Uitkeringsinstelling UWV gaat het registratiesysteem Sonar aanpakken. Dat is hard nodig, want KPMG ontdekte bij onderzoek dat ambtenaren in Sonar vrij toegang hebben tot de gegevens van zo’n 4,1 miljoen (voormalig) uitkeringsgerechtigden.
UWV gebruikt het systeem om gegevens met burgers en andere organisaties uit te wisselen, om mensen te begeleiden naar werk en om het recht op een uitkering te controleren. ‘In Sonar worden werkzoekenden geregistreerd. Het systeem is de basis voor arbeidsbemiddeling voor zowel UWV als gemeenten’, aldus de instantie. Het systeem dateert van 2005 gebouwd; insteek was toen om zo veel mogelijk gegevensuitwisseling mogelijk te maken. ‘Deze wens tot gegevensuitwisseling staat op gespannen voet met het voldoen aan de huidige privacyvereisten. In de afgelopen jaren heeft UWV maatregelen getroffen om het systeem te laten voldoen aan de geldende privacyvereisten, maar realiseert zich ook dat het nog niet voldoende was.’ Daarom heeft KPMG vorig jaar onderzocht hoe Sonar aan de huidige standaarden van informatiebeveiliging en privacybescherming kon voldoen.
Inzage door disproportionele groep
Het systeem wordt door zo’n 16.000 mensen gebruikt; minister Koolmees (Sociale Zaken) vestigde in oktober al de aandacht op de problemen. Het onderzoek van KPMG stuurde hij toen al aan de Tweede Kamer. ‘Op basis van ons onderzoek stellen wij vast dat Sonar op dit moment niet voldoet aan de privacy-beginselen toegang, rechtmatigheid, dataminimalisatie, doelbinding en opslagbeperking en daarmee niet voldoet aan de eisen vanuit de AVG. Primair is het ontbreken van een voldoende volwassenheid op de diverse deelgebieden een risico voor de voormalige, huidige en toekomstige klanten van het UWV WERKbedrijf. Hun (historische) gegevens kunnen worden ingezien door een disproportionele groep medewerkers’, zo waarschuwde KPMG.
‘Niemand vindt het erg’
Nu schrijft Trouw dat de gebrekkige privacybescherming de gebruikers toegang geeft tot de data van ruim 4 miljoen mensen. Het gaat om ruim 3,1 miljoen voormalige klanten en de huidige 1 miljoen uitkeringsgerechtigden. IT-kenner René Jan Veldwijk zegt in de krant dat het geen nieuws is: ‘Dat weten betrokkenen al jaren, en dat blijkt nu ook uit dit rapport. Waarom er dan niets aan gedaan wordt? Niemand vindt het erg. Er is bij UWV nog nooit iemand ontslagen omdat de privacy van mensen niet is beschermd. Er worden bij een datalek, die er heel vaak zijn geweest, hooguit wat Kamervragen gesteld. Dat risico wil de top wel nemen.’ Ingrijpen is een groter risico, zegt hij: ‘Als er dan iets fout gaat, kunnen drieduizend mensen die dagelijks gebruik maken van Sonar hun werk niet doen. Dat willen ze te allen tijde voorkomen.’
Gat te groot
In het informatieplan voor 2021 liet UWV in december ook weten dat er problemen waren: ‘Een onderzoek van KPMG naar de mate van informatiebeveiliging en privacy in en rondom Sonar heeft een groot aantal risico’s blootgelegd. De gap tussen Sonar en de eisen die de AVG stelt is momenteel (te) groot. De doelstelling van het project is om het risiconiveau van Sonar te reduceren tot een acceptabel niveau.’
‘UWV geeft prioriteit aan het verbeteren van de privacy en informatiebeveiliging in Sonar. Het KPMG-onderzoek heeft dan ook duidelijk gemaakt dat er acties nodig zijn’, meldt de uitkeringorganisatie nu neutraal in een persbericht. ‘Op basis van het onderzoek van KPMG zijn wij zorgvuldig de maatregelen aan het implementeren, zodat de persoonlijke levenssfeer van onze klanten beschermd blijft. Deze maatregelen nemen we stapsgewijs. Omdat het systeem in het hart van onze dienstverlening zit, kunnen we het systeem niet in één keer vervangen.’ De meest urgente maatregelen moeten voor eind maart 2021 doorgevoerd zijn; na 2025 volgt de volledige vervanging van Sonar.
Verbergen gegevens niet goed mogelijk
De eerste maatregelen zijn onder meer het resetten van wachtwoorden (in november gedaan) een systeem van logging en monitoren invoeren en het verwijderen van oude gegevens. Volgend jaar moet het aanscherpen en beter documenteren van autorisaties zijn afgerond. Het systeem wordt op termijn vervangen omdat niet alle privacyrisico’s kunnen worden verholpen. Zo zijn er beperkte technische mogelijkheden om gegevens van inactieve burgers (tijdelijk) te verbergen. ‘Het gaat hier om gegevens van inactieve burgers die nog niet verwijderd mogen worden in verband met de wettelijke bewaartermijn van 5 jaar. Dit restrisico betekent dat deze gegevens nog toegankelijk zijn voor geautoriseerde gebruikers van Sonar, terwijl deze gegevens niet noodzakelijk zijn voor de uitvoering van wettelijke taken. De implementatie van het meer fijnmazige autorisatiemodel lost dit probleem niet geheel op. Via de verbeterde logging en monitoring is het wel mogelijk om onrechtmatig gebruik van SONAR te signaleren, te monitoren en indien nodig te sanctioneren.’
Geef een reactie