Het Uitvoeringsinstituut Werknemersverzekeringen (UWV) krijgt opnieuw te maken met de Autoriteit Persoonsgegevens. De toezichthouder start een nieuw onderzoek naar de uitkeringsinstantie vanwege grootschalige privacyschending door het IT-systeem SONAR. Het UWV zegt het gesprek graag aan te gaan met de privacywaakhond. Dat schrijft Trouw, die woordvoerders van zowel de Autoriteit Persoonsgegevens als het UWV sprak.
Het draait allemaal om SONAR. SONAR is een IT-systeem dat volstaat met personalia en andere persoonsgegevens van werkzoekenden. Daarbij moet je denken aan voor- en achternaam, woonadressen, geboortedatum, nationaliteit, telefoonnummers, e-mailadressen, burgerservicenummers (BSN) en medische gegevens en verwante achtergrondgeschiedenis die vertellen waarom iemand een uitkering aanvraagt. Tevens is het systeem gekoppeld aan diverse decentrale systemen om werkzoekenden te helpen een nieuwe baan te vinden, zoals werk.nl en uiteenlopende ketenpartners.
KPMG voerde afgelopen jaar onderzoek uit om te kijken hoe SONAR omgaat met diverse privacyvraagstukken die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG). De belangrijkste conclusie is niet mals: volgens de onderzoekers voldoet het IT-systeem niet aan de beginselen van de AVG op het gebied van rechtmatigheid, minimale gegevensverwerking, doelbinding, opslagbeperking en het waarborgen van de integriteit en vertrouwelijkheid van gegevens.
Om te beginnen heeft een groep van zo’n 15.000 ambtenaren toegang heeft tot de data in het informatiesysteem SONAR, zowel voor actieve als inactieve profielen. Voor de uitoefening van hun werk is dat echter niet noodzakelijk, wat een indicatie is dat het autorisatiemodel niet deugt. Ook blijkt het UWV de database nauwelijks op te schonen, ook niet als de wettelijke bewaartermijn is verstreken. KPMG adviseerde om zo snel mogelijk maatregelen door te voeren om een einde te maken aan de privacyschendingen.
“Het UWV zou de beveiliging van persoonsgegevens beter op het netvlies moeten hebben”, vertelt een woordvoerder van de Autoriteit Persoonsgegevens tegenover Trouw. “Het gaat vaak ook nog om gezondheidsgegevens van veel mensen. Deze organisatie is wettelijk verplicht om dit goed te doen. Om die reden heeft het UWV een privacy-expert in dienst die hiervoor moet zorgen: de functionaris gegevensbescherming (FG).”
De FG heeft in het verleden meerdere malen intern aangegeven dat de gegevensopslag van burgers niet goed is geregeld. Het UWV gaf dan opdracht om een vervolgonderzoek in te stellen, of kleine aanpassingen door te voeren. Zelfden heeft het geleid tot grootschalige verbeteringen. Daarvoor moeten we tot 2025 wachten. Dat jaar verwacht minister Wouter Koolmees van Sociale Zaken SONAR te kunnen vervangen door een nieuw IT-systeem.
Naast de toezichthouder sprak Trouw ook een woordvoerder van het UWV. Hij vertelde dat de uitkeringsinstantie enkele maanden geleden is geïnformeerd over het onderzoek naar SONAR. “Wij vinden het belangrijk om transparant te zijn en delen daarom met de AP onze plannen voor de aanpassingen, net als de vervanging van het systeem op de langere termijn. Het UWV gaat dan ook graag met de AP verder in gesprek.”
De woordvoerder van de Autoriteit Persoonsgegevens laat weten dat het onderzoek naar SONAR niet het enige onderzoek is dat de toezichthouder momenteel uitvoert bij het UWV. “Wat de inhoud is van de onderzoeken die nu lopen, kan ik nu niet toelichten in het belang van deze onderzoeken”, aldus de woordvoerder tegenover Trouw.
Het is niet de eerste keer dat het UWV het aan de stok heeft met de Autoriteit Persoonsgegevens. Afgelopen jaar wist de uitkeringsinstantie een hoge boete te ontlopen door de beveiliging van het werkgeversportaal te verbeteren. In november 2017 constateerde de toezichthouder dat medewerkers van de afdeling verzuimbeheer de gezondheidsgegevens verwerkten van mensen die in aanmerking voor een uitkering terwijl ze daartoe niet bevoegd waren. Ook was de beveiliging van het online werkgeversportaal niet op orde, omdat er geen tweestapsverificatie werd toegepast.
Een jaar na de constatering legde de toezichthouder het UWV een dwangsom op om orde op zaken te stellen. Deze bedroeg 150.000 euro per maand, met een maximum van 900.000 euro. Beide partijen spraken af dat de problemen voor 1 maart 2020 opgelost moesten zijn. Door inloggen op het werkgeversportaal alleen nog mogelijk te maken met eHerkenning, werden de beveiligings- en autorisatieproblemen opgelost.
