Het Uitvoeringsinstituut Werknemersverzekeringen (UWV) heeft wegens de slechte beveiliging bij het verzenden van groepsberichten een boete van 450.000 euro euro gekregen van de Autoriteit Persoonsgegevens. Volgens de privacytoezichthouder was tussen augustus 2016 en eind 2018 het proces voor het verzenden van groepsberichten via de Mijn Werkmap-omgeving van werkzoekenden niet goed beveiligd.
Bestanden met persoonsgegevens van werkzoekenden, zoals adresgegevens, gegevens over opleidingen, nationaliteit, BSN, maar ook informatie over fysieke beperkingen, psychisch en lichamelijk werkvermogen en of mensen te ziek zijn om te werken, kwamen zo terecht in de Werkmap-omgeving van andere werkzoekenden. In totaal deden zich negen datalekken voor waarbij de gegevens van ruim 15.000 mensen bij de verkeerde ontvangers terecht zijn gekomen.
Naar aanleiding van de datalekken startte de Autoriteit Persoonsgegevens een onderzoek. Daaruit bleek dat het UWV de risico's bij het verwerken van persoonsgegevens van werkzoekenden van te voren onvoldoende in kaart had gebracht. Daarnaast had het UWV eerder technische maatregelen moeten doorvoeren en had de instantie de eigen beveiligingsmaatregelen onvoldoende gecontroleerd en geëvalueerd.
"Dit zijn voor een deel bijzondere persoonsgegevens, waar extra zorgvuldig mee omgesprongen moet worden. Het is pijnlijk als dit soort gegevens over jezelf in verkeerde handen terechtkomen. Ook kan iemand ermee aan de haal gaan, waardoor je kwetsbaar bent voor bijvoorbeeld oplichting. Het is daarom zorgelijk dat het UWV na de eerste datalekken niet meteen met een passende actie kwam", zegt AP-bestuurslid Katja Mur. Pas eind 2018 voerde het UWV maatregelen door om de verzending te beveiligen.
"Het niet afwegen van risico’s voor burgers, het ontbreken van passende beveiligingsmaatregelen en het niet controleren en evalueren van deze maatregelen hebben immers geleid tot een onvoldoende op risico afgestemd beveiligingsniveau. De overtreding heeft daarnaast bijna drie jaar geduurd waarbij de privacy van 4,5 miljoen personen onvoldoende gewaarborgd was", aldus de privacytoezichthouder, die het boetebedrag op 450.000 euro vaststelde.
Het besluit van de Autoriteit Persoonsgegevens heeft betrekking op de periode van 2012 tot en met 2018. Daardoor waren zowel de Wet bescherming persoonsgegevens(Wbp) als de Algemene verordening gegevensbescherming (AVG) van toepassing. Het UWV kan nog tegen de boete van de AP bezwaar aantekenen.
Deze posting is gelocked. Reageren is niet meer mogelijk.