De Autoriteit Persoonsgegevens (AP) heeft uitvoeringsinstantie UWV een boete van 450.000 euro opgelegd. Dat meldt de privacywaakhond woensdag. De instantie had het versturen van groepsberichten via de Mijn Werkmap-omgeving niet goed beveiligd. Hierdoor lekten persoonlijke gegevens, waaronder gezondheidsdata, van vijftienduizend mensen uit.

Mijn Werkmap is een persoonlijke digitale omgeving waarin werkzoekenden contact hebben met het UWV. De in totaal negen lekken vonden plaats tussen 2016 en 2018. In die periode kwamen de persoonsgegevens van de werkzoekenden terecht bij de verkeerde ontvangers, namelijk in de Mijn Werkmap-omgeving van andere werkzoekenden.

Het ging hierbij om verschillende persoonsgegevens, zoals adresgegevens en het BSN. Ook lekte gevoelige medische informatie uit, bijvoorbeeld over lichamelijke en mentale beperkingen.

"Het is pijnlijk als dit soort gegevens over jezelf in verkeerde handen terechtkomen. Ook kan iemand ermee aan de haal gaan, waardoor je kwetsbaar bent voor bijvoorbeeld oplichting. Het is daarom zorgelijk dat het UWV na de eerste datalekken niet meteen met een passende actie kwam", zegt Katja Mur, bestuurslid van de AP.

UWV had risico's gegevensverwerking onvoldoende in kaart gebracht

Na de melding van de negen lekken zette de AP een onderzoek op. Daaruit bleek onder meer dat het UWV de risico's bij de gegevensverwerking van tevoren onvoldoende in kaart had gebracht.

Eind 2018 nam het UWV technische maatregelen om soortgelijke nieuwe datalekken te voorkomen. Dat is volgens volgens de AP te laat, omdat het UWV die maatregelen eerder had kunnen doorvoeren. Het UWV geeft het AP daar gelijk in.

"Wij onderschrijven het oordeel van de Autoriteit Persoonsgegevens dat UWV anders had moeten handelen. Na de eerste datalekken zijn er wel degelijk maatregelen genomen. Dit waren echter vooral organisatorische maatregelen, zoals aangescherpte werkinstructies, bewustwording bij medewerkers en een collega vragen mee te laten kijken. Ondanks deze maatregelen deden zich in 2017 en 2018 nog datalekken voor. Dit trekken wij ons zeer aan", zegt Janet Helder, lid van de raad van bestuur, in een persverklaring.

UWV kreeg al eerder een dwangsom opgelegd

Het UWV is al eerder op de vingers getikt door de privacywaakhond. In 2018 legde de AP de overheidsinstelling een dwangsom op van 150.000 euro per maand, met een maximum van 900.000 euro.

De waakhond concludeerde in 2017 dat de beveiliging van het werkgeversportaal van het UWV onvoldoende was. Dit portaal wordt gebruikt door werkgevers en arbodiensten om ziekteverzuim van werknemers in te voeren en te bekijken.

Uit onderzoek van de AP bleek dat gezondheidsdata bij de afdeling verzuimbeheersing kon worden verwerkt door medewerkers die daar niet toe bevoegd waren.