De Autoriteit Persoonsgegevens legt het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een boete van 450.000 euro op. De toezichthouder deelt deze bestuurlijke boete uit, omdat de uitkeringsinstantie de berichtenomgeving ‘Mijn Werkmap’ niet goed beveiligd had. Daardoor vonden er tussen 2016 en 2018 maar liefst negen datalekken plaats, waarbij de gezondheids- en andere persoonlijke gegevens van ruim 15.000 mensen bij de verkeerde mensen terecht kwamen. In een reactie laat het UWV weten het oordeel van de toezichthouder te onderschrijven.
De Autoriteit Persoonsgegevens kondigt via haar website de boete aan.
Berichtenomgeving werkzoekenden slecht beveiligd
De zaak draait om de berichtenomgeving ‘Mijn Werkmap’. Dat is de persoonlijke omgeving op de website van het UWV waarmee werkzoekenden contact onderhouden met de uitkeringsinstantie. Het UWV gebruikt dit systeem sinds 2007 om mensen die op zoek zijn naar werk via werk.nl te ondersteunen in hun zoektocht. Ze kunnen hier een cv aanmaken, maar ook naar vacatures zoeken, trainingen volgen en vragen stellen aan het UWV over het zoeken naar werk.
Het UWV beveiligde de berichtenomgeving tussen augustus 2016 en eind 2018 niet goed, zo constateert de Autoriteit Persoonsgegevens. Bestanden met een groot aantal persoonsgegevens van werkzoekenden kwam daardoor terecht in de Mijn Werkmap-omgeving van andere werkzoekenden. Dat zit zo. Bij het verzenden van groepsberichten naar de ‘Mijn Werkmap’ omgeving, belandde meermaals een Excel-bestand met persoonsgegevens bij onbevoegde ontvangers.
Privacygevoelige persoonsgegevens zoals namen, adresgegevens, nationaliteit, burgerservicenummer (BSN), gegevens over opleidingen en medische gegevens (fysieke beperkingen, psychisch en lichamelijk werkvermogen) belandden daardoor in de verkeerde handen. In totaal overkwam dat ruim 15.000 mensen.
Persoonsgegevens 15.000 werkzoekenden op straat door negen datalekken
Door de slechts beveiliging vonden er in de periode 2016 tot en met 2018 maar liefst negen datalekken plaats. Uit onderzoek van de Autoriteit Persoonsgegevens blijkt dat het UWV de risico’s van het verwerken van persoonsgegevens van werkzoekenden van tevoren onvoldoende in kaart had gebracht. Eind 2018 voerde de uitkeringsinstantie technische maatregelen in om soortgelijke datalekken in de toekomst te voorkomen. Dat had het UWV veel eerder kunnen en moeten doen, zo zegt de toezichthouder. Tot slot meent de privacywaakhond dat het UWV haar eigen beveiligingsmaatregelen onvoldoende controleerde en evalueerde.
Katja Mur, bestuurslid van de Autoriteit Persoonsgegevens, is niet te spreken over de gang van zaken. “Hoe het UWV omgaat met de bescherming van persoonsgegevens, heeft de aandacht van de AP. Zo waren er eerder beveiligingsproblemen met het werkgeversportaal en moesten wij met een sanctie een betere beveiliging afdwingen. Je moet van een organisatie zoals het UWV kunnen verwachten dat jouw gegevens veilig zijn. Als dat niet zo is, raakt dit het vertrouwen van de burger in de overheid.”
Dat werkzoekenden privégevoelige gegevens van anderen konden inzien, verdient volgens Mur niet de schoonheidsprijs. “Dit zijn voor een deel bijzondere persoonsgegevens, waar extra zorgvuldig mee omgesprongen moet worden. Het is pijnlijk als dit soort gegevens over jezelf in verkeerde handen terechtkomen. Ook kan iemand ermee aan de haal gaan, waardoor je kwetsbaar bent voor bijvoorbeeld oplichting. Het is daarom zorgelijk dat het UWV na de eerste datalekken niet meteen met een passende actie kwam.”
