Met de toenemende digitalisering wordt het bewaken van de privacy van burgers steeds belangrijker. We beperken privacyrisico’s in overeenstemming met de voorschriften van de Algemene verordening gegevensbescherming (AVG). Ook incidenten zoals datalekken handelen we af volgens de richtlijnen van de AVG.

Algemene verordening gegevensbescherming

Op grond van de AVG heeft UWV per 25 mei 2018 maatregelen ter bescherming van persoonsgegevens aantoonbaar ingericht; ook informeren we onze klanten actief over het gebruik van persoonsgegevens. Dit betekent onder andere dat we een functionaris gegevensbescherming (FG) hebben aangesteld, gegevensbeschermingseffectbeoordelingen (GEB’s) uitvoeren, de actieve informatieplicht hebben ingericht, evenals een register gegevensverwerking en het inzage- en correctierecht. In december 2018 is het UWV Beleidskader privacy vastgesteld, waarin is vertaald wat de AVG voor UWV betekent en hoe UWV beter kan voldoen aan de vereisten van de AVG en de bescherming van persoonsgegevens. Hiermee is een ambitieuze horizon in beeld gebracht. In 2019 is gestart met het uitvoeren van een organisatiebrede gapanalyse om in beeld te krijgen waar UWV nu staat en welke verbeteringen nog nodig zijn. Het streven is om deze analyse eind 2019 af te ronden.

Gegevensbeschermingseffectbeoordeling

De AVG vereist dat voor iedere voorgenomen verwerking van persoonsgegevens die een hoog risico voor de privacy van betrokkene met zich meebrengt, een Gegevensbeschermingseffectbeoordeling (GEB) wordt uitgevoerd. UWV heeft hiervoor een proces ingericht. Met een GEB‑check kan worden bepaald of het uitvoeren van een volledige GEB voor de desbetreffende verwerking noodzakelijk is. De criteria die daarbij worden gebruikt, zijn gebaseerd op richtlijnen van de Autoriteit Persoonsgegevens (AP). Een GEB‑board, die bestaat uit de functionaris gegevensbescherming en 2 adviseurs, beoordeelt wekelijks de kwaliteit van de uitgevoerde GEB’s en GEB‑checks.

In de eerste 8 maanden van 2019 ontving de GEB‑board 137 GEB‑checks en -rapporten en werden er 108 afgerond. Om een nauwkeuriger beeld te geven van het totaalaantal GEB’s dat wordt uitgevoerd, rapporteren we niet meer over de checks en rapporten die na een aanpassing opnieuw zijn ingediend en behandeld in het GEB‑proces.

Datalekken

Op grond van de AVG moeten alle beveiligingsincidenten met persoonsgegevens (datalekken) binnen 72 uur na constatering worden gemeld aan de AP, tenzij het onwaarschijnlijk is dat het incident een risico oplevert voor de rechten en vrijheden van de betrokken persoon. Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt, moet UWV ook de betrokken personen inlichten. In de eerste 8 maanden van 2019 zijn er 330 datalekken aan de AP gemeld (peildatum 3 september 2019). Veel datalekken hebben te maken met geopende retourpost. Dit zijn incidenten die qua omvang meestal maar op 1 persoon betrekking hebben, maar waarvan de ernst wisselend kan zijn (variërend van een neutrale uitnodiging tot een medisch dossier). Bij meldingen ondernemen we direct actie om de schade voor betrokkenen te beperken. We analyseren regelmatig de meldingen om ontwikkelingen daarin te onderkennen en maatregelen te kunnen treffen om het risico op herhaling te verkleinen. Bij grote incidenten is het cruciaal dat snel en gecoördineerd de juiste stappen worden gezet. Om dit te faciliteren, werken we aan een calamiteitenplan voor grote datalekken. Het plan is vrijwel gereed en wordt dit najaar ter vaststelling aangeboden.

De afgelopen periode heeft UWV een aantal datalekken gehad met grote impact:

• Op 30 april 2019 is geconstateerd dat met een account van 1 werkgever vanuit werk.nl circa 117.000 unieke cv’s zijn gedownload in de periode van 16 tot 30 april 2019. Dit account is meteen geblokkeerd. Ook zijn alle wachtwoorden van werkgevers gereset en controles zijn aangescherpt. De betrokkenen en de AP zijn over het incident geïnformeerd. Bij wijze van structurele oplossing bouwen we, om verdacht gedrag eerder te kunnen identificeren, automatische waarschuwingssignalen in. Ook wordt onderzocht of het mogelijk is om het aantal downloads te maximeren.

• Een UWV‑medewerker heeft een harde schijf met (versleutelde) persoonsgegevens verloren. Deze medewerker heeft niet conform het beleid met betrekking tot mobiele gegevensdragers gehandeld. We nemen maatregelen om medewerkers extra bewust te maken van het risico van het gebruik van gegevensdragers. Daarnaast wordt extra gecontroleerd op beveiliging en versleuteling. Ook wordt het gebruik van gegevensdragers teruggedrongen. Verder beperken we continu waar mogelijk de aanwezigheid van persoonsgegevens in bestanden en datasets.

• Een UWV‑medewerker heeft bij een uitnodiging via e‑mail een bestand met persoonsgegevens van 586 klanten aan 99 klanten meegestuurd. De medewerker heeft hiermee de geldende richtlijnen niet gevolgd. Het is niet toegestaan om direct via e‑mail met cliënten te communiceren, dat moet altijd via een systeem. Daarnaast is het zogenaamde vierogenprincipe niet toegepast. De klanten die het selectiebestand ontvangen hebben, is gevraagd het bestand en eventuele lokale kopieën te verwijderen.

Inzage en correctie

Op grond van signalen die de functionaris gegevensbescherming heeft ontvangen uit de organisatie, is geconcludeerd dat de afhandeling van verzoeken in verband met het inzage- en correctierecht voor verbetering vatbaar is. Een werkgroep heeft een aantal verbeteringen uitgewerkt voor het inzage- en correctieproces en de communicatie daarover binnen de organisatie. Deze verbeteringen worden naar verwachting het derde tertaal geïmplementeerd.

Autoriteit Persoonsgegevens

Momenteel lopen er bij UWV 2 onderzoeken van de AP. Het eerste betreft een onderzoek naar de datalekken van onze divisie Werkbedrijf. Dit onderzoek is gestart in december 2018. De AP heeft in augustus 2019 een tweede informatieverzoek hierover ingediend. Het tweede onderzoek, dat gestart is in juni 2019, gaat over de wijze van registratie en het melden van datalekken. Ook in dit geval heeft de AP inhoudelijke vragen gesteld en heeft UWV deze beantwoord.