Vragen van het lid Gijs vanDijk (PvdA) aan de Minister van Sociale Zaken en Werkgelegenheid over het bericht «UWV schendt privacy cliënten» (ingezonden 5 januari 2021).

Antwoord van Minister Koolmees (Sociale Zaken en Werkgelegenheid) (ontvangen 21 januari 2021).

Vraag 1

Kent u het bericht «Miljoenen privégegevens van oud UWV-klanten makkelijk in te zien door ambtenaren»?1

Antwoord 1

Ja, dat bericht ken ik. Zoals ik in de Kamerbrief2 van 5 oktober 2020 heb gemeld, kent het systeem SONAR tekortkomingen op het gebied van informatiebeveiliging en privacy (IB&P). In deze brief – en in meer detail in de brief Stand van de Uitvoering van december 2020 – heb ik tevens uiteengezet welke maatregelen UWV op korte en langere termijn neemt om deze tekortkomingen op te lossen.

Vraag 2

Hoe kan het zo zijn dat het UWV al jarenlang zo slecht met de privacy van haar cliënten omgaat?

Antwoord 2

UWV vindt de privacy van zijn klanten zeer belangrijk. SONAR is een essentieel systeem voor de dienstverlening aan werkzoekenden. Het is daarbij van belang dat gegevens breed beschikbaar zijn, zodat de arbeidsbemiddeling niet beperkt blijft tot de eigen regio. Dit was destijds ook een belangrijk uitgangspunt voor het ontwerp van SONAR (2005). Waar de nadruk eerder juist lag op transparantie in het systeem, kwam er ook bij UWV steeds meer aandacht voor de risico’s voor privacy die hierbij kunnen ontstaan. UWV heeft daarom ook al eerder maatregelen genomen om de informatiebeveiliging en privacy van klanten beter te borgen. Denk aan de inperking van de autorisaties van gemeentelijke gebruikers van SONAR en de beperking van de mogelijkheden om gegevens uit het systeem te exporteren. Ook heeft UWV zelf het initiatief genomen voor een extern onderzoek om de IB&P-risico’s van SONAR volledig in kaart te brengen. UWV neemt de bevindingen uit dit onderzoek zeer serieus en pakt de aanbevelingen met prioriteit op.

Vraag 3

Vindt u het ook zorgwekkend dat gegevens van cliënten en zelfs voormalig cliënten van het UWV inzichtelijk zijn voor een grote groep mensen voor wie deze informatie niet relevant is?

Antwoord 3

Ik ben van mening dat gegevens van burgers uitsluitend ingezien mogen worden door medewerkers die daartoe bevoegd zijn voor het uitvoeren van hun wettelijke taken. Ik benadruk graag dat de gegevens in SONAR toegankelijk zijn voor geautoriseerde medewerkers en dat deze gegevens relevant zijn voor de belangrijke taak van UWV in de arbeidsbemiddeling. Er is geconstateerd dat de toegang tot gegevens te breed is ingericht, waardoor geautoriseerde gebruikers toegang hebben tot gegevens die mogelijk niet direct noodzakelijk zijn voor de uitvoering van hun specifieke taken. Dat moet worden opgelost. UWV heeft een aanpak ontwikkeld om de IB&P-risico’s stap voor stap te mitigeren. SONAR wordt zoveel mogelijk verbeterd en in fases volledig vervangen. Op korte termijn (eerste kwartaal 2021) worden de gegevens van voormalige klanten die al vijf jaar of langer «inactief» zijn door UWV verwijderd. Deze termijn hangt samen met de wettelijke bewaartermijn van vijf jaar en de Archiefwet waaraan UWV zich moet houden.

Vraag 4

Kunt u aangeven of er mogelijk ongeoorloofd gebruik is gemaakt van cliëntgegevens? Zo nee, bent u bereid hier onderzoek naar te doen?

Antwoord 4

Door de technisch beperkte logging en monitoring op het systeem SONAR, kan niet achterhaald worden welke medewerkers op welk moment welke gegevens hebben ingezien. Daardoor kan het niet worden uitgesloten dat er ongeoorloofd gebruik is gemaakt van klantgegevens. Dit betekent dat medewerkers die geautoriseerd zijn voor het gebruik van SONAR mogelijk meer persoonsgegevens hebben verwerkt of hebben ingezien dan strikt noodzakelijk is voor de uitvoering van hun taken. Er is binnen UWV veel aandacht voor veilige omgang met persoonsgegevens. De medewerkers van UWV volgen regelmatig integriteitstrainingen en hebben zich gecommitteerd aan een integriteitscode. UWV realiseert op korte termijn (eerste kwartaal 2021) verbeteringen in de systematiek van logging en monitoring, waarmee het wel mogelijk wordt om ongeoorloofd gebruik vast te stellen.

