UWV krijgt voor slechte beveiliging groepsberichten boete van 450.000 euro
Het Uitvoeringsinstituut Werknemersverzekeringen (UWV) heeft wegens de slechte beveiliging bij het verzenden van groepsberichten een boete van 450.000 euro euro gekregen van de Autoriteit Persoonsgegevens. Volgens de privacytoezichthouder was tussen augustus 2016 en eind 2018 het proces voor het verzenden van groepsberichten via de Mijn Werkmap-omgeving van werkzoekenden niet goed beveiligd.
Bestanden met persoonsgegevens van werkzoekenden, zoals adresgegevens, gegevens over opleidingen, nationaliteit, BSN, maar ook informatie over fysieke beperkingen, psychisch en lichamelijk werkvermogen en of mensen te ziek zijn om te werken, kwamen zo terecht in de Werkmap-omgeving van andere werkzoekenden. In totaal deden zich negen datalekken voor waarbij de gegevens van ruim 15.000 mensen bij de verkeerde ontvangers terecht zijn gekomen.
Naar aanleiding van de datalekken startte de Autoriteit Persoonsgegevens een onderzoek. Daaruit bleek dat het UWV de risico's bij het verwerken van persoonsgegevens van werkzoekenden van te voren onvoldoende in kaart had gebracht. Daarnaast had het UWV eerder technische maatregelen moeten doorvoeren en had de instantie de eigen beveiligingsmaatregelen onvoldoende gecontroleerd en geëvalueerd.
"Dit zijn voor een deel bijzondere persoonsgegevens, waar extra zorgvuldig mee omgesprongen moet worden. Het is pijnlijk als dit soort gegevens over jezelf in verkeerde handen terechtkomen. Ook kan iemand ermee aan de haal gaan, waardoor je kwetsbaar bent voor bijvoorbeeld oplichting. Het is daarom zorgelijk dat het UWV na de eerste datalekken niet meteen met een passende actie kwam", zegt AP-bestuurslid Katja Mur. Pas eind 2018 voerde het UWV maatregelen door om de verzending te beveiligen.
"Het niet afwegen van risico’s voor burgers, het ontbreken van passende beveiligingsmaatregelen en het niet controleren en evalueren van deze maatregelen hebben immers geleid tot een onvoldoende op risico afgestemd beveiligingsniveau. De overtreding heeft daarnaast bijna drie jaar geduurd waarbij de privacy van 4,5 miljoen personen onvoldoende gewaarborgd was", aldus de privacytoezichthouder, die het boetebedrag op 450.000 euro vaststelde.
Het besluit van de Autoriteit Persoonsgegevens heeft betrekking op de periode van 2012 tot en met 2018. Daardoor waren zowel de Wet bescherming persoonsgegevens(Wbp) als de Algemene verordening gegevensbescherming (AVG) van toepassing. Het UWV kan nog tegen de boete van de AP bezwaar aantekenen.
Zo'n bedrag valt bij UWV weg achter de komma; zaken op orde maken kost meer. Dit wordt niet een driver om het nou eens echt op orde te maken.
Van de belastingbetalertttttt
Ten gevolge van dit soort berichten zie je hier altijd dezelfde testoreron uitspattingen. Boel gemep met geroffel op de borst in de rondte, zo herkenbaar voor primaten, maar nadenken? Ho maar. Een aap die kan tellen scoort hoger bij een IQ test.
Wat een hopeloos weinig doordacht - zeg maar ondoordacht - gekanker allemaal weer. Vooropgesteld: Met het UWV heb ik in het verleden problemen gehad, maar dat weerhoudt mij niet van de opmerking dat hier gewoon normale rechtsvervolging plaatsvindt binnen de kaders die de overheid aan zichzelf moet stellen.
Niemand is van rechtsvervolging verschoond in Nederland als er gevonnist wordt in een strafrechtelijk proces. Dat dit voor onnozelen zoals hierboven vreemd lijkt is begrijpelijk maar verdiep je eerst in hoe deze wijze van rechtsvervolging (overheid vs. overheid) tot stand komt alvorens hier te gaan blèren en roeptoeteren.
Wel eens met het eerste deel van de reactie. Het is lekker makkelijk om te roepen dat de boete te laag is de club opgedoekt moet worden etc etc.
De boete is enigszins aan de lage kant als je het vergelijkt met bijv de boete van 440000 die het OLVG begin dit jaar kreeg omdat patientendossiers onvoldoende beveiligd waren. Hierbij was echter alleen exposure aan interne medewerkers (waarvan het gros onder redelijk stevige geheimhoudingsclausules, eedafleggingen, big registraties etc vallen). Wat ik hier lees is dat hier ook externe exposure heeft plaatsgeevonden.
wat ze willen maar worden niet op hun verantwoordelijkheid gepakt, dus niet gevonnist. En voor de rest mag jij je
mening hebben alhoewel mensen met apen vergelijken ook veel zegt. Er zijn reacties waar een bedoeling achterzit
blijkbaar begrijpt niet iedereen dat.
Dat nu ook de automatisering, hoe houtje touwtje werkt dat? Met "copy and paste" methoden data invoeren. Allerlei systemen. Wonder dat er nog iets goed werkt daar.
En vooral van degenen, die nog geen QR code bezitten of niet wensen te krijgen?
Degenen, die zich daar sterk voor gaan maken, namelijk voor deze proliferatie, krijgen zeker een beloning?
Alles is tegenwoordig zo "dubbel als de pi*te".
Privacy is a dead animal in the water.
J.O.
Wel eens met het eerste deel van de reactie. Het is lekker makkelijk om te roepen dat de boete te laag is de club opgedoekt moet worden etc etc.
De boete is enigszins aan de lage kant als je het vergelijkt met bijv de boete van 440000 die het OLVG begin dit jaar kreeg omdat patientendossiers onvoldoende beveiligd waren. Hierbij was echter alleen exposure aan interne medewerkers (waarvan het gros onder redelijk stevige geheimhoudingsclausules, eedafleggingen, big registraties etc vallen). Wat ik hier lees is dat hier ook externe exposure heeft plaatsgeevonden.
@ Anoniem,
Je hebt gelijk. Ik vergiste mij. Zoals je aangeeft: overheid die in de fout gaat wordt bestuursrechtelijk behandeld.
Het is off-topic maar binnen dat kader valt op dat als het beroepsprocedures betreft van burgers, zij weinig baat hebben bij vaak langdurige procesgangen tegen de staat der Nederlanden.
Professor Twan Tak, ooit adviseur van de Raad van Beroep raakte hier zo verbolgen over dat hij deze functie om die reden neerlegde, mede omdat een rapportage die hij publiceerde onderschreef dat wat hij noemde: de overheid en de kansloze burger. [1]
Toenmalig min. president Balkenende en Min van Justitie Donner, deden dat rapport af als weinig inhoudelijk, terwijl de feiten daarin - zoals het wetenschap betaamd - notabene uitsluitend door empirisch onderzoek tot stand waren gekomen.
Dit speelde zich af al bijna 20 jaar geleden.
Of er ooit verbetering is gekomen in de verhouding burger/raad van beroep is mij onbekend, maar drama's zoals in de toeslagenaffaire, waaruit is gebleken dat bezwaren/beroep tegen besluitvorming van burgers die financieel werden gemangeld van tafel werden geveegd, geven het vermoeden van een volmondig NEEN.
[1] https://www.sdnl.nl/twan-tak.htm
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
