Gesloten hangslot op het toetsenbord van een laptop

PvdA wil opheldering over privacyschending door UWV

Laatst bijgewerkt: 21 januari 2021
Leestijd: 3 minuten, 57 seconden

Gijs van Dijk, Tweede Kamerlid namens de Partij van de Arbeid (PvdA), wil helderheid van minister Wouter Koolmees van Sociale Zaken en Werkgelegenheid over de grootschalige privacyschending bij het UWV. Hij wil van de minister weten waarom de uitkeringsinstantie jarenlang niets aan deze overtreding heeft gedaan, en op wat voor termijn het IT-systeem SONAR aan Europese privacywetgeving voldoet.

Dat blijkt uit schriftelijke vragen die Gijs van Dijk dinsdag heeft ingediend bij minister Koolmees.

KPMG: ‘UWV schendt privacy op grote schaal’

Het UWV wist deze week bij vrijwel alle media de koppen te halen. Het uitkeringsorgaan biedt niet alleen een sociaal vangnet voor mensen die hun baan zijn kwijtgeraakt, maar helpt werkzoekenden tevens bij het vinden van een nieuwe baan. Daarvoor maakt de instantie gebruik van een systeem dat SONAR heet. Dit centrale systeem is gekoppeld aan diverse decentrale systemen van arbeidsbemiddelaars en ketenpartners en bevat zodoende een berg aan persoonlijke gegevens. Daarbij moet je denken aan voor- en achternaam, woonadressen, geboortedatum, nationaliteit, telefoonnummers, e-mailadressen, burgerservicenummers (BSN) en medische gegevens en achtergrondgeschiedenis die vertellen waarom iemand een uitkering aanvraagt.

Een systeem dat zoveel persoonlijke gegevens bevat, moet natuurlijk goed beveiligd worden. Het is immers niet de bedoeling dat niet-bevoegde personen toegang tot deze data krijgen. Om dit te onderzoeken en andere privacyvraagstukken in kaart te brengen, onderzocht KPMG afgelopen jaar SONAR. Door een beroep te doen op de Wet openbaarheid bestuur (Wob) wist dagblad Trouw de hand te leggen op het onderzoeksrapport.

De conclusie van de onderzoekers loog er niet om: SONAR voldoet niet aan de beginselen van de AVG op het gebied van rechtmatigheid, minimale gegevensverwerking, doelbinding, opslagbeperking en het waarborgen van de integriteit en vertrouwelijkheid van gegevens. Zo’n 15.000 ambtenaren van het UWV, Nederlandse gemeenten en ketenpartners hadden toegang tot het IT-systeem, ook al was dit niet nodig voor hun werkzaamheden. En verschonen van het systeem stond niet hoog op het to-do-lijstje van de uitkeringsinstantie: zelfs als de wettelijke bewaartermijn was verstreken bleven deze gegevens in SONAR staan. SONAR fungeerde dus niet alleen een registratiesysteem, maar ook als archiveringssysteem.

PvdA heeft vragen voor minister Koolmees

Voor Tweede Kamerlid Gijs van Dijk van de PvdA was het rapport aanleiding om kritische vragen te stellen aan minister voor Sociale Zaken en Werkgelegenheid Wouter Koolmees. Allereerst wil de sociaaldemocraat van de minister weten hoe het mogelijk is dat het UWV jarenlang zo slecht met de privacy van zijn cliënten is omgesprongen. “Vindt u het ook zorgwekkend dat gegevens van cliënten en zelfs voormalig cliënten van het UWV inzichtelijk zijn voor een grote groep mensen voor wie deze informatie niet relevant is?”, zo wil Van Dijk van de minister weten. Het gebrek aan consequenties –‘hooguit wat Kamervragen’- is volgens het Kamerlid de reden waarom het UWV jarenlang niets aan de privacyschendingen heeft willen doen.

Verder is de PvdA’er benieuwd of er ongeoorloofd gebruik is gemaakt van cliëntgegevens, en of de minister bereid is daar onderzoek naar te laten doen. Van Dijk vraagt zich af of minister Koolmees het UWV gaat aanspreken op het gegeven dat de instantie de privacy van cliënten niet goed beschermt. Een ander aspect waar de sociaaldemocraat zich zorgen over maakt, is de AVG. Hij wil dan ook van de minister weten wanneer het IT-systeem aan de Europese wet- en regelgeving op het gebied van privacy voldoet. “Gaat dit pas gebeuren als in 2025 het nieuwe IT-systeem af is? Zo ja, bent u ook van mening dat dit te laat is?”

Een kritiekpunt van KPMG was dat in SONAR niet alleen persoonsgegevens van actieve klanten te vinden waren, maar ook van inactieve klanten (mensen die reeds een nieuwe baan hebben gevonden). De onderzoekers adviseerden dan ook om de gegevens van inactieve cliënten te maskeren, zodat deze niet langer te raadplegen zijn voor gebruikers. Van Dijk wil van minister Koolmees horen of het UWV ‘serieus werk gaat maken’ van het onzichtbaar maken van inactieve klanten.

Deze maatregelen zitten in de pijplijn

Het onderzoeksrapport van KPMG en het Wob-verzoek van Trouw hebben de bal wel degelijk aan het rollen gebracht. De Autoriteit Persoonsgegevens gaat de zaak onderzoeken. De toezichthouder kan verbetering eisen en deze koppelen aan een deadline en dwangsom. Mocht dat niet werken, dan kan de privacywaakhond als allerlaatste redmiddel een verwerkingsverbod van persoonlijke gegevens opleggen. In dat geval mag het UWV niet langer persoonsgegevens verwerken en raadplegen.

Zoals Kamerlid Van Dijk al zei is er een nieuw systeem in de maak dat SONAR moet vervangen. Deze is echter pas op z’n vroegst in 2025 gereed. In de tussentijd werkt het ministerie van Sociale Zaken en Werkgelegenheid met man en macht aan een nieuw autorisatiemodel. Deze bepaalt wie er wel en niet toegang tot het systeem hebben. Het ministerie wil deze eind 2022 implementeren.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen