image

UWV krijgt voor slechte beveiliging groepsberichten boete van 450.000 euro

woensdag 7 juli 2021, 15:22 door Redactie, 16 reacties

Het Uitvoeringsinstituut Werknemersverzekeringen (UWV) heeft wegens de slechte beveiliging bij het verzenden van groepsberichten een boete van 450.000 euro euro gekregen van de Autoriteit Persoonsgegevens. Volgens de privacytoezichthouder was tussen augustus 2016 en eind 2018 het proces voor het verzenden van groepsberichten via de Mijn Werkmap-omgeving van werkzoekenden niet goed beveiligd.

Bestanden met persoonsgegevens van werkzoekenden, zoals adresgegevens, gegevens over opleidingen, nationaliteit, BSN, maar ook informatie over fysieke beperkingen, psychisch en lichamelijk werkvermogen en of mensen te ziek zijn om te werken, kwamen zo terecht in de Werkmap-omgeving van andere werkzoekenden. In totaal deden zich negen datalekken voor waarbij de gegevens van ruim 15.000 mensen bij de verkeerde ontvangers terecht zijn gekomen.

Naar aanleiding van de datalekken startte de Autoriteit Persoonsgegevens een onderzoek. Daaruit bleek dat het UWV de risico's bij het verwerken van persoonsgegevens van werkzoekenden van te voren onvoldoende in kaart had gebracht. Daarnaast had het UWV eerder technische maatregelen moeten doorvoeren en had de instantie de eigen beveiligingsmaatregelen onvoldoende gecontroleerd en geëvalueerd.

"Dit zijn voor een deel bijzondere persoonsgegevens, waar extra zorgvuldig mee omgesprongen moet worden. Het is pijnlijk als dit soort gegevens over jezelf in verkeerde handen terechtkomen. Ook kan iemand ermee aan de haal gaan, waardoor je kwetsbaar bent voor bijvoorbeeld oplichting. Het is daarom zorgelijk dat het UWV na de eerste datalekken niet meteen met een passende actie kwam", zegt AP-bestuurslid Katja Mur. Pas eind 2018 voerde het UWV maatregelen door om de verzending te beveiligen.

"Het niet afwegen van risico’s voor burgers, het ontbreken van passende beveiligingsmaatregelen en het niet controleren en evalueren van deze maatregelen hebben immers geleid tot een onvoldoende op risico afgestemd beveiligingsniveau. De overtreding heeft daarnaast bijna drie jaar geduurd waarbij de privacy van 4,5 miljoen personen onvoldoende gewaarborgd was", aldus de privacytoezichthouder, die het boetebedrag op 450.000 euro vaststelde.

Het besluit van de Autoriteit Persoonsgegevens heeft betrekking op de periode van 2012 tot en met 2018. Daardoor waren zowel de Wet bescherming persoonsgegevens(Wbp) als de Algemene verordening gegevensbescherming (AVG) van toepassing. Het UWV kan nog tegen de boete van de AP bezwaar aantekenen.

Reacties (16)
07-07-2021, 15:43 door Anoniem
Lachertje....€450k voor bijzondere persoonsgegevens als BSN, fysieke beperkingen, psychisch en lichamelijk werkvermogen en of mensen te ziek zijn om te werken.

Zo'n bedrag valt bij UWV weg achter de komma; zaken op orde maken kost meer. Dit wordt niet een driver om het nou eens echt op orde te maken.
07-07-2021, 15:45 door Anoniem
De overheid betaalt een boete aan de overheid. Wie betaalt vervolgens de ''schade'' van het UWV ?
07-07-2021, 15:53 door Anoniem
Wie krijgt die boeten het UWV of de belasting betaler.
07-07-2021, 16:06 door Anoniem
Waarom zijn dit soort boetes nou altijd een factor 10 tot 100 te laag?
07-07-2021, 17:57 door Anoniem
Door Anoniem: Wie krijgt die boeten het UWV of de belasting betaler.
Het UWV, want het bedrag verschuift alleen binnen de rijksbegroting.
07-07-2021, 18:17 door karma4
dat er foute verwerkingen door het UWV plaatsvinden waarbij mensen ernstig in hun privacy beschadig worden is geen probleem maar dat wat algemene gegevens technisch gedeeld worden is rampzlig? Vreemde privacy prioriteiten daar.
07-07-2021, 20:37 door Anoniem
Onbegrijpelijk dat zo'n amateuristische hobbyclub als het UWV nog bestaansrecht heeft. Opdoeken dat zinloze clubje.
07-07-2021, 21:23 door Anoniem
Het UWV, want het bedrag verschuift alleen binnen de rijksbegroting.
En waar komt dit geld dan van?
08-07-2021, 02:52 door Anoniem
Door Anoniem:
Het UWV, want het bedrag verschuift alleen binnen de rijksbegroting.
En waar komt dit geld dan van?

Van de belastingbetalertttttt
08-07-2021, 09:06 door [Account Verwijderd]
Nog een banaan jongens?

Ten gevolge van dit soort berichten zie je hier altijd dezelfde testoreron uitspattingen. Boel gemep met geroffel op de borst in de rondte, zo herkenbaar voor primaten, maar nadenken? Ho maar. Een aap die kan tellen scoort hoger bij een IQ test.

Wat een hopeloos weinig doordacht - zeg maar ondoordacht - gekanker allemaal weer. Vooropgesteld: Met het UWV heb ik in het verleden problemen gehad, maar dat weerhoudt mij niet van de opmerking dat hier gewoon normale rechtsvervolging plaatsvindt binnen de kaders die de overheid aan zichzelf moet stellen.
Niemand is van rechtsvervolging verschoond in Nederland als er gevonnist wordt in een strafrechtelijk proces. Dat dit voor onnozelen zoals hierboven vreemd lijkt is begrijpelijk maar verdiep je eerst in hoe deze wijze van rechtsvervolging (overheid vs. overheid) tot stand komt alvorens hier te gaan blèren en roeptoeteren.
08-07-2021, 09:18 door Anoniem
@Olaf Winterkamp: Ik snap niet zo goed waarom je het strafrechterlijk proces erbij haalt? AVG valt namelijk onder het bestuursrecht en niet onder het strafrecht. Evt aanvechten van een AVG boete gebeurt bij de bestuursrechter en niet bij een strafrechter.

Wel eens met het eerste deel van de reactie. Het is lekker makkelijk om te roepen dat de boete te laag is de club opgedoekt moet worden etc etc.

De boete is enigszins aan de lage kant als je het vergelijkt met bijv de boete van 440000 die het OLVG begin dit jaar kreeg omdat patientendossiers onvoldoende beveiligd waren. Hierbij was echter alleen exposure aan interne medewerkers (waarvan het gros onder redelijk stevige geheimhoudingsclausules, eedafleggingen, big registraties etc vallen). Wat ik hier lees is dat hier ook externe exposure heeft plaatsgeevonden.
08-07-2021, 09:52 door Anoniem
Niemand is van rechtsvervolging verschoond in Nederland als er gevonnist wordt in een strafrechtelijk proces.
Ja en daarom moeten de verantwoordelijke hier voor gestraft worden en niet de belasting betaler, zij kunnen doen
wat ze willen maar worden niet op hun verantwoordelijkheid gepakt, dus niet gevonnist. En voor de rest mag jij je
mening hebben alhoewel mensen met apen vergelijken ook veel zegt. Er zijn reacties waar een bedoeling achterzit
blijkbaar begrijpt niet iedereen dat.
08-07-2021, 10:12 door Anoniem
Verbaasd bij niet. Na mijn ervaring met UWV viel mij al meteen op dat er een bepaalde vorm dan desinteresse heerst onder de werknemers aldaar. Nadat ik vroeg aan de behandelend persoon, hoe zij aan haar baan bij het UWV kwam, bleek ze freelance daar te werken, 0,6 FTE. Lekker relaxed ook.

Dat nu ook de automatisering, hoe houtje touwtje werkt dat? Met "copy and paste" methoden data invoeren. Allerlei systemen. Wonder dat er nog iets goed werkt daar.
08-07-2021, 13:20 door Anoniem
Wie zorgt er straks voor dat onze corona-QR-code niet overal kan worden gelekt?
En vooral van degenen, die nog geen QR code bezitten of niet wensen te krijgen?

Degenen, die zich daar sterk voor gaan maken, namelijk voor deze proliferatie, krijgen zeker een beloning?
Alles is tegenwoordig zo "dubbel als de pi*te".

Privacy is a dead animal in the water.

J.O.
09-07-2021, 07:51 door [Account Verwijderd]
Door Anoniem: @Olaf Winterkamp: Ik snap niet zo goed waarom je het strafrechterlijk proces erbij haalt? AVG valt namelijk onder het bestuursrecht en niet onder het strafrecht. Evt aanvechten van een AVG boete gebeurt bij de bestuursrechter en niet bij een strafrechter.

Wel eens met het eerste deel van de reactie. Het is lekker makkelijk om te roepen dat de boete te laag is de club opgedoekt moet worden etc etc.

De boete is enigszins aan de lage kant als je het vergelijkt met bijv de boete van 440000 die het OLVG begin dit jaar kreeg omdat patientendossiers onvoldoende beveiligd waren. Hierbij was echter alleen exposure aan interne medewerkers (waarvan het gros onder redelijk stevige geheimhoudingsclausules, eedafleggingen, big registraties etc vallen). Wat ik hier lees is dat hier ook externe exposure heeft plaatsgeevonden.

@ Anoniem,

Je hebt gelijk. Ik vergiste mij. Zoals je aangeeft: overheid die in de fout gaat wordt bestuursrechtelijk behandeld.


Het is off-topic maar binnen dat kader valt op dat als het beroepsprocedures betreft van burgers, zij weinig baat hebben bij vaak langdurige procesgangen tegen de staat der Nederlanden.
Professor Twan Tak, ooit adviseur van de Raad van Beroep raakte hier zo verbolgen over dat hij deze functie om die reden neerlegde, mede omdat een rapportage die hij publiceerde onderschreef dat wat hij noemde: de overheid en de kansloze burger. [1]
Toenmalig min. president Balkenende en Min van Justitie Donner, deden dat rapport af als weinig inhoudelijk, terwijl de feiten daarin - zoals het wetenschap betaamd - notabene uitsluitend door empirisch onderzoek tot stand waren gekomen.
Dit speelde zich af al bijna 20 jaar geleden.

Of er ooit verbetering is gekomen in de verhouding burger/raad van beroep is mij onbekend, maar drama's zoals in de toeslagenaffaire, waaruit is gebleken dat bezwaren/beroep tegen besluitvorming van burgers die financieel werden gemangeld van tafel werden geveegd, geven het vermoeden van een volmondig NEEN.

[1] https://www.sdnl.nl/twan-tak.htm
11-07-2021, 17:22 door Anoniem
Basis-inkomen voor iedereen.

The Matrix
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.