UWV krijgt grote boete na reeks datalekken
Uitkeringsinstantie UWV heeft een boete gekregen van 450.000 euro van de Autoriteit Persoonsgegevens (AP) voor het versturen van niet goed beveiligde groepsberichten.
De slechte beveiliging leidde tot meerdere datalekken van privégegevens van ruim 15.000 werkzoekenden, waaronder gegevens over de gezondheid van deze personen. Dat meldt het AP. Het UWV gaat niet in bezwaar tegen de boete.
Het UWV stuurde berichten in de ‘Mijn Werkmap’-omgeving, een persoonlijke omgeving op de website van het instituut waar werkzoekenden contact hebben met het UWV.
Tussen augustus 2016 en eind 2018 was het proces van het verzenden van groepsberichten via deze omgeving slecht beveiligd. Hierdoor kwamen verschillende persoonsgegevens terecht bij andere werkzoekenden.
'Pijnlijk en zorgelijk'
Onder de gelekte gegevens waren onder meer adresgegevens en gegevens over de nationaliteit, maar ook informatie over fysieke beperkingen en of mensen te ziek waren om te werken.
Bestuurslid van de AP Katja Mur zegt dat als de gegevens bij het UWV niet veilig zijn, "het vertrouwen van de burger in de overheid" wordt geraakt. Ze noemt de mogelijkheid dat dit soort gegevens in verkeerde handen terechtkomen "pijnlijk". "Het is daarom zorgelijk dat het UWV na de eerste datalekken niet meteen met een passende actie kwam."
Te laat maatregelen genomen
Uit onderzoek naar de negen datalekken blijkt onder meer dat het UWV de risico's van het verwerken van persoonsgegevens van werkzoekenden van tevoren onvoldoende in kaart had gebracht. Ook had het instituut volgens de AP eerder technische maatregelen moeten doorvoeren. Daarnaast controleerde en evalueerde het UWV de eigen beveiligingsmaatregelen onvoldoende.
Het UWV zegt eind 2018 een technische maatregel te hebben doorgevoerd, waardoor soortgelijke datalekken niet meer kunnen gebeuren. "Achteraf gezien had het voor de hand gelegen om eerder in te zetten op deze technische oplossing", aldus het UWV.