Het Uitvoeringsinstituut Werknemersverzekeringen (UWV) heeft door een ‘fout in de interne bedrijfsvoering’ een groot aantal dossiers van uitkeringsgerechtigden vroegtijdig vernietigd. Dat is in strijd met Europese privacywetgeving. Het gaat om documenten van 16.000 Nederlanders die recht hebben op een Wajong-uitkering. De uitkeringsinstantie belooft dat de vergissing geen gevolgen heeft voor uitkeringsgerechtigden. De kwestie is onder de aandacht gebracht bij de Autoriteit Persoonsgegevens.
Dat laat het UWV weten via een persbericht.
Dit moet je weten over de Wajong
De Wajong is een uitkering die door de Rijksoverheid in het leven is geroepen. Hiermee helpt ze mensen die voor hun achttiende levensjaar of tijdens hun studie een ziekte of handicap hebben opgelopen waardoor ze nooit meer kunnen werken. Ongeveer een kwart miljoen Nederlanders ontvangen maandelijks een Wajong-uitkering.
De dossiers die het UWV heeft vernietigd heeft betrekking op deze groep uitkeringsgerechtigden. Naar eigen zeggen heeft de uitkeringsinstantie documenten van 16.000 mensen vernietigd die recht hebben op een Wajong-uitkering.
Het ging mis tijdens opschoningswerkzaamheden van het archief
De fout kwam aan het licht toen medewerkers van het UWV bezig waren om archiefbestanden op te schonen. Voor bedrijven en organisaties in Nederland (net als in andere Europese landen) geldt dat ze persoonsgegevens van hun klanten niet oneindig lang mogen bewaren. Aan deze data is een wettelijke bewaartermijn gekoppeld. De afgelopen drie jaar is de uitkeringsinstantie druk bezig geweest om deze documenten te wissen waarvan de wettelijke bewaartermijn was verlopen.
Bij deze werkzaamheden ontdekten werknemers dat sommige documenten voortijdig waren vernietigd. Het gaat om lopende uitkeringen waar geen dubbelcheck was uitgevoerd. Het opschoningsproces werd daarop direct stilgelegd. Tevens stelde het UWV een onderzoek in om de oorzaak van de fout te achterhalen om herhaling in de toekomst te voorkomen.
Het UWV meldt dat het om documenten gaat die meer dan tien jaar oud zijn en betrekking hebben op sociaal-medische beoordelingen van mensen met een langlopende Wajong-uitkering. Deze documenten waren nog niet gedigitaliseerd.
Uitkeringsgerechtigden kunnen niet langer inzagerecht uitoefenen
Naast de documenten van 16.000 uitkeringsgerechtigden zijn ook de dossiers van zo’n 128.000 mensen vernietigd waarvan de Wajong-uitkering is beëindigd. Dat zijn mensen die bijvoorbeeld de AOW-leeftijd hebben bereikt of weer (deels) aan het werk zijn en zodoende niet langer recht hebben op een Wajong-uitkering.
Deze mensen hebben in principe niets meer te maken met het UWV. De AVG bepaalt echter dat de uitkeringsinstantie hun dossiers een geruime tijd moet bewaren om zo hun recht op inzage te kunnen uitoefenen. Doordat deze dossiers zijn vernietigd, kan het UWV niet langer aan het inzagerecht voldoen. Om die reden heeft de instantie het voorval gemeld bij de Autoriteit Persoonsgegevens.
UWV neemt contact op met gedupeerden
Het UWV spreekt van een ‘fout in de interne bedrijfsvoering’ en betreurt wat er is gebeurd. “Voor de verstrekking van de uitkering zijn deze documenten niet nodig en alle benodigde informatie voor de betaling van de uitkeringen is gewoon nog aanwezig. Daarover hoeft niemand zich dus zorgen te maken”, aldus de uitkeringsorganisatie. UWV-bestuurder Nathalie van Berkel benadrukt dat klanten niet de dupe mogen worden van de fout. Mochten er zich onverhoopt problemen voordoen, dan kunnen gedupeerden zich melden bij het UWV. De instantie belooft er dan alles aan te doen om dat op te lossen.
Uitkeringsgerechtigden die de dupe zijn van de fout bij het UWV worden binnenkort geïnformeerd over het voorval. “Hoewel mensen er in de praktijk zo goed als niets van gaan merken, hebben zij er recht op dit te weten. Het geeft ook duidelijkheid voor andere mensen die zich nu misschien afvragen of het ook hun documenten betreft. De mensen om wie het gaat, krijgen dus persoonlijk bericht”, vertelt Van Berkel.
Er is ook goed nieuws. De documenten in de dossiers van (voormalige) uitkeringsgerechtigden zijn weliswaar vernietigd, maar nog wel elders binnen de organisatie aanwezig. De fout kan daardoor mogelijk deels worden hersteld.
UWV heeft diverse privacyschendingen op zijn kerfstok
Het is niet de eerste keer dat het UWV slordig omspringt met de persoonsgegevens van uitkeringsgerechtigden. In 2017 constateerde de Autoriteit Persoonsgegevens dat de beveiliging van het werkgeversportaal niet op orde was. Onbevoegden hadden toegang tot gezondheidsgegevens van mensen die in de Ziektewet zaten. Ook werd er geen meerfactorauthenticatie toegepast om deze privacygevoelige data te beschermen.
Het UWV ging hiermee aan de slag. In juni 2020 meldde de toezichthouder dat de uitkeringsinstantie de geconstateerde problemen had verholpen. Werkgevers en arbodiensten kunnen voortaan alleen nog maar via eHerkenning inloggen, het digitale identificatiemiddel van de Rijksoverheid. Daarmee voorkwam het UWV een torenhoge dwangsom van 900.000 euro.
Het UWV wordt nog altijd onderzocht door de Autoriteit Persoonsgegevens. Uit onderzoek van KPMG is gebleken dat SONAR -een IT-systeem met daarin personalia en andere persoonsgegevens van werkzoekenden- niet voldoet aan de Europese privacywet en -regelgeving. Het UWV overtreedt volgens de onderzoekers de regels op het gebied van rechtmatigheid, minimale gegevensverwerking, doelbinding, opslagbeperking en het waarborgen van de integriteit en vertrouwelijkheid van gegevens. In een interview met Trouw zei een woordvoerder van de toezichthouder dat het UWV ‘te weinig oog voor privacy’ heeft.
