Antwoord schriftelijke vragen : Antwoord op vragen van het lid Gijs van Dijk over het bericht ‘UWV schendt privacy cliënten‘

Antwoord van Minister Koolmees (Sociale Zaken en Werkgelegenheid) (ontvangen 21 januari
2021).

Vraag 1

Kent u het bericht «Miljoenen privégegevens van oud UWV-klanten makkelijk in te zien
door ambtenaren»?1

Antwoord 1

Ja, dat bericht ken ik. Zoals ik in de Kamerbrief2 van 5 oktober 2020 heb gemeld, kent het systeem SONAR tekortkomingen op het gebied
van informatiebeveiliging en privacy (IB&P). In deze brief – en in meer detail in
de brief Stand van de Uitvoering van december 2020 – heb ik tevens uiteengezet welke
maatregelen UWV op korte en langere termijn neemt om deze tekortkomingen op te lossen.

Vraag 2

Hoe kan het zo zijn dat het UWV al jarenlang zo slecht met de privacy van haar cliënten
omgaat?

Antwoord 2

UWV vindt de privacy van zijn klanten zeer belangrijk. SONAR is een essentieel systeem
voor de dienstverlening aan werkzoekenden. Het is daarbij van belang dat gegevens
breed beschikbaar zijn, zodat de arbeidsbemiddeling niet beperkt blijft tot de eigen
regio. Dit was destijds ook een belangrijk uitgangspunt voor het ontwerp van SONAR
(2005). Waar de nadruk eerder juist lag op transparantie in het systeem, kwam er ook
bij UWV steeds meer aandacht voor de risico’s voor privacy die hierbij kunnen ontstaan.
UWV heeft daarom ook al eerder maatregelen genomen om de informatiebeveiliging en
privacy van klanten beter te borgen. Denk aan de inperking van de autorisaties van
gemeentelijke gebruikers van SONAR en de beperking van de mogelijkheden om gegevens
uit het systeem te exporteren. Ook heeft UWV zelf het initiatief genomen voor een
extern onderzoek om de IB&P-risico’s van SONAR volledig in kaart te brengen. UWV neemt
de bevindingen uit dit onderzoek zeer serieus en pakt de aanbevelingen met prioriteit
op.

Vraag 3

Vindt u het ook zorgwekkend dat gegevens van cliënten en zelfs voormalig cliënten
van het UWV inzichtelijk zijn voor een grote groep mensen voor wie deze informatie
niet relevant is?

Antwoord 3

Ik ben van mening dat gegevens van burgers uitsluitend ingezien mogen worden door
medewerkers die daartoe bevoegd zijn voor het uitvoeren van hun wettelijke taken.
Ik benadruk graag dat de gegevens in SONAR toegankelijk zijn voor geautoriseerde medewerkers
en dat deze gegevens relevant zijn voor de belangrijke taak van UWV in de arbeidsbemiddeling.
Er is geconstateerd dat de toegang tot gegevens te breed is ingericht, waardoor geautoriseerde
gebruikers toegang hebben tot gegevens die mogelijk niet direct noodzakelijk zijn
voor de uitvoering van hun specifieke taken. Dat moet worden opgelost. UWV heeft een
aanpak ontwikkeld om de IB&P-risico’s stap voor stap te mitigeren. SONAR wordt zoveel
mogelijk verbeterd en in fases volledig vervangen. Op korte termijn (eerste kwartaal
2021) worden de gegevens van voormalige klanten die al vijf jaar of langer «inactief»
zijn door UWV verwijderd. Deze termijn hangt samen met de wettelijke bewaartermijn
van vijf jaar en de Archiefwet waaraan UWV zich moet houden.

Vraag 4

Kunt u aangeven of er mogelijk ongeoorloofd gebruik is gemaakt van cliëntgegevens?
Zo nee, bent u bereid hier onderzoek naar te doen?

Antwoord 4

Door de technisch beperkte logging en monitoring op het systeem SONAR, kan niet achterhaald
worden welke medewerkers op welk moment welke gegevens hebben ingezien. Daardoor kan
het niet worden uitgesloten dat er ongeoorloofd gebruik is gemaakt van klantgegevens.
Dit betekent dat medewerkers die geautoriseerd zijn voor het gebruik van SONAR mogelijk
meer persoonsgegevens hebben verwerkt of hebben ingezien dan strikt noodzakelijk is
voor de uitvoering van hun taken. Er is binnen UWV veel aandacht voor veilige omgang
met persoonsgegevens. De medewerkers van UWV volgen regelmatig integriteitstrainingen
en hebben zich gecommitteerd aan een integriteitscode. UWV realiseert op korte termijn
(eerste kwartaal 2021) verbeteringen in de systematiek van logging en monitoring,
waarmee het wel mogelijk wordt om ongeoorloofd gebruik vast te stellen.

