Beheer

Governance
UWV

Privacywaakhond mist kans bij UWV

Lekken bij UWV leiden maar niet tot sancties.

© CC BY-SA 2.0,  mystic_mabel
17 mei 2019

Op 3 mei jl. werd bekend dat er bij uitkeringsinstantie UWV 117.000 cv’s illegaal gedownload zijn via een account van een medewerker. Een enorm datalek, met name ten aanzien van de gevoeligheid van de persoonsgegevens die normaliter op cv’s worden vermeld. Toch heeft de Autoriteit Persoonsgegevens (hierna AP) vooralsnog geen boete opgelegd. Dit is op z’n minst opvallend te noemen.

Het Uitvoeringsinstituut Werknemersverzekeringen, beter bekend als het UWV, die naar eigen zeggen een deskundige en efficiënte uitvoering van de werknemersverzekeringen uitvoert en daarnaast arbeidsmarkt- en gegevensdiensten aanbiedt, heeft geen beste reputatie als het gaat om de getroffen beveiligingsmaatregelen.

Alleen al in het jaar 2018 werden maar liefst 342 datalekken door het UWV gemeld bij de AP. Op 30 oktober 2018 waarschuwde de AP reeds dat het beveiligingsniveau van het werkgeversportaal niet voldeed. Indien het UWV de beveiliging op uiterlijk 31 oktober 2018 niet op orde had, zou zij een dwangsom moeten betalen van € 150.000 per maand met een maximum van
€ 900.000. Dit schetst tevens de ernst van de situatie. Destijds ging dit om het inzien van gezondheidsgegevens van werknemers, notabene bijzondere persoonsgegevens, die niet beschermd waren door middel van een meerfactorauthenticatie. Als aanbieder en beheerder van dit verzuimsysteem is het UWV dan ook verplicht om het beveiligingsniveau op orde te hebben. Deze kwestie was tevens in 2017 al onder de aandacht van de AP, omdat het UWV toen al niet conform de oude wetgeving, de Wet bescherming persoonsgegevens (Wbp), handelde. Ondanks deze ‘red flags’ gaat het UWV toch weer de fout in en wordt niet beboet door de AP. Naar mijn mening een gemiste kans!

Gemakkelijke identiteitsfraude

Hoewel het illegaal downloaden van cv’s wellicht minder ingrijpend lijkt te zijn ten opzichte van het inzien van iemands gezondheidsgegevens, kunnen er wel degelijk bijzondere persoonsgegevens uit cv’s worden afgeleid. Zo kan op basis van een combinatie van pasfoto, geboorteplaats en nationaliteit bijvoorbeeld het ras of de etnische afkomst worden afgeleid, wat een bijzonder persoonsgegeven is op basis van artikel 9 van de Algemene Verordening Gegevensbescherming (AVG). Voor het verwerken van bijzondere persoonsgegevens geldt een verwerkingsverbod, tenzij de betrokkene zijn uitdrukkelijke toestemming heeft gegeven. Bovendien zijn de persoonsgegevens vermeld op een cv, zoals naam, adres, geboortedatum, nationaliteit en soms zelfs het BSN-nummer, informatie waarmee gemakkelijk identiteitsfraude kan worden gepleegd. Het voorgaande geeft aan dat het lekken van cv’s (zeker in grotere hoeveelheden) een grote impact kan hebben op de persoonlijke levenssfeer van de betrokkene. Dat sommige gegevens online te vinden zijn, zoals bijvoorbeeld op LinkedIn, maakt de impact niet kleiner.

Na alle paniekvoetbal die de toepassing van de AVG met zich heeft meegebracht is er tot op heden geen boete door de AP opgelegd. Wel is vorig jaar Taxidienst Uber met een boete van € 600.000 beboet in verband met een lek van persoonsgegevens van klanten en chauffeurs. Het datalek bevond zich echter in 2016, toen de oude wetgeving van toepassing was (zoals hierboven aangegeven, de Wbp). Hoewel het hier om een wereldwijd en meer ingrijpende datalek ging, werden er in Nederland ongeveer 174.000 klanten en chauffeurs getroffen door het datalek.

Basale beveligingsmaatregel

Een ander voorbeeld (wederom op grond van de oude wetgeving) vinden we bij onze zuiderburen. De Franse privacy waakhond de Commission Nationale de L’Informatique et de Libertés (CNIL) heeft vorig jaar de Franse opticienketen Optical Center wegens een datalek een boete van € 250.000 opgelegd. Volgens de toezichthouder ging het hier om het niet voldoen aan een basale beveiligingsmaatregel die het bedrijf niet mocht negeren. Opvallend is dat het bedrijf in 2015 al een boete van € 50.000 had gekregen, wederom wegens een beveiligingslek.

