De Autoriteit Persoonsgegevens (AP) heeft uitvoeringsorganisatie UWV een boete van 450.000 euro opgelegd.

De AP stelt dat het UWV tussen 2016 en 2018 de persoonlijke online Werkmap-omgeving voor werkzoekenden niet goed heeft beveiligd. In die periode werden 9 datalekken geconstateerd en kwamen gegevens van ruim 15.000 UWV-klanten bij de verkeerde ontvangers terecht. Daarbij ging het onder meer om Excelbestanden met persoonsgegevens van werkzoekenden, die bij andere werkzoekenden in hun persoonlijke omgeving terecht kwamen. In de gelekte gegevens zat informatie over onder meer BSN-nummers, adresgegevens, gegevens over opleidingen, nationaliteit en informatie over fysieke beperkingen, en psychisch en lichamelijk werkvermogen.

Die problemen werden veroorzaakt door slechte beveiliging, maar ook constateert de AP dat de uitvoeringsinstantie te laat ingreep, de informatierisico’s te slecht in kaart heeft gebracht en te weinig en te laat technische maatregelen heeft doorgevoerd en geëvalueerd. Het UWV zelf zegt wel degelijk maatregelen te hebben genomen, maar die bleven beperkt tot instructies voor medewerkers. Pas in een laat stadium zijn ook op technologievlak veranderingen doorgevoerd.

In 2016 constateerde NRC Handelsblad dat de ICT bij uitvoeringsinstantie UWV fundamentele gebreken heeft. Dat bleek toen  uit interne stukken. De situatie kan „onbeheersbaar” worden, aldus de NRC in 2016. Daarna volgde een reeks waarschuwingen vanuit de AP; onder meer in 2017  is het UWV aangesproken, toen de beveiliging van het online werkgeversportaal niet op orde was. Het UWV kreeg toen een last onder dwangsom opgelegd van 150.000 euro per maand, met een maximale boete van 900.000 euro. Daarvan is nu een deel opgelegd als boete.

Technologie