Deze paragraaf van de publieke bijlagen bevat aanvullende informatie bij hoofdstuk Toekomstgerichte organisatie, paragraaf Informatiebeveiliging en privacy in het viermaandenverslag.
Inbreuken in verband met persoonsgegevens
Op grond van de Algemene verordening gegevensbescherming (AVG) moeten in principe alle inbreuken in verband met persoonsgegevens (datalekken) binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens (AP), tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de persoon van wie persoonsgegevens zijn gelekt (de betrokkene). Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moet UWV ook de betrokkene inlichten. UWV heeft in de eerste vier maanden van 2021 in totaal 1.066 signalen over mogelijke inbreuken ontvangen. Daarvan hebben we er 340 als datalek gemeld bij de AP. Het ging hierbij in 90% van de gevallen om poststukken die geopend werden door iemand anders dan de geadresseerde. Er hebben zich in deze periode meerdere incidenten met grotere impact voorgedaan:
-
Ten onrechte vernietigde dossiers: De afgelopen drie jaar heeft UWV fysieke archiefbescheiden geschoond. Daarbij zijn ook fysieke documenten over sociaal‑medische beoordelingen vernietigd waarvan de wettelijke bewaartermijn nog niet was verstreken. Het gaat om documenten van ruim 15.500 mensen met een lopende Wajong‑uitkering en bijna 128.000 mensen van wie de uitkering inmiddels is beëindigd, bijvoorbeeld als gevolg van het bereiken van de AOW‑leeftijd, overlijden of herstel. Het vernietigen van dossiers is na de constatering onmiddellijk stopgezet en er is een onderzoek gestart naar de oorzaak van de fout om herhaling te voorkomen. De vroegtijdige vernietiging heeft geen nadelige gevolgen voor de reeds beëindigde uitkeringen; dit is vastgelegd in de werkinstructies. Voor de lopende Wajong‑uitkeringen is vastgesteld dat alle voor de betaling van de uitkering benodigde informatie, zoals de mate van arbeidsongeschiktheid, nog aanwezig is.
-
Onterecht tonen Wazo-gegevens op werkgeversportaal: Op 10 februari 2021 ontving UWV de melding dat een werkgever op het werkgeversportaal kon zien dat een ex‑werknemer, die eerder ziek uit dienst was gemeld, een Wazo‑uitkering had aangevraagd. Op 10 maart hebben we een wijziging in de selecties doorgevoerd die ervoor zorgt dat de Wazo‑melding niet meer op het portaal van de ex‑werkgever wordt getoond. Doordat er op 2 november 2020 een wijziging in het meldproces was doorgevoerd, kunnen we vanaf die datum achterhalen bij welke klanten onterecht de Wazo‑melding bij de ex‑werkgever is getoond. Vóór die datum valt dit niet te achterhalen. Ongeveer 800 klanten zijn geraakt door dit datalek, we hebben hen hierover eind april via een brief geïnformeerd. Naar aanleiding van dit incident zullen we een onderzoek starten naar het delen van klantinformatie met werkgevers.
-
Incident ethical hackers op website online trainingen: Na een melding van twee ethical hackers werd duidelijk dat er sprake was van zwakke beveiliging van het UWV‑portaal voor online trainingen. Ter illustratie hebben de ethical hackers uit profielen op het portaal acht cv’s, een diploma en een certificaat gedownload. Na onderzoek is gebleken dat de ethical hackers zich hebben gehouden aan de Coordinated Vulnerability Disclosure (CVD)‑richtlijnen van UWV. Dit betekent dat er geen sprake is geweest van een hoog risico voor de gebruikers van het portaal wiens gegevens zijn ingezien. Na de melding is de site offline gehaald, de zwakheden zijn verholpen en de site is inmiddels weer online.
-
Incident loonaangifteketen: In februari trok een gegevensafnemer aan de bel omdat een deel van de aangeleverde inkomstenopgaven niet voldeed aan de vereiste specificaties. De gegevens in de loonaangifteketen van twee uitzendbureaus bleken niet correct verwerkt te zijn. Hoewel het in eerste instantie om een groot aantal gedupeerden leek te gaan, werd na onderzoek duidelijk dat het ging om 14 uitzendkrachten. De risico’s voor hen bleken nihil te zijn. De AP heeft over dit incident twee keer contact met UWV opgenomen. De reden hiervoor was het in eerste instantie grote aantal betrokkenen en de angst voor incomplete gegevens in een keten van systemen.
-
Incident verkeerde loonspecificaties: Als gevolg van een software‑update zijn op 4 januari 2021 betaalspecificaties met daarop een foutieve (verhaspelde) naam op mijnuwv.nl gezet. Alle betaalspecificaties van deze datum zijn verwijderd en de volgende dag zijn er geen betaalspecificaties verzonden via het online portaal. Er zijn 186 meldingen van klanten binnengekomen over een foutieve naam op een betaalspecificatie, maar de schatting is dat het om maximaal 14.000 foutieve betaalspecificaties ging. De correcte betaalspecificaties zijn in de loop van de tweede week van januari online gezet. We hebben klanten via een bericht op uwv.nl over dit incident geïnformeerd.