Het Uitvoeringsinstituut Werknemersverzekeringen (UWV) heeft in de eerste tien maanden van 2024 maar liefst 769 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Hoewel het merendeel van deze incidenten betrekking had op de persoonsgegevens van één individu en de risico’s beperkt waren, werden vier datalekken als bijzonder impactvol gekwalificeerd. Deze gegevens zijn gepubliceerd in de ‘Stand van uitvoering sociale zekerheid december 2024’.
Grote impact
1. Inbraak op Videoplatform
Een van de grootste incidenten betrof een beveiligingsinbreuk op een commercieel videoplatform dat het UWV gebruikt voor videogesprekken met cliënten in het buitenland. Bij deze inbraak zijn mogelijk tijdelijk opgeslagen logbestanden in handen van aanvallers gevallen. Deze bestanden bevatten niet-bijzondere persoonsgegevens zoals namen en e-mailadressen van 378 cliënten, ingehuurde tolken en UWV-medewerkers.
2. Onbevoegde toegang tot CV’s
Op 4 mei werden via een account op werk.nl 150.000 cv’s van werkzoekenden bekeken en mogelijk gedownload. Dit betrof zowel personen met als zonder uitkering die werk.nl gebruiken voor hun zoektocht naar werk. Veel van deze cv’s bevatten contactgegevens, wat de impact aanzienlijk maakte.
3. Verlies van post door brand
Bij een brand in een bestelbus die post vervoerde tussen UWV-kantoren, ging inkomende post verloren. Dit betrof stukken die gedigitaliseerd moesten worden en twee fysieke dossiers die gearchiveerd moesten worden. Gelukkig zijn deze dossiers nog digitaal beschikbaar.
4. Fouten in loonaangifteketen
Het laatste incident had betrekking op dubbele aangiftes in de Loonaangifteketen door een verouderde applicatie bij de Belastingdienst. Dit leidde mogelijk tot een fictief hoger inkomen in de Polisadministratie, wat invloed kon hebben op toeslagen en uitkeringen. Volgens het UWV waren de gevolgen voor uitkeringsgerechtigden beperkt en zijn betrokkenen persoonlijk geïnformeerd.
Datalekken
Het UWV benadrukt dat het beveiligingsmaatregelen heeft aangescherpt om toekomstige incidenten te voorkomen. De instantie streeft ernaar om open en transparant te zijn over de aard en impact van datalekken, en getroffen personen tijdig te informeren.