Hoewel beide voorbeelden een grotere impact hadden dan het datalek bij het UWV, kan men zich afvragen of op grond van de nieuwe en strengere privacywetgeving het UWV ook niet beboet moet worden. Er zijn namelijk wel wat overeenkomsten. Zo gaat het net zoals in het geval van Uber ook om een grote hoeveelheid aan persoonsgegevens die gelekt zijn. Ten aanzien van Optical Center was de beveiliging ook niet op orde en is er ook eerder gewaarschuwd door de toezichthouder, net als bij het UWV.

Strenge handhaving

De AP heeft eerder aangegeven in 2018 de focus te leggen op voorlichting, met name door de invoering van de AVG. Ze stelden in 2019 strenger te gaan optreden en boetes te gaan opleggen. We zijn nu bijna halverwege 2019, dus het is nog onduidelijk waarom de AP niet ingrijpt. Zou dit wellicht iets te maken kunnen hebben met het feit dat het UWV een overheidsinstelling is (broekzak/vestzak)? De overwegingen die tot dit besluit hebben geleid zijn (nog) niet bekend. Hoewel het opleggen van een boete aan het UWV de uitstekende kans zou zijn geweest om het startsignaal tot strengere handhaving af te geven, ziet de AP er van af om dit te doen. Strengere handhaving juich ik toe, dus Aleid Wolfsen: grijp je kans!

Reactie toevoegen
6
Reacties
Erwinvr 22 mei 2019 13:53

Ik vraag me af in hoeverre het niet uitdelen van een boete gaat leiden tot precedentwerking bij andere lekken. Want als ik 5000 klantgegevens lek, en wel een boete krijg, dan kan ik die naar mijn idee met dit geval van 'geen boete uitdelen' toch aanvechten ?

En qua downloaden van CV's, natuurlijk had het niet mogelijk moeten zijn voor 1 account om 117.000 CV's te downloaden, maar daarnaast zou het UWV de VC informatie beter moeten beschermen, en bijv. bij de eerste download alleen de naam, woonplaats en relevante werkgegevens moeten afstaan, en niet alle andere privacy data. Selectie gebeurt toch op kwaliteiten, en niet op BSN nummer, leeftijd of geslacht ? dan is die data in de eerste aanzet ook niet belangrijk.

Lezer#3551 Karman 21 mei 2019 20:52

@P.J. Westerhof LL.M MIM. Dat het UWV het achteraf na de actie het er niet mee eens is, is duidelijk. De vraag is of er vooraf regels opgesteld dat een werkgever maar een beperkt aantal cv's mag inzien.

Wonderlijk zou het zijn als hij ze wel zou mogen inzien maar niets met die gegevens zou mogen doen. De hele bedoeling van die cv's is immers de informatie delen met doel dat mensen aan het werk komen.
Het UWV is er wettelijk voor opgesteld om de werkzoekenden zoveel mogelijk informatie naar werkgevers te richten. Verplicht aantal sollicitaties, netwerkbijeenkomsten, in de zoveel tijd. Dat gaat echt niet anoniem.

Martin Stevense 20 mei 2019 20:32

@Noorlander: het opleggen van een boete is zeker zinvol, ook bij een monopolist. Het geeft als het goed is een politiek signaal, en de belastingbetaler betaalt er inderdaad iets aan, maar bij het UWV zou een budgethouder mogen/moeten schrikken van zo'n boete. Zeker vanwege de stoere praat van het AP en het feit dat dan geld (op dat moment) niet kan worden besteed aan andere zaken. Ik ben niet naïef, dat geld komt dan later alsnog wel, dat snap ik.

Kees Noorlander 20 mei 2019 15:49

Het opleggen van een boete aan een monopolist is weinig zinvol. Uiteindelijk is het toch de belastingbetaler, die het UWV betaalt.

P.J. Westerhof LL.M MIM 20 mei 2019 12:40

@Karman : zoals bekend, en zoals de eerste zin ook vermeldt zijn de CV’s *illegaal* gedownload. Overigens niet via een 'medewerker' maar via één werkgeversaccount op Werk.nl.

Naast een datalek impliceert dit óók een veiligheidsgebrek.

En het feit dat via één werkgeversaccount in de periode van 16 tot 30 april in totaal circa 117.000 CV's zijn gedownload houdt in dat Werk.nl zowel functioneel als qua beveiliging technisch niet op orde is.

Nl. dat het functioneel mogelijk is via één werkgeversaccount binnen twee weken 117.000 CV's te downloaden - gemiddeld 350 CV's per uur! - is al merkwaardig.
Dat hiervoor geen signaal is afgegaan impliceert dat er niet actief wordt gemonitord. Daarnaast wordt er kennelijk óók niet actief gelogd, of de logs worden niet bekeken. Dat impliceert dat de beveiliging niet op orde is.
Dat laatste is op zichzelf óók weer een inbreuk op de privacywetgeving, zowel de huidige als die uit het verleden. Want deze functionaliteit bestaat immers al veel langer.