UWV meldt datalekken door Excel-bestand, open database en oude adresgegevens

In dit artikel:

Het UWV meldde tussen januari en oktober vorig jaar 757 datalekken bij de Autoriteit Persoonsgegevens (AP), waarvan drie als 'grote impact' werden aangemerkt. De overgrote meerderheid betrof eenvoudige incidenten, zoals brieven die per ongeluk naar het verkeerde adres gingen.

Het eerste ernstige voorval betrof een voor alle medewerkers toegankelijk gemaakte intranetdatabase met persoonsgegevens van circa 16.000 cliënten. In die dataset stonden onder meer BSN, adresgegevens en informatie over ziekte, herstel en WW-rechten. Het UWV weet niet zeker of onbevoegden toegang hebben gehad; na ontdekking is de toegang beperkt en het lek aan de AP gemeld.

Het tweede incident ontstond door verouderde adresbestanden in UWV-systemen. Enkele dagen in juli werden uitnodigingen voor fysieke afspraken naar verkeerde adressen gestuurd; het ging om 41 brieven met persoons- en mogelijk gezondheidsgegevens. UWV heeft de adresregistratie aangepast en het voorval bij de toezichthouder gemeld.

Het derde grote lek ontstond door een menselijke fout: een overzicht met indicaties voor de banenafspraak werd per ongeluk als doorblikbaar Excel-bestand verstuurd, waardoor onderliggende gegevens van 513 medewerkers (zoals naam, geboortedatum, adres, e-mail, personeels- en afdelingsnummers, functiegegevens en contractdata) zichtbaar waren. Ontvangers (directeuren en hun secretariaat) werden verzocht de mail te verwijderen; ook dit lek is aan de AP gerapporteerd.

Kortom: meerdere technische en mensgebonden fouten leidden tot blootstelling van gevoelige UWV-gegevens, waarop maatregelen en meldingen aan de AP volgden.