4min

Uit onderzoek van de NOS en Nieuwsuur blijkt dat het UWV illegaal data verzamelde van uitkeringsgerechtigden. De Autoriteit Persoonsgegevens en juristen zijn kritisch op de manier waarop de uitkeringsinstantie dit deed. Er wordt zelfs gesproken over overheidssurveillance.

Voor de dataverzameling werden alle bezoekers van UWV.nl en Werk.nl gevolgd, zelfs als er geen concrete aanleiding was om dit te doen. De uitkeringsinstantie volgde en analyseerde het gedrag van de bezoekers van de UWV-sites om te bepalen of ze illegaal in het buitenland verbleven. Uitkeringsgerechtigden mogen tijdens het ontvangen van een WW-uitkering alleen onder strenge voorwaarden naar het buitenland gaan.

De NOS en Nieuwsuur schrijven dat er geen enkele juridische basis was voor de dataverzameling. De beginselen van de privacywet zouden geschonden zijn. Het systeem is daarom begin dit jaar stopgezet. Ook gaan mensen die aantoonbaar gefraudeerd hebben vrijuit. Er liepen 580 onderzoeken die gestopt zullen worden, zelfs als fraude al was aangetoond.

Wat is er precies gebeurd?

Om in aanmerking te komen voor een WW-uitkering geldt doorgaans een sollicitatieplicht. In de basis houdt dit in dat een uitkeringsgerechtigde actief naar werk zoekt. Meestal betekent dit minimaal 4 keer per 4 weken een sollicitatieactiviteit ondernemen. Zo’n activiteit kan een sollicitatie op een vacature zijn, maar ook daadwerkelijk naar een sollicitatiegesprek gaan. Het kan overigens voorkomen dat er met een adviseur van het UWV afspraken worden gemaakt om van deze basisafspraken af te wijken.

Voor de communicatie en registratie van deze sollicitatieactiviteiten is er een systeem opgezet binnen Werk.nl. Via dat systeem verloopt het contact met de UWV-adviseur. De andere website, UWV.nl, wordt bijvoorbeeld gebruikt om de uitkering daadwerkelijk aan te vragen.

Uitkeringsgerechtigden mogen alleen onder strenge voorwaarden naar het buitenland reizen. Om dit te controleren heeft het UWV data verzameld. De uitkeringsinstantie gebruikte IP-adressen van ingelogde bezoekers, maar ook van niet-ingelogde bezoekers. Het IP-adres kan worden gebruikt om de locatie van een bezoeker te bepalen. Op die manier kon het UWV dus controleren of iemand zich in het buitenland bevond.

Fraude-algoritme

Het UWV plaatste tevens stiekem cookies om bezoekers te volgen. Hierdoor kunnen ingelogde gebruikers ge√Įdentificeerd worden en gekoppeld worden aan het IP-adres. Ook werd bijgehouden hoelang gebruikers ingelogd waren. Het UWV gebruikte deze gegevens voor analyse met behulp van het algoritme ‘Risicoscan Verblijf Buitenland’. Op basis van een aantal kenmerken kreeg een gebruiker een risicoscore toegewezen. Het UWV onderzocht vervolgens personen die een hoge score hadden.

De analyses leidden ertoe dat er 3600 onderzoeken werden uitgevoerd. In 460 gevallen resulteerden deze onderzoeken in aanpassingen van de uitkeringen. Dit kan onder andere boetes omvatten. Volgens de NOS was de aanleiding voor het systeem fraude met WW-uitkeringen door arbeidsmigranten.

Tip: Overheid en de falende IT-projecten, hoe nu verder?

UWV is gestopt, vindt het “uitermate vervelend”

Inmiddels zijn er ook reacties binnen, zoals van het UWV zelf. De uitkeringsinstantie stelt Risicoscan Verblijf Buitenland voor ingebruikname uitvoerig te hebben getoetst, gevalideerd en onderzocht, om te bepalen of de maatregel rechtmatig was. Ook keek een externe partij mee. Tijdens het proces stonden alle seinen op groen, geeft het UWV aan.

“Met de kennis van nu blijkt echter dat we toch een fout hebben gemaakt in de waarborging van een deel van de Risicoscan waarin door middel van cookies IP-gegevens verworven werden om iemands locatie te bepalen. Hierin zijn wij uiteindelijk niet zorgvuldig genoeg geweest. Dit spijt ons”, erkent de uitkeringsinstantie. “UWV is een publieke dienstverlener en wij stellen hoge eisen aan onze rol. In het geval van onze handhavende taak betekent dit dat zorgvuldig handelen erg belangrijk is. Dat ons in dit geval niet gelukt is vinden wij uitermate vervelend.”

Verder geeft het UWV aan dat aan het algoritme drie jaar is gewerkt en getest, waarna het tien maanden functioneel was. In februari is het systeem uiteindelijk stopgezet. “Belangrijk om te noemen is dat een signaal vanuit de Risicoscan Verblijf Buitenland nooit bewijs is geweest om iemand een sanctie op te leggen wegens ongeoorloofd verblijf in het buitenland. Een signaal vanuit de Risicoscan kan aanleiding zijn voor de start van een onderzoek door medewerkers van UWV. Het bewijs voor een overtreding kwam altijd voort uit dit onderzoek. In het onderzoek is er altijd persoonlijk contact geweest met de persoon om te bepalen wat er aan de hand was en of iemand zich ongeoorloofd in het buitenland bevond ten tijde van een uitkeringssituatie.”

Privacywaakhond en juristen kritisch

De monitoring ging echter veel te ver, concludeerde de landsadvocaat. Het advocatenkantoor oordeelde daarmee anders dan de juristen van het UWV. Volgens het UWV komt dit doordat de ene wetgeving de andere in de weg staat, laat het aan NU.nl weten. “Daarom is vanuit onze eigen privacyjuristen nooit iets naar voren gekomen”, aldus het UWV.

De Autoriteit Persoonsgegevens wil opheldering van het UWV voor de schending van de privacywet. De privacywaakhond noemt de werkwijze van de uitkeringsinstantie zorgelijk. “Mensen moeten erop kunnen vertrouwen dat hun privacy in veilige handen is, zeker ook bij grote organisaties die overheidsbeleid uitvoeren en waarvan veel mensen afhankelijk zijn”, aldus AP.

Het UWV zou zelfs risico lopen op hoge boetes, van zowel de AP als de Autoriteit Consument en Markt. Het zou gaan om boetes tot ruim 20 miljoen euro. Daarnaast kan het gebruik van onrechtmatig verkregen bewijs van fraude problemen opleveren bij de rechter. Om die reden zijn de lopende onderzoeken stopgezet. Fraudeurs die al een boete of terugvordering hebben gekregen, krijgen hun geld overigens niet terug.

Advocaat Anton Ekker procedeerde eerder succesvol tegen andere overheidsalgoritmes en spreekt nu tegenover de NOS en Nieuwsuur over een ongerichte maatregel. “Het punt is dat UWV een grote groep mensen volgt, waarvan het allergrootste deel geen fraude heeft gepleegd. Dat komt neer op overheidssurveillance.” De dataverzameling zou alleen kunnen als er een concreet vermoeden van overtreding is, maar volgens de landsadvocaat gebeurde het stelselmatig.

Tip: Overheid waarschuwde bedrijven al 35.000 keer voor cyberdreigingen