Privacywaakhond mist kans bij UWV

Het Uitvoeringsinstituut Werknemersverzekeringen, beter bekend als het UWV, die naar eigen zeggen een deskundige en efficiënte uitvoering van de werknemersverzekeringen uitvoert en daarnaast arbeidsmarkt- en gegevensdiensten aanbiedt, heeft geen beste reputatie als het gaat om de getroffen beveiligingsmaatregelen.

Alleen al in het jaar 2018 werden maar liefst 342 datalekken door het UWV gemeld bij de AP. Op 30 oktober 2018 waarschuwde de AP reeds dat het beveiligingsniveau van het werkgeversportaal niet voldeed. Indien het UWV de beveiliging op uiterlijk 31 oktober 2018 niet op orde had, zou zij een dwangsom moeten betalen van € 150.000 per maand met een maximum van
€ 900.000. Dit schetst tevens de ernst van de situatie. Destijds ging dit om het inzien van gezondheidsgegevens van werknemers, notabene bijzondere persoonsgegevens, die niet beschermd waren door middel van een meerfactorauthenticatie. Als aanbieder en beheerder van dit verzuimsysteem is het UWV dan ook verplicht om het beveiligingsniveau op orde te hebben. Deze kwestie was tevens in 2017 al onder de aandacht van de AP, omdat het UWV toen al niet conform de oude wetgeving, de Wet bescherming persoonsgegevens (Wbp), handelde. Ondanks deze ‘red flags’ gaat het UWV toch weer de fout in en wordt niet beboet door de AP. Naar mijn mening een gemiste kans!

Gemakkelijke identiteitsfraude

Hoewel het illegaal downloaden van cv’s wellicht minder ingrijpend lijkt te zijn ten opzichte van het inzien van iemands gezondheidsgegevens, kunnen er wel degelijk bijzondere persoonsgegevens uit cv’s worden afgeleid. Zo kan op basis van een combinatie van pasfoto, geboorteplaats en nationaliteit bijvoorbeeld het ras of de etnische afkomst worden afgeleid, wat een bijzonder persoonsgegeven is op basis van artikel 9 van de Algemene Verordening Gegevensbescherming (AVG). Voor het verwerken van bijzondere persoonsgegevens geldt een verwerkingsverbod, tenzij de betrokkene zijn uitdrukkelijke toestemming heeft gegeven. Bovendien zijn de persoonsgegevens vermeld op een cv, zoals naam, adres, geboortedatum, nationaliteit en soms zelfs het BSN-nummer, informatie waarmee gemakkelijk identiteitsfraude kan worden gepleegd. Het voorgaande geeft aan dat het lekken van cv’s (zeker in grotere hoeveelheden) een grote impact kan hebben op de persoonlijke levenssfeer van de betrokkene. Dat sommige gegevens online te vinden zijn, zoals bijvoorbeeld op LinkedIn, maakt de impact niet kleiner.

Na alle paniekvoetbal die de toepassing van de AVG met zich heeft meegebracht is er tot op heden geen boete door de AP opgelegd. Wel is vorig jaar Taxidienst Uber met een boete van € 600.000 beboet in verband met een lek van persoonsgegevens van klanten en chauffeurs. Het datalek bevond zich echter in 2016, toen de oude wetgeving van toepassing was (zoals hierboven aangegeven, de Wbp). Hoewel het hier om een wereldwijd en meer ingrijpende datalek ging, werden er in Nederland ongeveer 174.000 klanten en chauffeurs getroffen door het datalek.

Basale beveligingsmaatregel

Een ander voorbeeld (wederom op grond van de oude wetgeving) vinden we bij onze zuiderburen. De Franse privacy waakhond de Commission Nationale de L’Informatique et de Libertés (CNIL) heeft vorig jaar de Franse opticienketen Optical Center wegens een datalek een boete van € 250.000 opgelegd. Volgens de toezichthouder ging het hier om het niet voldoen aan een basale beveiligingsmaatregel die het bedrijf niet mocht negeren. Opvallend is dat het bedrijf in 2015 al een boete van € 50.000 had gekregen, wederom wegens een beveiligingslek.

Hoewel beide voorbeelden een grotere impact hadden dan het datalek bij het UWV, kan men zich afvragen of op grond van de nieuwe en strengere privacywetgeving het UWV ook niet beboet moet worden. Er zijn namelijk wel wat overeenkomsten. Zo gaat het net zoals in het geval van Uber ook om een grote hoeveelheid aan persoonsgegevens die gelekt zijn. Ten aanzien van Optical Center was de beveiliging ook niet op orde en is er ook eerder gewaarschuwd door de toezichthouder, net als bij het UWV.

Strenge handhaving

De AP heeft eerder aangegeven in 2018 de focus te leggen op voorlichting, met name door de invoering van de AVG. Ze stelden in 2019 strenger te gaan optreden en boetes te gaan opleggen. We zijn nu bijna halverwege 2019, dus het is nog onduidelijk waarom de AP niet ingrijpt. Zou dit wellicht iets te maken kunnen hebben met het feit dat het UWV een overheidsinstelling is (broekzak/vestzak)? De overwegingen die tot dit besluit hebben geleid zijn (nog) niet bekend. Hoewel het opleggen van een boete aan het UWV de uitstekende kans zou zijn geweest om het startsignaal tot strengere handhaving af te geven, ziet de AP er van af om dit te doen. Strengere handhaving juich ik toe, dus Aleid Wolfsen: grijp je kans!