UWV weer beboet door AP: € 450.000

Nadat de Autoriteit Persoonsgegevens (“AP”) het UWV al eerder op de vingers had getikt vanwege het beveiligingsniveau van het werkgeversportaal en het verzuimbeheer, krijgt de uitvoeringsinstantie nu ook een boete opgelegd. Dit keer ging het mis bij de ‘Mijn Werkmap’-omgeving; een persoonlijke omgeving op de website van het UWV waar werkzoekenden contact hebben met het UWV. Het UWV krijgt een boete van EUR 450.000.

 

Negen keer een datalek

Via Mijn Werkmap kan het UWV groepsberichten versturen aan werkzoekenden. Deze berichten komen dan in de individuele omgevingen van de betreffende personen terecht. Bij die groepsberichten ging het tussen augustus 2016 en eind 2018 negen keer mis. In plaats van het te verzenden bericht, werd negen keer een Excel-bestand met persoonsgegevens van alle geadresseerden, meegestuurd. Alle geadresseerden kregen daarmee toegang tot alle persoonsgegevens van de andere personen die datzelfde bericht ontvingen. Het gaat daarbij zowel om NAW-gegevens als om meer gevoelige informatie zoals BSN en medische gegevens. Pas na het achtste datalek (in september 2018) besloot het UWV om een technische maatregel in te voeren die het meesturen van onder andere Excel-bestanden onmogelijk maakt. Dit besluit is vervolgens in december 2018 uitgevoerd.

Pas na het achtste datalek (in september 2018) besloot het UWV om een technische maatregel in te voeren die het meesturen van onder andere Excel-bestanden onmogelijk maakt.

De AP concludeert dan ook dat het UWV een onvoldoende op het risico afgestemd beveiligingsniveau heeft gegarandeerd en gewaarborgd waar het gaat om het verzenden van groepsberichten via Mijn-Werkmap. De AP verwijt het UWV onder meer dat zij (i) de risico’s onvoldoende in kaart heeft gebracht; (ii) technische maatregelen niet of te laat heeft doorgevoerd; en (iii) de maatregelen die er waren, onvoldoende heeft gecontroleerd en geëvalueerd door de jaren heen.

 

Boete

De overtreding van het UWV vond plaats vanaf augustus 2016, toen de Wet bescherming persoonsgegevens nog van kracht was, en liep door tot eind 2018. De AP gaat daarom niet uit van de Boetebeleidsregels 2019, maar bij de vorige versie uit 2016. Als gevolg daarvan, rekent de AP onder meer met een lagere ‘basisboete’ voor een Categorie II-overtreding dan zou gelden op basis van de huidige Boetebeleidsregels 2019: EUR 245.400 in plaats van de huidige EUR 310.000. Wel verhoogt de AP de basisboete naar EUR 450.000 wegens de ernst van de overtreding. De boete is daarmee vergelijkbaar met de boetes die respectievelijk het HagaZiekenhuis en het OLVG kregen voor het treffen van onvoldoende beveiligingsmaatregelen.

De AP gaat daarom niet uit van de Boetebeleidsregels 2019, maar bij de vorige versie uit 2016.

Lees het boetebesluit hier.