AP: ‘Privacy van 4,5 miljoen mensen was jarenlang in het geding’
“Nu het UWV jarenlang geen passend beveiligingsniveau heeft gewaarborgd, is de Autoriteit Persoonsgegevens van oordeel dat het UWV ernstig nalatig is geweest in het niet afwegen van risico’s voor burgers, het treffen van passende beveiligingsmaatregelen en controleren en aanpassen van deze maatregelen (…) Daarnaast vindt de AP het zeer onachtzaam en nalatig dat het UWV pas na negen datalekken in december 2018 is overgegaan tot het doorvoeren van technische maatregelen”, zo schrijft de toezichthouder in het boetebesluit.
De overtreding heeft bijna drie jaar geduurd. Daarbij was de privacy van 4,5 miljoen personen onvoldoende gewaarborgd. De Autoriteit Persoonsgegevens vindt een boete van 450.000 euro voor het overtreden van artikel 32 lid 1 en lid 2 van de AVG -dat gaat over de beveiliging van de verwerking- passend en evenredig.
UWV: ‘Dit trekken wij ons zeer aan’
Het UWV kan nog in beroep gaan tegen de bestuurlijke boete van de toezichthouder. Of de uitkeringsinstantie dat ook daadwerkelijk gaat doen, staat niet vast. In een reactie op het boetebesluit van de Autoriteit Persoonsgegevens laat Janet Helder, lid van de Raad van Bestuur van het UWV, het volgende weten:
“De privacy-vereisten van de AVG zijn van essentieel belang voor onze dienstverlening en voor de privacybescherming van werkzoekenden. Wij onderschrijven dan ook het oordeel van de Autoriteit Persoonsgegevens dat UWV anders had moeten handelen. UWV heeft na de eerste datalekken wel degelijk maatregelen genomen. Maar dit waren vooral organisatorische maatregelen, zoals aangescherpte werkinstructies, bewustwording bij medewerkers en een collega vragen mee te laten kijken (vier-ogen-principe). Ondanks deze maatregelen deden zich in 2017 en 2018 nog datalekken voor. Dit trekken wij ons zeer aan.”
Verder benadrukt ze dat het UWV jaarlijks de persoonsgegevens van meer dan 13 miljoen Nederlanders verwerkt. Het UWV hanteert naar eigen zeggen dan ook ‘strikte regels’ voor medewerkers over welke gegevens zij mogen raadplegen of wijzigen. Zo verzorgt de uitkeringsinstantie workshops over de bescherming van persoonsgegevens en is er een afdeling die zich exclusief bezighoudt met privacybescherming.
Deze boetes legde de AP eerder dit jaar op
Dit jaar heeft de Autoriteit Persoonsgegevens meerdere boetes opgelegd. In februari kreeg het Onze Lieve Vrouwe Gasthuis (OLVG) een boete van 440.000 euro. Het Amsterdamse ziekenhuis had jarenlang onvoldoende maatregelen genomen om ongeautoriseerde toegang tot medische dossiers te voorkomen. Ook werd er geen meerfactorauthenticatie toegepast om de dossiers te beveiligen.
Eind maart kreeg Booking.com te horen dat het een bedrag van 475.000 euro moet betalen, omdat het pas na drie weken een datalek meldde bij de toezichthouder. Om dezelfde reden kreeg de PVV Overijssel in mei een privacyboete opgelegd. Omdat het echter een politieke stichting zonder winstoogmerk en beperkte financiële middelen is, verlaagde de AP het boetebedrag van 525.00 euro naar 7.500 euro. De website Locatefamiliy.com moet 525.000 euro aftikken, omdat het zonder medeweten of toestemming persoonsgegevens van mensen publiceerde. Het verwijderen van deze gegevens was volgens de privacywaakhond ‘niet eenvoudig’.
Tot slot kreeg een orthodontiepraktijk in juni een boete van 12.000 euro aan zijn broek. Persoons- en andere gevoelige gegevens van nieuwe patiënten werden niet goed beveiligd, waardoor ze in de verkeerde handen terecht konden komen. Daarmee overtreedt de praktijk artikel 32 lid 1 van de AVG, dat stelt dat de verwerkingsverantwoordelijke en verwerker de plicht hebben om ‘passende technische en organisatorische maatregelen’ te treffen om persoonsgegevens te beveiligen. De praktijk heeft laten weten in beroep te gaan tegen de boete.
