Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking getreden en kwam de Wet bescherming persoonsgegevens (Wbp) te vervallen. Met het project Implementatie AVG hebben we ervoor gezorgd dat we aan de nieuwe verplichtingen van de AVG kunnen voldoen. Daarbij gaat het om het opstellen van een register van verwerkingen, het publiceren van een privacyverklaring voor klanten, het actualiseren van de procedures rond inzage- en correctierecht en de meldplicht datalekken, en het aanpassen van overeenkomsten met gegevensverwerkers. Ook hebben we een functionaris voor de gegevensbescherming aangesteld.
Volgens de voorschriften van de AVG voeren we, voorafgaand aan de invoering van nieuwe verwerkingen van persoonsgegevens of wijzigingen van bestaande verwerkingen, een gegevensbeschermingseffectbeoordeling (GEB) uit. Daarmee brengt het verantwoordelijke bedrijfsonderdeel de privacyrisico’s in kaart die met die wijzigingen gepaard gaan, zodat we tijdig maatregelen kunnen treffen. Om in een vroegtijdig stadium vast te stellen of een GEB nodig is, voert het bedrijfsonderdeel in de meeste gevallen eerst een GEB‑check uit. Er zijn in 2018 20 kennissessies georganiseerd om de bedrijfsonderdelen te informeren over de bedoeling van de GEB en de erover gemaakte afspraken. De GEB‑board, waarin naast de functionaris voor de gegevensbescherming altijd ten minste 2 adviseurs informatiebeveiliging en privacy vertegenwoordigd zijn, heeft in 2018 ongeveer 70 GEB‑checks en 20 GEB‑rapporten beoordeeld.
Om over de volle breedte in kaart te brengen wat de AVG voor UWV betekent, is een UWV‑beleidskader privacy opgesteld. Hierbij zijn de voor UWV relevante bepalingen uit de AVG vertaald naar onze praktijk. Op bepaalde thema’s, zoals het delen van gezondheidsgegevens, hebben de betrokken organisatieonderdelen verder ingezoomd.
Meldplicht datalekken
UWV heeft een procedure ingericht voor het intern melden van beveiligingsincidenten en datalekken. Hierbij wordt onder meer beoordeeld of het incident een datalek is dat aan de Autoriteit Persoonsgegevens moet worden gemeld. UWV heeft in 2018 in 342 situaties melding van een datalek gedaan aan de Autoriteit Persoonsgegevens en waar mogelijk aan betrokkenen (klanten, medewerkers). Het aantal gemelde datalekken stijgt nog steeds. De invoering van de AVG heeft geleid tot meer publiciteit en een grotere bewustwording rond datalekken. De meldingen gaan vooral over foutief geadresseerde brieven en het bijvoegen van een verkeerde bijlage bij een brief aan een klant.
Bij meldingen ondernemen we direct actie om de schade als gevolg van de incidenten en de risico’s voor betrokkenen te beperken. We analyseren regelmatig de meldingen om ontwikkelingen daarin te onderkennen en maatregelen te kunnen treffen om het risico op herhaling te verkleinen. Om foutieve adressering en het bijvoegen van verkeerde bijlagen zo veel mogelijk te voorkomen, stappen we steeds meer over van handmatige werkprocessen naar centrale, digitale aanmaak en verzending van poststukken. Bij het opstellen van brieven wordt het invoerveld van het burgerservicenummer automatisch geleegd, zodat een menselijke fout er niet meer toe kan leiden dat een brief naar de verkeerde persoon wordt gestuurd. Om het risico op datalekken met exportbestanden te minimaliseren, nemen we waar mogelijk ook technische maatregelen. Sinds half december 2018 is het niet meer mogelijk om bijvoorbeeld Excelbestanden met uit systemen geëxporteerde gegevensbestanden bij Werkmapberichten te voegen. Verder maken we het onmogelijk om bepaalde gedigitaliseerde stukken nog te printen.