Datalekken UWV en SVB

Gepubliceerd op 20 mei 2021 om 07:00

Het Uitkeringsinstituut Werknemersverzekeringen (UWV) en de Sociale Verzekeringsbank (SVB) meldden ieder afgelopen jaar honderden datalekken bij de Autoriteit Persoonsgegevens. In de meeste gevallen ging het om post gerelateerde lekken. Beide instanties doen hun best om het aantal fouten terug te brengen.

Adressenproblematiek

Het UWV zegt dat ze in 2020 in totaal 3.033 signalen over ‘mogelijke inbreuken in verband met persoonsgegevens’ heeft ontvangen. Daarvan heeft de instantie er 1.066 gemeld bij de Autoriteit Persoonsgegevens. Meer dan 90 procent van de gemelde datalekken had betrekking op de door het UWV verzonden post. Dan is er bijvoorbeeld een verkeerd adres op de envelop terecht gekomen, of een verkeerde bijlage aan de brief toegevoegd. “De verschillende adressen die een klant kan aanhouden zijn een belangrijke bron van fouten”, schrijft het UWV in haar jaarverslag

De uitkeringsinstantie zegt werk te maken van deze adressenproblematiek. Het UWV heeft contact met andere zelfstandige bestuursorganen en de Autoriteit Persoonsgegevens om postgerelateerde datalekken eenvoudiger af te handelen. Er zijn echter nog geen concrete afspraken gemaakt. Dit komt omdat de verschillende instanties ieder op zijn eigen manier omgaat met dergelijke datalekken.

Genomen maatregelen

In het jaarverslag verwijst het UWV naar een groot datalek dat zich medio 2018 voordeed. Een medewerker van de uitkeringsinstantie wilde 97 werkzoekenden informatie versturen over het opzetten van een netwerkcafé. Bij 96 van hen stuurde de persoon in kwestie de verkeerde bijlage mee. In het document stonden de persoonsgegevens van 2.400 cliënten, waaronder NAW, geboortedatum, BSN en informatie over werkloosheidsuitkeringen. Sindsdien kunnen medewerkers niet langer bestanden in de Werkmap plaatsen.

“Om omvangrijke datalekken verder te voorkomen hebben we organisatorische beveiligingsmaatregelen genomen zoals toepassing van het vierogenprincipe, het opdelen van grote bestanden en dataminimalisatie”, zo eindigt het UWV haar jaarverslag over privacy rondom digitale communicatie.

Op de vingers getikt

In juni 2020 wist het UWV te ontkomen aan een torenhoge dwangsom. Uit onderzoek van de toezichthouder bleek dat ongeautoriseerde mensen toegang hadden tot de gezondheidsgegevens van mensen die in aanmerking kwamen voor een uitkering. Daarnaast was het online werkgeversportaal van de instantie onvoldoende beveiligd, onder meer omdat er geen tweestapsverificatie was geïmplementeerd.

Momenteel onderzoekt de Autoriteit Persoonsgegevens grootschalige privacyschendingen in het IT-systeem SONAR. KPMG had vastgesteld dat het systeem niet voldoet aan de beginselen van de AVG op het gebied van rechtmatigheid, minimale gegevensverwerking, doelbinding, opslagbeperking en het waarborgen van de integriteit en vertrouwelijkheid van gegevens. Zo’n 15.000 ambtenaren hadden onbeperkt toegang tot data in SONAR. Ook bleek dat het UWV de database nauwelijks opschoonde, ook net als de wettelijke bewaartermijn was verstreken.

SVB

De Sociale Verzekeringsbank (SVB) schrijft in haar jaarverslag dat ze jaarlijks miljoenen brieven met persoonlijke informatie van burgers verstuurt. Daarbij komt het voor dat brieven niet of bij de verkeerde persoon bezorgd worden. Het afgelopen jaar meldde de instantie 353 postgerelateerde datalekken bij de Autoriteit Persoonsgegevens. Daarnaast zijn er nog 93 datalekken met een andere oorzaak gemeld bij de toezichthouder. Naar aanleiding van één klacht daarvan is de toezichthouder bij de SVB op bezoek geweest om te kijken hoe de instantie omgaat met persoonsgegevens van burgers.

Om het aantal datalekken terug te dringen, zijn er diverse stappen in het postproces geautomatiseerd. Om privacy beter in processen, systemen en de cultuur te verankeren, is het Privacy Impact Assessment (PIA) doorgelicht door een externe partij. De aanbevelingen worden inmiddels toegepast. Verder is er een datalekregister ingericht. Het AVG-project is door de coronapandemie enigszins vertraagd, maar werd eind 2020 afgerond.

Stappen digitale weerbaarheid

Verder heeft de SVB de informatiebeveiliging en de digitale weerbaarheid van de instantie het afgelopen jaar verbeterd. Zo zijn oudere IT-systemen uitgefaseerd, de beheersprocessen verbeterd, verdere segmentatie van de IT-infrastructuur ingezet en wordt er meer gebruik gemaakt van moderne encryptie. “Dit heeft geleid tot een aanzienlijke reductie van het aantal IT-kwetsbaarheden en de kwetsbaarheid voor ransomware dreigingen”, zo schrijft de SVB.

Tevens voert de Sociale Verzekeringsbank continu een awareness programma voor medewerkers die thuiswerken. Met deze trainingen zijn ze in staat om phisingberichten en andere digitale gevaren te herkennen. Om de reactievaardigheden van medewerkers bij een mogelijke cyberaanval of andere verstoring te verbeteren, worden werknemers voortdurend getraind. Tot slot is het risicomanagementproces geïntensiveerd. Risicomanagement draait om het plannen, organiseren en controleren van alle activiteiten om beveiligingsrisico’s te minimaliseren en de organisatie te beschermen.

Jaarverslag SUWI 2020
PDF – 73,5 KB 364 downloads

Bron: tweedekamer.nl, vpngids.nl

Meer info over datalekken lees je hier

Tips of verdachte activiteiten gezien? Meld het hier.

Datalekken gerelateerde berichten