UWV maakte in 2019 606 keer melding van datalek
by Tijs HofmansUitkeringsinstantie UWV heeft vorig jaar 606 keer melding gedaan van een datalek. Volgens het UWV komt dat vooral doordat er meer bewustzijn is onder werknemers, waardoor zij incidenten sneller ontdekken. De Autoriteit Persoonsgegevens doet onderzoek naar de instantie.
Het Uitvoeringsinstituut Werknemersverzekeringen kreeg in 2019 1657 signalen over mogelijke datalekken, schrijft de instantie in zijn jaarverslag. Van die signalen waren er volgens de instantie 606 'meldenswaardig'. Dat betekent dat het UWV onder de AVG verplicht is om ze als zodanig aan te melden bij de Autoriteit Persoonsgegevens.
In de meeste gevallen hadden de datalekken betrekking op een individueel persoon. Het ging bijvoorbeeld om post die aan de verkeerde persoon is gestuurd. Dat gebeurde in de helft van de gevallen. Volgens het UWV kan de ernst daarvan wisselen. Soms gaat het om bijvoorbeeld een uitnodiging voor een gesprek, maar in andere gevallen om bijvoorbeeld een medisch rapport. In het jaarverslag wordt dat onderscheid niet gespecificeerd.
Het aantal meldingen van datalekken is gestegen ten opzichte van het jaar ervoor. In 2018 meldde de instantie nog 342 lekken. Volgens het UWV komt die stijging niet zozeer omdat er meer datalekken zijn, maar vooral omdat ze meer opvallen. Zo wordt 'geopende retourpost' vaker onderschept, waardoor brieven minder snel bij de verkeerde ontvanger terechtkomen. Ook zijn medewerkers beter op de hoogte van wanneer een incident potentieel een datalek is. Daarom melden ze die vaker.
Het UWV kreeg vorig jaar te maken met twee grote incidenten. Bij een daarvan werden gegevens van veel klanten via e-mail naar andere klanten gestuurd. Bij het andere geval werden 117.000 cv's gestolen door een inbraak op het netwerk van het UWV. Later bleek dat het UWV geen tweestapsverificatie op die accounts had staan. Het UWV schrijft in het jaarverslag dat de Autoriteit Persoonsgegevens momenteel twee onderzoeken heeft lopen naar de werkwijze van het instituut. Bij een onderzoek gaat het om 'een onderzoek naar datalekken van de divisie WERKbedrijf'; bij het andere onderzoek om de manier waarop het UWV datalekken meldt en registreert.