWV omgaat met de bescherming van persoonsgegevens, heeft de aandacht van de Autoriteit Persoonsgegevens. Zo waren er eerder beveiligingsproblemen met het werkgeversportaal en moesten wij met een sanctie een betere beveiliging afdwingen. Je moet van een organisatie zoals het UWV kunnen verwachten dat jouw gegevens veilig zijn. Als dat niet zo is, raakt dit het vertrouwen van de burger in de overheid.’
Verkeerde ontvangers
Tussen augustus 2016 en eind 2018 was het proces voor het verzenden van groepsberichten via de Mijn Werkmap-omgeving niet goed beveiligd. Daardoor kwamen bestanden met veel persoonsgegevens van werkzoekenden terecht bij de verkeerde ontvangers, namelijk in de Mijn Werkmap-omgeving van andere werkzoekenden.
Gelekte persoonsgegevens
Het ging hierbij om verschillende persoonsgegevens, zoals adresgegevens, gegevens over opleidingen, nationaliteit, BSN, maar ook informatie over fysieke beperkingen, psychisch en lichamelijk werkvermogen en of mensen te ziek zijn om te werken.
Het lekken van gegevens gebeurde in die periode negen keer, waarbij in totaal de gegevens van ruim 15.000 mensen bij de verkeerde ontvangers terecht zijn gekomen.
Bijzondere persoonsgegevens
Katja Mur: ‘Dit zijn voor een deel bijzondere persoonsgegevens, waar extra zorgvuldig mee omgesprongen moet worden. Het is pijnlijk als dit soort gegevens over jezelf in verkeerde handen terechtkomen. Ook kan iemand ermee aan de haal gaan, waardoor je kwetsbaar bent voor bijvoorbeeld oplichting.’
‘Het is daarom zorgelijk dat het UWV na de eerste datalekken niet meteen met een passende actie kwam. Er stonden toen 4,5 miljoen Nederlanders ingeschreven bij het UWV, waaronder werkzoekenden, zieken en arbeidsongeschikten. Deze mensen liepen onnodig het risico dat hun persoonsgegevens werden gelekt.’
Beveiligingsmaatregelen
De Autoriteit Persoonsgegevens (AP) is dit onderzoek gestart nadat bij het UWV negen datalekken hadden plaatsgevonden. Uit het onderzoek bleek onder meer dat het UWV de risico’s bij het verwerken van persoonsgegevens van werkzoekenden van te voren onvoldoende in kaart had gebracht.
Daarnaast had het UWV eerder technische maatregelen moeten doorvoeren. Bovendien heeft het UWV de eigen beveiligingsmaatregelen onvoldoende gecontroleerd en geëvalueerd.
Pas eind 2018 nam het UWV technische maatregelen om soortgelijke datalekken te voorkomen.
Hoe nu verder?
Het UWV kan nog in bezwaar gaan tegen de boete van de AP.
Besluit tot het opleggen van een boete aan UWV