In het eerste kwartaal van 2019 gaat het UWV een technische maatregel invoeren die het verzenden van bepaalde bestanden, zoals Excel-bestanden, onmogelijk maakt. De aanleiding hiervoor was het datalek van 3 augustus, waarbij het verkeerde bestand was verzonden.

Minister Koolmees, van Sociale Zaken en Werkgelegenheid, noemt de maatregel in een van de antwoorden op vragen van SP-Kamerlid van Kent over het datalek. De maatregel moet menselijke fouten minimaliseren door het verzenden van bepaalde bestanden te blokkeren. De minister geeft Excel-bestanden als voorbeeld. Minister Koolmees gaat in overleg met het UWV welke maatregelen nog meer mogelijk zijn, zoals extra verificatiestappen, automatische waarschuwingen of technische blokkades.

Omdat de grote veranderingen in het systeem tijd kosten, richt het UWV zich nu voornamelijk op bewustwording onder werknemers en het beter naleven van het zogenoemde 'vier-ogenprincipe', volgens Koolmees. Dit betekent dat minimaal twee personen een taak moeten overzien voordat het wordt uitgevoerd, om fouten en misbruik van de situatie te voorkomen.

Begin augustus kwamen de privégegevens van 2400 UWV-cliënten bij de verkeerde personen terecht, doordat het verkeerde bestand was verzonden naar verschillende cliënten. Daarnaast werd de zender niet gecontroleerd, zoals het vier-ogenprincipe vereist. Het UWV maakt gebruik van bulkberichten als men hetzelfde bericht naar meerdere mensen moet verzenden. Bulkberichten mochten voorheen niet gebruikt worden, maar in 2016 werd het verbod binnen de organisatie opgeheven. De reden hierachter was toen dat het verzenden van individuele berichten te veel tijd kost en tot meer fouten kunnen leiden. "Bulkberichten zijn veilig, mits de procedures gevolgd worden.", aldus Koolmees.

De UWV-berichten komen in de werkmap van cliënten terecht. In deze map kan de cliënt zijn cv plaatsen, contact opnemen met het UWV en solliciteren op vacatures. Er had een uitnodiging voor een bijeenkomst in de werkmap van 97 cliënten moeten staan, maar in plaats daarvan kregen zij een bestand met de privégegevens van 2400 cliënten.

Hier stond onder andere het bsn-nummer van die cliënten in. Normaliter worden die nummers in ieder geval voor een deel onleesbaar gemaakt. In dit geval was dat niet gebeurd. Het datalek vond plaats op 3 augustus. Binnen 72 uur was het lek gemeld bij de Autoriteit Persoonsgegevens. De getroffen cliënten kregen thuis een brief  waarin het UWV zijn excuses aanbiedt en belooft dat dit in de toekomst niet nog een keer zal gebeuren.

In september 2016 was er een soortgelijk datalek bij het UWV. Daarbij werd tevens het verkeerde bestand naar diverse cliënten verzonden, waardoor elfduizend privégegevens op straat kwamen te liggen.

Reacties mogelijk gemaakt door CComment