Duizenden ambtenaren kunnen eenvoudig bij privégegevens van zo’n 4,1 miljoen mensen die cliënt zijn of zijn geweest van uitkeringsinstantie UWV. Dat concluderen specialisten van KPMG, die hiernaar op verzoek van het UWV zelf onderzoek hebben verricht, zo meldt dagblad Trouw.
Het gaat om gevoelige gegevens van 1 miljoen uitkeringsgerechtigden en nog zo’n 3,1 miljoen mensen die in het verleden cliënt van het UWV zijn geweest. Deze gegevens zijn vrij opvraagbaar door duizenden ambtenaren, die toegang hebben tot het door het UWV gebruikte Sonar-systeem, dat de uitkeringsinstantie sinds 2005 in gebruik heeft. Dit systeem voldoet volgens KPMG aan geen van de beginselen uit de AVG (Algemene verordening gegevensbescherming).
Nieuwsgierige ambtenaren kunnen informatie opvragen over uitkeringen die mensen ontvangen en de begeleiding die uitkeringsgerechtigden van het UWV krijgen. Ook persoonlijke gegevens als naam, adres, burgerservicenummer, nationaliteit en geboortedatum zijn zonder probleem via Sonar op te vragen. Dat moet volgens de onderzoekers van KPMG direct stoppen.
IT-specialist René Jan Veldwijk zegt tegen Trouw dat binnen het UWV al jaren bekend is dat het Sonar-systeem niet deugt, maar dat niemand zich daar druk over maakt. Er zou bij de instantie nog nooit iemand zijn ontslagen omdat de privacy van cliënten niet wordt beschermd. Men laat het liever zo, omdat anders duizenden mensen hun werk niet meer zouden kunnen doen.
Directeur Informatievoorziening Karin Menses van het UWV zegt dat Sonar in 2005 is gebouwd en dat het toen juist de bedoeling was dat gegevens makkelijk uitgewisseld konden worden. Het is ook niet eenvoudig aan te passen, zodat alleen bevoegde personen toegang krijgen. Wel belooft de instantie dat gegevens van voor 2015 verwijderd zullen worden.
