Reactie UWV op boete AP voor datalekken 2016-2018

Bij het verzenden van groepsberichten naar de Werkmap-omgeving op werk.nl in de periode van 2016 tot 2018 is negen keer een Excel-bestand met persoonsgegevens bij onbevoegde ontvangers terechtgekomen. Via de Werkmap kunnen werkzoekenden een cv maken, naar vacatures zoeken, trainingen volgen en vragen stellen aan UWV over het vinden van werk. Ook worden werkzoekenden in de Werkmap geïnformeerd over evenementen en ontvangen zij bijvoorbeeld tips over solliciteren.

‘De privacy-vereisten van de AVG zijn van essentieel belang voor onze dienstverlening en voor de privacybescherming van werkzoekenden. Wij onderschrijven dan ook het oordeel van de Autoriteit Persoonsgegevens dat UWV anders had moeten handelen. UWV heeft na de eerste datalekken wel degelijk maatregelen genomen. Maar dit waren vooral organisatorische maatregelen, zoals aangescherpte werkinstructies, bewustwording bij medewerkers en een collega vragen mee te laten kijken (vier-ogen-principe). Ondanks deze maatregelen deden zich in 2017 en 2018 nog datalekken voor. Dit trekken wij ons zeer aan.

In 2018 hebben wij na een evaluatie van deze datalekken een technische maatregel toegepast om het niet meer mogelijk te maken om Excel-documenten toe te voegen aan een Werkmap-groepsbericht. Sindsdien hebben dergelijke datalekken zich niet meer voorgedaan. Achteraf gezien had het voor de hand gelegen om eerder in te zetten op de technische maatregel om de mogelijkheid voor het toevoegen van een Excel-bestand te blokkeren. Het is terecht dat de AP daar op wijst.’

Jaarlijks verwerkt UWV persoonsgegevens van meer dan 13 miljoen Nederlanders. UWV voelt zich daarvoor verantwoordelijk en vindt dat iedereen erop moet kunnen vertrouwen dat je gegevens bij UWV veilig zijn. UWV hanteert daarom strikte regels voor medewerkers over welke gegevens zij mogen raadplegen of wijzigen. Zo zijn medische gegevens afgeschermd en wordt ook vastgelegd wie er toegang heeft gehad.

Bij UWV komt de bescherming van persoonsgegevens op diverse functies door de hele organisatie terug. Zo zijn er workshops voor medewerkers over dit thema. Er is een speciale afdeling die zich volledig bezighoudt met privacybescherming. Deze afdeling zorgt dat UWV waar nodig maatregelen neemt om de omgang met gegevens nog veiliger te maken. Ook hebben alle staf- en divisieonderdelen hun eigen team Informatiebeveiliging en Privacy.