Datalek bij UWV: 150.000 cv’s bekeken en mogelijk opgeslagen
Het UWV melde onlangs dat iemand op zaterdag 4 mei 150.000 cv’s heeft ingezien op werk.nl en mogelijk gedownload heeft. Die UWV-website brengt werkgevers en werkzoekenden bij elkaar. Het lek is gemeld bij de Autoriteitspersoonsgegevens en het UWV gaat ook aangifte doen. Het UWV weet wie de cv’s heeft buitgemaakt, maar de identiteit van deze persoon is niet bekendgemaakt. Het gaat volgens de organisatie niet om een UWV-werknemer.
Datalek bij het UWV
“Het is zeer kwalijk dat er vermoedelijk voor oneigenlijk gebruik op zulke grote schaal cv’s zijn ingezien en mogelijk gedownload”, zegt Judith Duveen, directeur Werkbedrijf bij UWV. “We hebben direct passende maatregelen genomen en gaan de betrokken mensen zo goed mogelijk informeren over de gevolgen van deze onwenselijke massale inzage en mogelijke download.” Mensen met uitkering en zonder uitkering kunnen werk.nl gebruiken om een baan te vinden. Zij kunnen hun cv op de website zetten, zodat toekomstige werkgevers dat kunnen inzien en opslaan. Zoals vaak bij cv’s staan er allerlei persoonsgegevens in de documenten, zoals namen, contactgegevens en opleidingen. “Het zijn erg rijke bronnen”, zegt een woordvoerder van de Autoriteit Persoonsgegevens. “Als je die weer combineert met andere data kan je echt een uitgebreid profiel opbouwen met het oog op oplichten, bijvoorbeeld door heel gerichte phisingmailtjes.”
Erg rijke bronnen
Dat persoonlijke en professionele gegevens via de site terechtkomen bij een potentiële werkgever is de bedoeling, maar het op grote schaal inzien en verzamelen van cv’s natuurlijk niet. “Dit gaat in tegen de gebruiksvoorwaarden”, schrijft de uitkeringsinstantie. “Daarom beschouwt UWV dit als een actie tot vermoedelijk gebruik voor oneigenlijke doelen.” Het is niet voor het eerst dat iemand de database van werk.nl plundert. In 2019 werden al eens 117.000 cv’s gedownload. Na afloop daarvan installeerde het UWV monitoringssoftware om in de gaten te houden of dit vaker gebeurt. Het geval van zaterdag werd hierdoor opgespoord.
Te leren lessen
Intercedenten en uitzendbureaus kunnen van dit incident leren wat het belang is van de veiligheid en privacy van persoonsgegevens te waarborgen. Dit vereist het invoeren van strikte beveiligingsmaatregelen, bewustwording bij medewerkers over privacyrisico’s, regelmatige systeemcontroles en transparante communicatie naar klanten. Het incident benadrukt de noodzaak van een sterke aanpak op het gebied van gegevensbescherming, privacy en de juiste uitzendsoftware binnen deze sector.