Ongeveer vijftienduizend medewerkers van het UWV kunnen bij de gegevens van miljoenen (oud-)klanten, ook als zij die toegang niet nodig hebben, blijkt uit een rapport (pdf) van adviesbureau KPMG. Ten tijde van het onderzoek stonden in het systeem Sonar gevoelige gegevens van 3,1 miljoen mensen die niet langer door het UWV worden begeleid.

In Sonar staan onder meer namen, adressen, woonplaatsen en burgerservicenummers van mensen die bij het UWV hebben aangeklopt. In het systeem worden gegevens van werkzoekenden opgeslagen, zodat zij met potentiële werkgevers in contact gebracht kunnen worden.

De software wordt gebruikt door vijftienduizend medewerkers "die nagenoeg allemaal inzage hebben in alle persoonsgegevens van alle klanten die in SONAR zijn opgenomen", schrijft KPMG. Ook kunnen zij de gegevens downloaden.

Daarnaast hebben ongeveer tweeduizend gemeenteambtenaren op dezelfde manier toegang tot Sonar, aldus de UWV-woordvoerder. Dat betekent dat in totaal ongeveer zeventienduizend mensen in het systeem kunnen.

In theorie is het daardoor mogelijk dat een nieuwsgierige UWV-medewerker of ambtenaar om wat voor reden dan ook grasduint in persoonlijke gegevens van UWV-klanten.

Sonar voldoet aan 'geen van de beginselen' van de AVG

De gegevens worden bovendien niet goed verwijderd, concludeert KPMG. Persoonlijke gegevens worden daardoor langer bewaard dan wettelijk is toegestaan. Over het algemeen stelt het adviesbureau dat Sonar aan "geen van de beginselen" van de privacyregels van de Algemene Verordening Gegevensbescherming (AVG) voldoet.

Het UWV gaat de gegevens van inactieve klanten waarvan de bewaartermijn van vijf jaar is verstreken verwijderen. Dat proces moet eind maart afgerond zijn en het gaat daarbij om gegevens van ruim een miljoen mensen, zegt een woordvoerder maandag tegen NU.nl. Ook krijgt Sonar een logboek waarin terug te vinden is of een medewerker onrechtmatig gegevens heeft ingezien.

Gegevens van inactieve UWV-klanten blijven zichtbaar

De persoonlijke gegevens van de twee miljoen voormalige UWV-klanten die minder dan vijf jaar geleden met de dienst in aanraking kwamen, kunnen niet worden afgeschermd. Dit betekent dat de gegevens zichtbaar blijven voor UWV-medewerkers, ook als zij geen bevoegdheid daartoe hebben.

Er zijn wel plannen om de rechten van UWV-medewerkers in te perken, zodat zij alleen toegang hebben tot gegevens die ze nodig hebben voor hun functie. Dit moet eind 2022 afgerond zijn, maar lost het probleem niet helemaal op, schreef minister Wouter Koolmees (Sociale Zaken en Werkgelegenheid) in oktober in een brief. De UWV-woordvoerder kon niet precies vertellen bij welke aspecten van Sonar dan nog steeds problemen voorkomen.

Omdat de problemen in het verouderde systeem niet allemaal verholpen kunnen worden, moet het systeem op termijn helemaal vervangen worden.

De Autoriteit Persoonsgegevens laat maandag weten in gesprek te gaan met het UWV. Een woordvoerder benadrukt dat er op het moment meerdere onderzoeken naar het UWV lopen. Meer details wilde de woordvoerder niet kwijt. "Maar het maakt duidelijk dat de cultuur bij UWV wat ons betreft nog te wensen over laat."