Vraag 5

Bent u ook verbaasd over het feit dat het UWV, vanwege het gebrek aan consequenties, «hooguit wat Kamervragen», hier al jaren niets aan wil doen?

Antwoord 5

Ik ben niet van mening dat UWV hier jarenlang niets aan heeft gedaan. UWV heeft in de jaren voorafgaand aan het externe onderzoek maatregelen genomen om de informatiebeveiliging en privacy van klanten beter te borgen. Ook heeft UWV zelf het initiatief genomen voor een extern onderzoek om de IB&P-risico’s volledig in kaart te brengen. Ik stel wel vast dat de maatregelen die UWV eerder al had genomen onvoldoende zijn gebleken. UWV neemt de bevindingen uit het onderzoek zeer serieus en pakt de aanbevelingen met prioriteit op.

Vraag 6

Gaat u het UWV aanspreken dat zij de privacy van cliënten niet goed beschermen, maar ook dat het UWV de privacy van cliënten niet interessant genoeg vindt?

Antwoord 6

Ik ben niet van mening dat UWV de privacy van klanten «niet interessant genoeg« vindt. Er is binnen UWV veel aandacht voor goede omgang met persoonsgegevens en medewerkers volgen regelmatig integriteitstrainingen. De (te) brede toegankelijkheid van gegevens in SONAR is niet het gevolg van desinteresse voor privacy, maar van eerdere ontwerpkeuzes gericht op effectieve dienstverlening aan klanten. De gedachte dat arbeidsbemiddeling niet beperkt zou moeten blijven tot de eigen regio was destijds een belangrijk uitgangspunt. SONAR is echter verouderd en voldoet niet meer aan de eisen van deze tijd. Dat geldt zowel voor functionele eisen ter ondersteuning van de arbeidsbemiddeling, als voor eisen die gesteld worden in het kader van informatiebeveiliging en privacy. Dat moet worden opgelost. Dat vind ik, en dat vindt UWV. Ik heb vertrouwen in de aanpak die UWV hiervoor heeft ontwikkeld.

Vraag 7

Kunt u aangeven op welke termijn Sonar wel voldoet aan de AVG? Gaat dit pas gebeuren als in 2025 het nieuwe IT-systeem af is? Zo ja, bent u ook van mening dat dit te laat is?

Antwoord 7

Niet alle IB&P-kwetsbaarheden en tekortkomingen in relatie tot de AVG kunnen worden verholpen door verbetering van SONAR. Daarom wordt SONAR zoveel mogelijk verbeterd en in fases volledig vervangen. Met deze gefaseerde aanpak worden de IB&P-risico’s stap voor stap verminderd, waardoor er in de aanloop naar de volledige vervanging van SONAR al in toenemende mate wordt voldaan aan de AVG. Uiteraard zou ik graag willen dat alle tekortkomingen eerder volledig opgelost worden. Tegelijkertijd vind ik het essentieel dat de UWV dienstverlening aan klanten te allen tijde doorgang heeft. Dat maakt deze operatie bijzonder complex. UWV kiest bewust voor een zorgvuldige, geleidelijke aanpak.

Vraag 8

Gaat het UWV serieus werk maken om inactieve klanten, waarvan gegevens dus op dat moment niet te hoeven worden ingezien, onzichtbaar maken?

Antwoord 8

De gegevens van klanten die vijf jaar of langer inactief zijn, worden door UWV in het eerste kwartaal van 2021 verwijderd. Voor klanten die minder dan vijf jaar inactief zijn, is het – nog los van verplichtingen die volgen uit de Archiefwet – ook onwenselijk om de gegevens te verwijderen, omdat een deel van deze klanten regelmatig in- en uitstroomt als gevolg van korte dienstverbanden of tijdelijk werk. Deze klanten zouden dan telkens opnieuw al hun gegevens moeten doorgeven. UWV onderzoekt of het technisch mogelijk is om de gegevens van inactieve klanten (tijdelijk) onzichtbaar te maken. Ik blijf met UWV in gesprek over de ontwikkelingen in dit dossier en zal uw Kamer hierover steeds in de Stand van de Uitvoering informeren.


X Noot
1

Trouw, 4 januari 2021, «Miljoenen privégegevens van oud UWV-klanten makkelijk in te zien door ambtenaren», https://www.trouw.nl/economie/miljoenen-privegegevens-van-oud-uwv-klanten-makkelijk-in-te-zien-door-ambtenaren~b1af9852/

X Noot
2

Kamerstuk 26 643, nr. 714

Naar boven