Ga naar website navigation Ga naar artikel navigatie Ga naar inhoud

Informatiebeveiliging en privacy

De pagina ververst bij het selecteren van een onderwerp.

Sla artikel navigatie over.

Deze paragraaf van de publieke bijlagen bevat aanvullende informatie bij hoofdstuk Toekomstbestendige organisatie, paragraaf Informatiebeveiliging en privacy in het achtmaandenverslag.

Inbreuken in verband met persoonsgegevens

Op grond van de Algemene verordening gegevensbescherming (AVG) moeten alle inbreuken in verband met persoonsgegevens (datalekken) binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens (AP), tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de persoon van wie persoonsgegevens zijn gelekt (de betrokkene). Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moet UWV ook de betrokkene inlichten. UWV heeft in de eerste acht maanden van 2021 in totaal 2.026 signalen over mogelijke inbreuken ontvangen. Daarvan hebben we er 694 als datalek gemeld bij de AP. Het ging hierbij in bijna 90% van de gevallen om poststukken die geopend werden door iemand anders dan de geadresseerde. Er hebben zich in de afgelopen periode meerdere incidenten met grotere impact voorgedaan:

  • Incident arbodienst. Een arbodienst heeft door een technische fout in het verzuimsysteem waarvan deze dienst gebruikmaakt, op de ziekteaangifte aan UWV per abuis een foutief loonheffingsnummer vermeld. Hierdoor hebben we, na de standaardcontrole van de ziekteaangifte, voor de ziekgemelde werknemers de brieven Verzoek om ontbrekende informatie Ziektewet‑uitkering en Verzoek om ontbrekende informatie Wazo‑uitkering verstuurd aan de organisatie met het op de ziekteaangifte vermelde loonheffingsnummer. In deze brieven worden de brongegevens van de personen voor wie de ziekteaangifte is gedaan, gebruikt als validiteitscheck voor de – mogelijk nieuwe – werkgever van deze personen. De eigenaar van deze organisatie heeft 13 brieven afkomstig van UWV geopend en geconstateerd dat de in de brieven genoemde medewerkers niet bij hem werken. De organisatie heeft ons vervolgens hiervan op de hoogte gesteld en de 13 geopende brieven aan ons geretourneerd.

  • Incident werkgeversportaal. Op 10 juni is nieuwe software geïnstalleerd op het werkgeversportaal. Na installatie van deze software waren er, wanneer er een zoekopdracht werd gedaan binnen een specifiek wetsdomein, voor werkgevers titels zichtbaar van documenten die betrekking hebben op werknemers van andere werkgevers. De bestanden konden niet worden geopend of gedownload. De risico’s voor de betrokkenen zijn beperkt gebleven, omdat het datalek optrad in een beveiligde omgeving en vanwege de relatief korte tijdsduur (circa 2,5 uur) van het incident. Het incident is door circa 30 werkgevers gemeld, waarna we de software‑installatie hebben teruggedraaid en de inbreuk was beëindigd. De werkgevers die een melding hebben gedaan, hebben een terugkoppeling ontvangen. We hebben maatregelen genomen om dit soort datalekken in de toekomst te voorkomen.

Ga direct naar

Bekijk ook

Toevoegen aan verslag