In de eerste acht maanden van 2022, telden het Uitvoeringsinstituut Werknemersverzekeringen (UWV) en de Sociale Verzekeringsbank (SVB) in totaal 917 datalekken. Ze zijn allemaal gemeld bij de Autoriteit Persoonsgegevens. De impact van de lekken was gering.
Dat schrijft het ministerie van Sociale Zaken en Werkgelegenheid in het rapport ‘Stand van de uitvoering sociale zekerheid december 2022’.
Nagenoeg alle lekken hadden beperkte impact
In deze notitie melden het UWV en de SVB hoeveel datalekken er afgelopen jaar aan het licht kwamen. Het gaat om de periode januari tot en met augustus 2022. Het laatste kwartaal is dus nog niet in de cijfers opgenomen.
Het UWV ontdekte in deze periode 554 datalekken. Bij de SVB vonden er 363 datalekken plaats. Bij elkaar opgeteld dus 917 lekken. “Het betrof in vrijwel alle gevallen datalekken waarin het om de persoonsgegevens van één persoon ging met beperkte impact”, zo schrijven de instanties in het rapport. Dan moet je denken aan brieven die aan de verkeerde personen zijn geadresseerd, of als er per ongeluk twee brieven in één envelop belanden. Alle gevallen zijn gemeld bij de toezichthouder.
AP onderzoekt één geval waarvan de impact groter was
De instanties benadrukken dat ieder lek er een teveel is, maar dat de impact voor de gedupeerden minimaal was. Er was afgelopen jaar slechts één geval waarbij het lek een grotere impact had. Het ging om een datalek waarbij een medewerker van de SVB informatie verstrekte aan een onbevoegd iemand. De Autoriteit Persoonsgegevens onderzoekt de kwestie. Zodra de resultaten van het onderzoek binnen zijn, worden deze aan de Tweede Kamer verstrekt.
Om de cijfers in perspectief te plaatsen: in heel 2021 meldde het UWV 1.039 datalekken bij de privacywaakhond. Het jaar daarvoor ging het om 1.066 meldingen. Bij de SVB werden in 2021 in totaal 691 datalekken ontdekt. In 2020 waren dat er 446.
Cybersecurity topprioriteit van UWV en SVB
Op het vlak van informatiebeveiliging, privacybescherming en digitale weerbaarheid hebben het UWV en de SVB ambitieuze doelen gesteld. Om deze te verwezenlijken is echter wel specialistische kennis. Deze expertise is volgens de instanties in de huidige arbeidsmarkt lastig te werven. Toch doen ze er alles aan om deze “belangrijke prioriteiten” waar te maken.
“Ondanks dat de mogelijkheid van een cyberaanval in de toekomst nooit volledig valt uit te sluiten, zet de SVB in op de concrete verbetering van de cyberveiligheid”, schrijven de instanties. Zo heeft de SVB de Baseline Informatiebeveiliging Overheid (BIO), samen met de Algemene Verordening Persoonsgegevens (AVG), opgenomen in haar Security en Privacy beleid.
Verder zijn er allerlei projecten gelanceerd om de digitale veiligheid te verbeteren, waaronder de realisatie van een Security Operations Centre (SOC) komend jaar.
Instanties voeren verbeteringen door aan SONAR
Tot slot melden het UWV en de SVB dat alle gegevens waarvan de bewaartermijn is verlopen verwijderd zijn uit SONAR. Verder zijn logging en monitoring verbeterd en zijn medewerkers verplicht om sterke wachtwoorden te kiezen. Om het autorisatiebeleid nog beter af te stemmen, is het mogelijk om gemeenten op regionaal niveau te autoriseren. Er blijven echter wel restrisico’s bestaan, maar die zijn volgens de instanties onvermijdelijk bij het verouderde systeem. In 2025 wordt het huidige systeem vervangen en behoren deze risico’s tot het verleden.
SONAR is een IT-systeem waarin namen, adresgegevens, nationaliteit, BSN-nummer, opleidingsgegevens, cv’s en andere gegevens van werkzoekenden worden opgeslagen. Het doel van dit systeem is om mensen die op zoek zijn naar werk daarbij te ondersteunen. Tussen 2016 en 2018 ging er negen keer iets verkeerd, waardoor de persoonsgegevens van 15.000 werkzoekenden bij andere werkzoekenden belandden. De Autoriteit Persoonsgegevens legde hiervoor een boete van 450.000 euro op.