Vraag 5

Bent u ook verbaasd over het feit dat het UWV, vanwege het gebrek aan consequenties,
«hooguit wat Kamervragen», hier al jaren niets aan wil doen?

Antwoord 5

Ik ben niet van mening dat UWV hier jarenlang niets aan heeft gedaan. UWV heeft in
de jaren voorafgaand aan het externe onderzoek maatregelen genomen om de informatiebeveiliging
en privacy van klanten beter te borgen. Ook heeft UWV zelf het initiatief genomen
voor een extern onderzoek om de IB&P-risico’s volledig in kaart te brengen. Ik stel
wel vast dat de maatregelen die UWV eerder al had genomen onvoldoende zijn gebleken.
UWV neemt de bevindingen uit het onderzoek zeer serieus en pakt de aanbevelingen met
prioriteit op.

Vraag 6

Gaat u het UWV aanspreken dat zij de privacy van cliënten niet goed beschermen, maar
ook dat het UWV de privacy van cliënten niet interessant genoeg vindt?

Antwoord 6

Ik ben niet van mening dat UWV de privacy van klanten «niet interessant genoeg« vindt.
Er is binnen UWV veel aandacht voor goede omgang met persoonsgegevens en medewerkers
volgen regelmatig integriteitstrainingen. De (te) brede toegankelijkheid van gegevens
in SONAR is niet het gevolg van desinteresse voor privacy, maar van eerdere ontwerpkeuzes
gericht op effectieve dienstverlening aan klanten. De gedachte dat arbeidsbemiddeling
niet beperkt zou moeten blijven tot de eigen regio was destijds een belangrijk uitgangspunt.
SONAR is echter verouderd en voldoet niet meer aan de eisen van deze tijd. Dat geldt
zowel voor functionele eisen ter ondersteuning van de arbeidsbemiddeling, als voor
eisen die gesteld worden in het kader van informatiebeveiliging en privacy. Dat moet
worden opgelost. Dat vind ik, en dat vindt UWV. Ik heb vertrouwen in de aanpak die
UWV hiervoor heeft ontwikkeld.

Vraag 7

Kunt u aangeven op welke termijn Sonar wel voldoet aan de AVG? Gaat dit pas gebeuren
als in 2025 het nieuwe IT-systeem af is? Zo ja, bent u ook van mening dat dit te laat
is?

Antwoord 7

Niet alle IB&P-kwetsbaarheden en tekortkomingen in relatie tot de AVG kunnen worden
verholpen door verbetering van SONAR. Daarom wordt SONAR zoveel mogelijk verbeterd
en in fases volledig vervangen. Met deze gefaseerde aanpak worden de IB&P-risico’s
stap voor stap verminderd, waardoor er in de aanloop naar de volledige vervanging
van SONAR al in toenemende mate wordt voldaan aan de AVG. Uiteraard zou ik graag willen
dat alle tekortkomingen eerder volledig opgelost worden. Tegelijkertijd vind ik het
essentieel dat de UWV dienstverlening aan klanten te allen tijde doorgang heeft. Dat
maakt deze operatie bijzonder complex. UWV kiest bewust voor een zorgvuldige, geleidelijke
aanpak.

Vraag 8

Gaat het UWV serieus werk maken om inactieve klanten, waarvan gegevens dus op dat
moment niet te hoeven worden ingezien, onzichtbaar maken?

Antwoord 8

De gegevens van klanten die vijf jaar of langer inactief zijn, worden door UWV in
het eerste kwartaal van 2021 verwijderd. Voor klanten die minder dan vijf jaar inactief
zijn, is het – nog los van verplichtingen die volgen uit de Archiefwet – ook onwenselijk
om de gegevens te verwijderen, omdat een deel van deze klanten regelmatig in- en uitstroomt
als gevolg van korte dienstverbanden of tijdelijk werk. Deze klanten zouden dan telkens
opnieuw al hun gegevens moeten doorgeven. UWV onderzoekt of het technisch mogelijk
is om de gegevens van inactieve klanten (tijdelijk) onzichtbaar te maken. Ik blijf
met UWV in gesprek over de ontwikkelingen in dit dossier en zal uw Kamer hierover
steeds in de Stand van de Uitvoering informeren.