Autoriteit Persoonsgegevens legt UWV megaboete op wegens datalekken

Abonneer je gratis op Techzine!

De Nederlandse privacytoezichthouder Autoriteit Persoonsgegevens (AP) heeft uitvoeringsorganisatie UWV een boete van 450.000 euro opgelegd. De boete is opgelegd naar aanleiding van maar liefst negen datalekken tussen 2016 en 2018.

Volgens de privacytoezichthouder heeft het UWV in de periode zijn Werkmap-omgeving voor werkzoekenden niet goed beveiligd. De Mijn Werkmap-omgeving is een persoonlijke omgeving op de website van het UWV, waar werkzoekenden contact hebben met het UWV. In totaal vond in de genoemde periode negenmaal een datalek plaats. Hierbij kwamen de gegevens van ruim 15.000 mensen bij verkeerde ontvangers terecht.

Persoonsgegevens verstuurd naar andere werkzoekenden

Concreet werden groepsberichten die via de Mijn Werkmap-omgeving werden verstuurd naar werkzoekenden niet goed beveiligd. Hierdoor kwamen Excel-bestanden met veel persoonsgegevens terecht bij de verkeerde ontvangers, namelijk in de Mijn Werkmap-omgeving van andere werkzoekenden. De persoonsgegevens die op deze manier lekten, waren onder meer BSN-nummers, adresgegevens, gegevens over opleidingen, nationaliteit en informatie over fysieke beperkingen, psychisch en lichamelijk werkvermogen en of mensen te ziek zijn om te werken.

Te late reactie van UWV

De privacytoezichthouder deed pas onderzoek nadat de negen verschillende datalekken hadden plaatsgevonden. In het onderzoek constateerde de AP dat het UWV de risico’s bij het verwerken van persoonsgegevens van werkzoekenden van tevoren onvoldoende in kaart had gebracht. Daarnaast heeft de uitvoeringsinstantie verzuimd om eerder technische maatregelen door te voeren die de datalekken konden stoppen. Bovendien heeft het UWV de eigen beveiligingsmaatregelen onvoldoende gecontroleerd en geëvalueerd waardoor herhaling plaatsvond. Uiteindelijk zijn pas aan het eind van 2018 passende technische maatregelen genomen voor het voorkomen van dit soort datalekken.

Hoge boete passend

De hoge boete van 450.000 euro vindt het AP passend omdat de uitvoeringsinstantie na de eerste meldingen van datalekken niet in actie is gekomen. Hierbij speelt mee dat op dat moment ongeveer 4,5 miljoen mensen bij het UWV stonden ingeschreven, waaronder werkzoekenden, zieken en arbeidsongeschikten. Deze mensen liepen onnodig het risico dat hun persoonsgegevens werden gelekt, stelt AP.

Reactie UWV

In een reactie geeft de uitvoeringsinstantie aan na de eerste datalekken wel degelijk maatregelen te hebben genomen. Het waren vooral organisatorische maatregelen, zoals aangescherpte werkinstructies, bewustwording bij medewerkers en een collega vragen mee te laten kijken (vier-ogen-principe). Technische maatregelen als het onmogelijk maken Excel-bestanden te uploaden bleven aanvankelijk uit. Dit werd na herhaling van de datalekken dus pas eind 2018 gecorrigeerd. Deze afwachtende houding trekt het UWV -zo stelt het in de reactie- zich erg aan.

Het UWV kan nog tegen de boete in beroep gaan, maar dat lijkt gezien de reactie niet aannemelijk.