UWV krijgt boete vanwege slechte beveiliging groepsberichten

De Autoriteit Persoonsgegevens (AP) heeft uitkeringsinstantie UWV een boete opgelegd van 450.000 euro vanwege het onvoldoende beveiligen van verzonden groepsberichten via de zogeheten 'Mijn Werkmap'-omgeving. Hierdoor kwam persoonlijke informatie bij de verkeerde ontvangers terecht. Via de omgeving hebben werkzoekenden contact met het UWV.

In totaal belandden gegevens van ruim 15.000 werkzoekenden bij andere werkzoekenden. Dit gebeurde tussen augustus 2016 en eind 2018, er waren in totaal negen datalekken.

Volgens de privacywaakhond gaat het om meerdere persoonsgegevens zoals adres, opleiding, nationaliteit en bsn. Er zat ook medische informatie bij, onder meer over fysieke beperkingen en psychisch werkvermogen.

'Raakt vertrouwen burger in overheid'

"Je moet van een organisatie zoals het UWV kunnen verwachten dat jouw gegevens veilig zijn", zegt AP-bestuurslid Katja Mur. "Als dat niet zo is, raakt dit het vertrouwen van de burger in de overheid." Ook noemt het bestuurslid het zorgelijk dat het UWV niet meteen na de eerste datalekken actie ondernam.

De toezichthouder constateert dat de risico's van tevoren onvoldoende in kaart zijn gebracht door de uitvoeringsinstantie. Die had "eerder technische maatregelen moeten doorvoeren" en heeft de "eigen beveiligingsmaatregelen onvoldoende gecontroleerd en geëvalueerd", schrijft de AP.

In een reactie op de boete zegt het UWV dat de instantie in 2018, nog voordat het onderzoek begon, een technische maatregel heeft genomen die deze situatie moet voorkomen. Verder onderschrijft het UWV het oordeel dat er anders gehandeld had moeten worden.