Opgelicht?! opgelicht-logo

meer NPO start
Opgelicht?!
  • Duizenden ambtenaren hebben toegang tot persoonsgegevens van 4,1 miljoen UWV-klanten

    Duizenden ambtenaren hebben toegang tot persoonsgegevens van 4,1 miljoen UWV-klanten

    De persoonsgegevens van 4,1 miljoen mensen die klant zijn of waren bij het UWV zijn door duizenden ambtenaren eenvoudig in te zien. Accountantskantoor KPMG - die op verzoek van het UWV het IT-systeem Sonar heeft beoordeeld - concludeert dat het systeem aan 'geen van de beginselen uit de AVG' voldoet. Dat meldt dagblad Trouw.

    Ook stelt KPMG dat er onmiddelijk een eind moet komen aan de situatie dat zoveel werknemers van de uitkeringsorganisatie én van gemeenten zomaar in deze gegevens kunnen grasduinen.

    Om welke gegevens gaat het precies?

    Het gaat over alle informatie die het UWV mogelijk over je zou kunnen hebben. Gegevens van 4,1 miljoen Nederlanders zijn door duizenden ambtenaren te raadplegen, ook als daar helemaal geen noodzaak toe is. Een gemeentelijke ambtenaar van de sociale dienst in de regio Amsterdam kan bijvoorbeeld zomaar gegevens opvragen van (oud-)klanten uit Zuid-Limburg of Friesland. 3,1 miljoen gegevens zijn van oud-klanten van het UWV, de overige gegevens zijn van de huidige 1 miljoen uitkeringsgerechtigden. 

    Het gaat om gegevens als je naam, adres, burgerservicenummer, geboortedatum, nationaliteit, de begeleiding die je van het UWV hebt gehad en overige informatie over je uitkering. Dat betekent dus ook dat ambtenaren bijvoorbeeld kunnen zien of je je baan bent verloren door een burn-out, arbeidsongeschiktheid door kanker of een depressie én over al dan niet gedwongen ontslagen.

    KPMG: 'De privacy van betrokkenen wordt momenteel buitensporig geschaad'

    Trouw sprak IT-deskundige René Jan Veldwijk, die stelt dat het IT-systeem Sonar zich nog het beste laat vergelijken met een 'open huis voor iedereen'. Veldwijk voegt daaraan toe dat betrokkenen daar overigens al jaren van op de hoogte zijn, maar dat er niks aan gedaan wordt omdat niemand het erg vindt.

    Veldwijk: 'Er is bij UWV nog nooit iemand ontslagen omdat de privacy van mensen niet is beschermd. Er worden bij een datalek - die er heel vaak zijn geweest - hooguit wat Kamervragen gesteld. Dat risico wil de top wel nemen.'

    KPMG trekt echter stevige conclusies en stelt dat de privacy van de 4,1 miljoen burgers wiens gegevens momenteel zomaar kunnen worden geraadpleegd buitensporig wordt geschaad door de gang van zaken. Veldwijk: 'Het interesseert ze niet bij UWV. Ook omdat ingrijpen als een groter risico wordt gezien. Als er dan iets fout gaat, kunnen drieduizend mensen die dagelijks gebruik maken van Sonar hun werk niet doen. Dat willen ze te allen tijde voorkomen.'

    UWV: 'Dienstverlening houdt niet op bij de gemeentegrens'

    Het Werkbedrijf van het UWV is belast met het begeleden van de reïntegratie van uitkeringsgerechtigden. Daarom gebruiken deze werknemers informatie over uitkeringsgerechtigden uit IT-systeem Sonar om ze daar beter en gerichter bij te kunnen helpen. Er zijn echter ook werknemers van andere UWV-afdelingen die zomaar bij al deze gegevens kunnen, en dat is volgens KPMG niet de bedoeling.

    Het accountantskantoor vindt namelijk dat minder mensen toegang tot deze gegevens moeten krijgen: 'Dat hebben zij niet nodig voor de uitoefening van hun functie', aldus KPMG. Omdat het gegevens zijn van werkzoekenden, bijstandsgerechtigen, mensen die arbeidsongeschikt zijn en (jong)gehandicapten, gaat het om gevoelige informatie, en verdient het aanbeveling om extra kritisch om te gaan met de vraag wie er toegang tot deze gegevens moet hebben.

    Trouw sprak ook met Karin Menses, directeur Informatievoorziening bij het Werkbedrijf van het UWV. Menses erkent weliswaar dat KPMG een punt heeft wat betreft het beperken van de toegang van gemeenteambtenaren tot gegevens van alle (oud-)klanten van het UWV, maar omdat de mensen van het UWV landelijk werken, is onbeperkte toegang voor deze werknemers wel belangrijk: 'Als we bijvoorbeeld een inwoner van Zeist helpen, willen we ook weten welke banen er in Amsterdam voor hem of haar zijn. Onze dienstverlening houdt niet op bij een gemeentegrens.'

    KPMG: 'Verberg de gegevens van de 3,1 miljoen inactieve klanten'

    KPMG doet een aantal aanbevelingen om de privacy van klanten beter te kunnen waarborgen. Allereerst zouden de gegevens van de 3,1 miljoen inactieve klanten best onzichtbaar kunnen worden gemaakt, wat volgens IT-deskundige René Jan Veldwijk heel eenvoudig zou kunnen mits er opschoonsoftware aanwezig is. 

    Volgens Karin Menses van het UWV is dat echter niet zo eenvoudig: 'Mensen die een uitkering hebben gehad, vragen regelmatig op een later moment weer een vorm van dienstverlening aan. Dus wij kunnen die mensen niet helemaal uit het systeem halen.'

    Als dat inderdaad niet kan, moeten deze gegevens volgens KPMG in ieder geval minder makkelijk toegankelijk worden gemaakt. Daarnaast is sprake van gegevens van mensen die langer van vijf jaar geleden klant waren bij het UWV: de bewaringstermijn van deze gegevens is verlopen, dus de noodzaak om deze data tóch te bewaren, is er niet. Het UWV laat weten dat ze dit ook gaan doen: eind maart moeten de gegevens van zeker een miljoen mensen zijn verwijderd, aldus Menses.

    Overigens werkt het UWV aan een nieuw IT-systeem, de verwachting is dat dat in 2025 af is. De huidige problemen zijn al langer bekend en zijn ook al door diverse instanties - waaronder de Autoriteit Persoonsgegevens - gemeld.

    Bron: Trouw

    Updates ontvangen over dit onderwerp?

    Wil je op de hoogte blijven van dit onderwerp? Download de gratis Opgelicht-app en volg het onderwerp.

  • Ook interessant