Het UWV heeft vorig jaar meer dan duizend datalekken aan de Autoriteit Persoonsgegevens gemeld, een bijna zelfde aantal als in 2020. Dat blijkt uit het UWV-jaarverslag over 2021. In de meeste gevallen ging het om poststukken die geopend werden door iemand anders dan de geadresseerde.

Vorig jaar ontving het UWV meer dan drieduizend signalen over mogelijke datalekken. Daarvan zijn er 1039 als datalek gemeld bij de Autoriteit Persoonsgegevens. Het ging hierbij in bijna negentig procent van de gevallen om poststukken die geopend werden door iemand anders dan de geadresseerde.

"Dankzij adequaat handelen door onze medewerkers konden risico’s voor de rechten en vrijheden van betrokkenen daarbij snel worden gemitigeerd. Naar aanleiding van deze incidenten hebben we nader onderzoek ingesteld. Hiermee zijn de risico’s helder in kaart, zodat we maatregelen konden treffen om soortgelijke incidenten in de toekomst te voorkomen", zo stelt het UWV (pdf).

Grote incidenten

Volgens de instantie deden zich vorig jaar verschillende grote incidenten voor. Zo werden dossiers van ruim 15.500 mensen met een lopende Wajong-uitkering en bijna 128.000 mensen van wie de uitkering inmiddels is beëindigd, bijvoorbeeld als gevolg van het bereiken van de AOW-leeftijd, overlijden of herstel, ten onrechte vernietigd.

Installatie van nieuwe software op het werkgeversportaal zorgde ervoor dat, wanneer er een zoekopdracht werd gedaan binnen een specifiek wetsdomein, voor werkgevers titels zichtbaar waren van documenten die betrekking hebben op werknemers van andere werkgevers. De bestanden konden niet worden geopend of gedownload. Zo'n dertig werkgevers maakten melding van het datalek, waarna het UWV de software-installatie terugdraaide.

Verder bleek dat door een fout in de aanlevering vanuit de Belastingdienst sinds januari 2021 ongeveer 1700 loonaangiftes niet volledig konden worden verwerkt in de polisadministratie. Hierdoor zijn deze loonaangiftes ook onvolledig doorgeleverd aan afnemende organisaties: gegevens over de inkomstenperiode ontbraken. Volgens het UWV heeft deze fout geen (financiële) gevolgen voor cliënten.

Boete

De Autoriteit Persoonsgegevens besloot het UWV vorig jaar een boete van 450.000 euro op te leggen voor het niet goed beveiligen van het verzendproces van groepsberichten via de Werkmap. In de periode van 2016 tot 2018 is negen keer een Excel-bestand met veel persoonsgegevens van werkzoekenden als bijlage aan een Werkmapbericht toegevoegd en zo terechtgekomen bij andere werkzoekenden.

"UWV verwerkt veel persoonsgegevens die ook digitaal toegankelijk zijn. Het op orde brengen en houden van de informatiebeveiliging en de gegevensbescherming is een permanent proces. Het is essentieel dat medewerkers zich bewust zijn van het belang om veilig en zorgvuldig om te gaan met gegevens van burgers en bedrijven", aldus de instantie in het jaarverslag.