- SONAR staat boordevol met vertrouwelijke persoonsgegevens
- 15.000 medewerkers hebben toegang tot SONAR
- KPMG: ‘SONAR voldoet niet aan de beginselen van de AVG’
- Persoonsgegevens ook na verstrijken bewaartermijn nog toegankelijk
- KPMG: ‘UWV moet deze maatregelen zo snel mogelijk doorvoeren’
- Nieuw systeem in de maak
De persoonsgegevens van 4,1 miljoen Nederlanders die klant zijn of waren bij het UWV, zijn toegankelijk voor enkele duizenden UWV-medewerkers en ambtenaren. Het gaat om ongeveer 15.000 medewerkers die toegang hebben tot informatie die ze niet nodig hadden voor hun werkzaamheden. Het systeem dat deze data bijhoudt voldoet momenteel niet aan de beginselen die in de Algemene Verordening Gegevensbescherming (AVG) zijn opgenomen.
Dat concludeert KPMG dat onderzoek deed naar de kwestie.
SONAR staat boordevol met vertrouwelijke persoonsgegevens
Het UWV is de instantie waar je aanklopt als je je baan kwijtraakt, door een burn-out thuis komt te zitten, of om een andere reden in de Ziektewet belandt. De uitkeringsinstantie biedt niet alleen een sociaal vangnet, maar doet ook aan arbeidsbemiddeling en re-integratie. De afdeling UWV WERKbedrijf is daar verantwoordelijk voor.
Het voornaamste informatiesysteem of applicatie die het UWV hiervoor gebruikt, is SONAR. SONAR staat vol met vertrouwelijke en persoonsgevoelige gegevens, waaronder namen, woonadressen, geboortedatum, nationaliteit, telefoonnummers, e-mailadressen, burgerservicenummers (BSN) en medische gegevens en verwante achtergrondgeschiedenis die vertellen waarom iemand een uitkering aanvraagt.
15.000 medewerkers hebben toegang tot SONAR
Al met al zeer gevoelige en persoonlijke informatie waarvan je niet wilt dat iedereen deze zomaar kan raadplegen. Speciaal voor dat doeleinde trad in mei 2018 de AVG in werking. Deze bepaalt dat dat niet iedereen zomaar toegang heeft tot deze gegevens. Daarbovenop is SONAR gekoppeld aan externe systemen die ondersteuning bieden bij arbeidsbemiddeling.
Toch wordt de data in de applicatie niet goed beschermd tegen dergelijke inbreuken. Naast het UWV WERKbedrijf maken ook andere divisies van de uitkeringsinstantie en ketenpartners gebruik van SONAR. In totaal gaat het om ongeveer 15.000 adviseurs die in dienst zijn van het UWV, maar ook gemeenteambtenaren en adviseurs die werken bij SW-bedrijven die toegang hebben tot de database.
KPMG: ‘SONAR voldoet niet aan de beginselen van de AVG’
De afdeling UWV WERKbedrijf vroeg aan KPMG om onderzoek te doen naar SONAR in relatie tot verschillende privacyvraagstukken. Dat onderzoek werd in augustus vorig jaar afgerond, maar is nu pas openbaar gemaakt. En de conclusie van de onderzoekers liegt er niet om: volgens hen voldoet SONAR momenteel aan geen van de beginselen uit de AVG op het gebied van rechtmatigheid, minimale gegevensverwerking, doelbinding, opslagbeperking en het waarborgen van de integriteit en vertrouwelijkheid van gegevens.
SONAR wordt volgens KPMG gebruikt als archiveringssysteem, waardoor het systeem een schat aan gegevens bevat van zowel actieve als inactieve klanten. Medewerkers met toegang tot het systeem kunnen deze gegevens ongebreideld raadplegen. Het gaat om tenminste 3,1 miljoen voormalige klanten van het UWV en de huidige 1 miljoen uitkeringsgerechtigden.
Persoonsgegevens ook na verstrijken bewaartermijn nog toegankelijk
Ongeveer 15.000 gebruikers hebben toegang tot de persoonsgegevens van (oud-)klanten. “Niet alle eindgebruikers van SONAR die toegang hebben tot klantgegevens, hebben dit ook daadwerkelijk nodig voor de uitoefening van hun functie”, schrijft KPMG in zijn rapport. Er wordt in het autorisatiemodel van het UWV te beperkt onderscheid gemaakt op basis van het ‘need-to-have’ principe. Een UWV-medewerker uit Groningen kan zodoende de gegevens inzien van een werkzoekende uit Limburg.
Tevens constateert KPMG dat persoonsgegevens in SONAR niet of slechts in beperkte mate worden opgeschoond, zelfs niet na het verstrijken van de wettelijke bewaartermijn. “Als gevolg daarvan ontbreekt de wettelijke grondslag voor het verwerken van persoonsgegevens na het verstrijken van de bewaartermijn. Daarnaast blijven klanten voor alle gebruikers zichtbaar, terwijl dit niet noodzakelijk is en doelbinding ontbreekt”, aldus de onderzoekers.
KPMG: ‘UWV moet deze maatregelen zo snel mogelijk doorvoeren’
Doordat de gegevensverwerking van SONAR niet voldoet aan de AVG, loopt het UWV een groot risico. De kans op datalekken is reëel en de Autoriteit Persoonsgegevens kan besluiten om in te grijpen. De toezichthouder kan een verwerkingsverbod opleggen, maar ook boetes uitdelen. Het belangrijkste risico is volgens KPMG dat de 15.000 gebruikers van SONAR alle persoonsgegevens van de 4,1 miljoen (oud-)klanten kunnen inzien en downloaden. Het UWV moet op korte termijn deze rechten inperken.
SONAR moet actief blijven totdat er voldoende maatregelen zijn getroffen om risico’s te beperken, of er een alternatief informatiesysteem is geïmplementeerd. Naast het inperken van toegangsrechten heeft KPMG nog een aantal maatregelen geformuleerd om veiligheids- en privacyrisico’s te reduceren. Om te beginnen moet het UWV minimaal eens per jaar onnodige data verwijderen, bijvoorbeeld als de wettelijke bewaartermijn is verstreken.
Verder moeten persoonsgegevens van inactieve klanten gemaskeerd worden zodat deze niet langer zichtbaar zijn voor SONAR-gebruikers. Het creëren van privacy awareness onder de gebruikers staat eveneens hoog op het lijstje van KPMG. Tot slot adviseren de onderzoekers om “een compleet en gedetailleerd overzicht van alle categorieën persoonsgegevens in SONAR” te creëren.
Nieuw systeem in de maak
De privacyproblemen bij het UWV zijn al jaren bekend, waaronder bij minister van Sociale Zaken Wouter Koolmees. Afgelopen maand schreef hij dat een nieuw autorisatiemodel eind 2022 gereed moet zijn. Ondertussen werkt de minister aan een nieuw systeem dat SONAR moet vervangen. Dit nieuwe IT-systeem is op zijn vroegst pas in 2025 klaar.
