AP houdt toezicht op hersteloperatie UWV na illegale inzet algoritme
De Autoriteit Persoonsgegevens (AP) gaat toezicht houden op de herstelmaatregelen die het UWV richting een grote groep mensen moet nemen wegens de illegale inzet van een algoritme. Het UWV verzamelde door gebruik te maken van cookies en ip-adressen illegaal gegevens van mensen die recht op een uitkering hebben.
De overheidsinstantie wilde zo achterhalen of mensen ten onrechte een WW-uitkering ontvingen terwijl ze in het buitenland verbleven. Voor het monitoren werden bij het bezoek van de verschillende UWV-sites stiekem cookies geplaatst om gebruikers te volgen. Die konden zo worden geïdentificeerd en gekoppeld aan hun ip-adres. Ook werd bijgehouden hoe lang mensen ingelogd waren.
De verzamelde informatie werd vervolgens geanalyseerd via het fraude-algoritme "Risicoscan Verblijf Buitenland", waarmee het UWV fraude met WW-uitkeringen wil opsporen. Het algoritme geeft mensen op basis van een onbekend aantal kenmerken een risicoscore. Bij hoge scores voerde het UWV verder onderzoek uit. Alle bezoekers van de UWV-sites werden op deze manier door het UWV gevolgd. Voor het op deze manier volgen van mensen was echter geen enkele juridische basis. Het systeem werd begin dit jaar daarom stilletjes stopgezet.
De AP vroeg na deze onthulling om opheldering. Het UWV erkende tegenover de privacytoezichthouder dat het in overtreding was geweest. De organisatie heeft aangegeven verschillende herstelmaatregelen te zullen treffen. Zo wordt iedere uitkeringsgerechtigde waarvan illegaal persoonsgegevens zijn gebruikt voor de Risicoscan geïnformeerd. Tevens zullen mensen die hierdoor schade hebben geleden worden gecompenseerd en moet het UWV de AP over de voortgang informeren. Mocht het UWV de operatie niet naar behoren uitvoeren kan de toezichthouder handhavend optreden.
Ohnee, dit is open inrichting Nederland. Het gaat maar om burgers, dus dat is niet erg.
https://nos.nl/artikel/2499127-uwv-draait-beslissingen-op-basis-van-illegaal-verkregen-data-terug
https://www.uwv.nl/nl/nieuws/uwv-draait-beslissingen-uit-risicoscan-verblijf-buiten-nederland-terug
Het plaatsen van (functionele) cookies zal voor niet-inloggers toch wel door het UWV geregeld zijn?
Ik neem aan dat de meesten geen anti-cookie add-ons gebruiken.
En voor ingelogden zal hetzelfde gelden.
Waarbij ik aanneem dat de site niet goed werkt bij gebruik van anti-cookie add-ons.
Tenzij een VPN of VPN browesr-extension wordt gebruikt is het IP-adres natuurlijk gewoon bekend. En dus niet illegaal.
Vervolgens gewoon concluderen dat iemand vanuit het buitenland inlogt terwijl deze geacht wordt in Nederland te zijn komt voor mij niet overeen met 'op illegale wijze volgen van online gedrag'.
Het zou bovendien zelfs als een basis-systeembeveiligingsmaatregel kunnen worden gezien ter bescherming van de account van de uitkeringsgerechtigde.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
