Het Uitvoeringsinstituut Werknemersverzekeringen (UWV) ontving in 2021 in totaal 3.027 signalen over mogelijke inbreuken. Daarvan zijn er 1.039 als datalek gemeld bij de Autoriteit Persoonsgegevens. In bijna 90 procent van de gevallen ging het om poststukken die geopend werden door iemand anders dan de geadresseerde. Dat schrijft de uitkeringsinstantie in zijn jaarverslag over 2021.
Het UWV zegt afgelopen jaar te hebben geïnvesteerd in “maatregelen die een veilige uitwisseling van informatie faciliteren en daarmee datalekken terugdringen”. Vooralsnog lijkt de uitkeringsinstantie daar niet de vruchten van te plukken. In 2020 kreeg het UWV 3.033 signalen van mogelijke privacyinbreuken. Daarvan werden er 1.066 aangemeld bij de privacywaakhond. In meer dan 90 procent van de gevallen bleek het te gaan om postgerelateerde lekken.
Afgelopen jaar waren de cijfers nagenoeg gelijk. “Dankzij adequaat handelen door onze medewerkers konden risico’s voor de rechten en vrijheden van betrokkenen daarbij snel worden gemitigeerd”, zo staat er in het jaarverslag. De uitkeringsinstantie zegt naar aanleiding van deze incidenten een onderzoek te hebben ingesteld. “Hiermee zijn de risico’s helder in kaart, zodat we maatregelen konden treffen om soortgelijke incidenten in de toekomst te voorkomen.”
Het UWV benadrukt dat het van groot belang is om “de aandacht te vestigen op tijdige en voldoende managementaandacht om risico’s van impactvolle datalekken te mitigeren en om maatregelen te treffen om verdere inbreuken te voorkomen”.
De bovengenoemde datalekken zijn relatief klein en onschuldig. Maar afgelopen jaar hebben zich ook verschillende grotere incidenten voorgedaan. Zo vernietigde de instantie de dossiers van bijna 16.000 Nederlanders die recht hadden op een Wajong-uitkering. Bij opschoningswerkzaamheden ontdekten medewerkers dat ze dossiers hadden vernietigd die daarvoor nog niet in aanmerking kwamen. Naast de documenten van 16.000 uitkeringsgerechtigden waren er ook de dossiers van zo’n 128.000 mensen vernietigd waarvan de Wajong-uitkering was beëindigd.
“Het vernietigen van dossiers is na constatering onmiddellijk stopgezet. We hebben onderzoek gedaan naar de oorzaak en maatregelen getroffen; hierna kon de vernietiging weer worden opgepakt. De vroegtijdige vernietiging heeft geen nadelige gevolgen voor de reeds beëindigde uitkeringen”, aldus de uitkeringsinstantie.
Een ander lek deed zich voor nadat de nieuwe software op het werkgeversportaal was geïnstalleerd. Na installatie bleek dat er titels van documenten van werknemers zichtbaar waren voor werkgevers. De risico’s voor de betrokkenen waren beperkt, omdat het datalek zich voordeed in een beveiligde omgeving. Bovendien was hij na twee-en-een-half uur al verholpen. Het UWV zegt maatregelen te hebben genomen om dit soort datalekken in de toekomst te voorkomen.
Het UWV heeft in het verleden wel vaker problemen gehad met het beveiligen van persoonsgegevens van cliënten. Het draait om SONAR, een IT-systeem waarin namen, adresgegevens, nationaliteit BSN-nummer, opleidingsgegevens, cv’s en andere gegevens van werkzoekenden worden opgeslagen. Tussen 2016 en 2018 bleek dat er negen keer een Excel-bestand met gezondheids- en persoonsgegevens van 15.000 werkzoekenden als bijlage aan ‘Mijn Werkmap’ was toegevoegd. Deze informatie belandde onbedoeld bij andere werkzoekenden.
Voor deze fout legde de Autoriteit Persoonsgegevens een boete van 450.000 euro op. “Dit zijn voor een deel bijzondere persoonsgegevens, waar extra zorgvuldig mee omgesprongen moet worden. Het is pijnlijk als dit soort gegevens over jezelf in verkeerde handen terechtkomen”, zo zei Katja Mur, bestuurslid bij de toezichthouder. “Ook kan iemand ermee aan de haal gaan, waardoor je kwetsbaar bent voor bijvoorbeeld oplichting. Het is daarom zorgelijk dat het UWV na de eerste datalekken niet meteen met een passende actie kwam.”
Volgens de privacywaakhond was de uitkeringsinstantie jarenlang “ernstig nalatig” geweest in het beschermen van persoonsgegevens van werkzoekenden. “Daarnaast vindt de AP het zeer onachtzaam en nalatig dat het UWV pas na negen datalekken in december 2018 is overgegaan tot het doorvoeren van technische maatregelen”, zo schreef de Autoriteit Persoonsgegevens in het boetebesluit.
Update: de Sociale Verzekeringsbank (SVB) had afgelopen jaar aanzienlijk meer datalekken. In het jaarverslag schrijft de instantie dat in 2021 in totaal 691 datalekken hadden plaatsgevonden. Dat zijn er 245 meer in vergelijking met 2020. Dat komt volgens de dienst omdat er vorig jaar meer post is verstuurd. Een deel van de poststukken werd op het verkeerde adres bezorgd, bevatte een foutief adressering of bevatte twee brieven in één envelop. Bijna 70 procent van de datalekken is volgens de SVB toe te schrijven aan postgerelateerde lekken.
“De SVB zet onverminderd in op het voorkomen van datalekken door het bewustzijn en de alertheid van medewerkers hierop verder te vergroten, onder andere door middel van workshops en trainingen”, zo staat er in het jaarverslag.