KPMG: Bescherming privacy (oud-)klanten UWV schiet ernstig tekort

12 januari 2021 Consultancy.nl
Profiel
Meer nieuws over

Het UWV schiet ernstig tekort in de bescherming van de privacy van cliënten en voormalige cliënten, zo concludeert KPMG op basis van onderzoek. De gegevens van meer dan 4 miljoen mensen zijn eenvoudig in te zien en te downloaden – niet alleen door vele UWV-medewerkers, maar ook door duizenden gemeentelijke ambtenaren. KPMG adviseert de uitkeringsinstantie om de toegang tot de vaak gevoelige gegevens per direct flink in te perken.

Sonar, het IT-systeem waar het UWV zijn klantgegevens opslaat, voldoet aan “geen van de beginselen uit de AVG”, zo citeert Trouw uit het rapport dat KPMG schreef in opdracht van het UWV zelf. “De privacy van betrokkenen wordt momenteel buitensporig geschaad.”

De gegevens in Sonar worden door het zogeheten Werkbedrijf van UWV gebruikt om uitkeringsgerechtigden te helpen met re-integreren. Het systeem bevat naast de gegevens van de huidige 1 miljoen UWV-cliënten echter ook de gegevens van 3,1 miljoen voormalig cliënten. Bovendien zijn hun gegevens niet alleen toegankelijk voor medewerkers van het Werkbedrijf, maar ook voor andere afdelingen. “Dat hebben zij niet nodig voor de uitoefening van hun functie”, stelt KPMG.

Bescherming privacy (oud-)klanten UWV schiet ernstig tekort

Ook buiten de muren van het UWV zijn de gegevens breed toegankelijk: gemeentelijke ambtenaren van de sociale dienst kunnen de persoonsgegevens van iedereen die ze willen bekijken, zelfs van iemand die aan de andere kant van het land woont.

Wat de situatie volgens KPMG des te ernstiger maakt, is dat het veelal om gevoelige informatie gaat – naast basisgegevens als naam, adres en geboortedatum betreft het bijvoorbeeld ook bsn, nationaliteit en zelfs ziektegeschiedenis. Daarbij gaat het vaak ook nog eens om kwetsbare bevolkingsgroepen zoals arbeidsongeschikten, jonggehandicapten en bijstandsgerechtigden.

KPMG adviseert het UWV dan ook met klem om de toegang tot Sonar drastisch in te perken: gemeenteambtenaren moeten alleen toegang krijgen tot de gegevens van cliënten binnen hun gemeente, minder afdelingen binnen het UWV zelf moeten bij de gegevens kunnen en de persoonsgegevens van inactieve klanten moet onzichtbaar worden gemaakt.

Karin Menses, directeur Informatievoorziening bij het Werkbedrijf, gaat deels mee in de aanbevelingen van KPMG. Zo is ze er het ermee eens dat gemeenteambtenaren niet langer toegang moeten hebben tot de gegevens van mensen buiten hun gemeenten. “Maar voor de mensen bij UWV is dat wel belangrijk, want wij werken landelijk”, geeft ze aan in Trouw. “Als we bijvoorbeeld een inwoner van Zeist helpen, willen we ook weten welke banen er in Amsterdam voor hem of haar zijn. Onze dienstverlening houdt niet op bij een gemeentegrens.”

De conclusies van KPMG komen voor insiders niet als een verrassing. Onder meer de Autoriteit Persoonsgegevens trok jaren geleden al aan de bel. “Sonar is in 2005 gebouwd toen gegevensuitwisseling juist gewenst was”, zegt Menses. “Dat staat nu op gespannen voet met de privacy-eisen. We hebben wel al veel aangepast maar dat is inderdaad nog niet voldoende. Sonar is ook een heel uitgebreid systeem, dat kan je niet in één keer veranderen.”