Voor de tweede keer zijn op grote schaal persoonlijke gegevens buitgemaakt via werk.nl, de site van overheidsdienst UWV die werkzoekenden moet koppelen aan werkgevers. Dat dit nu wéér gebeurt, is schandalig, zeker omdat gebruik van het platform verplicht is voor werkzoekenden met een WW- of WIA-uitkering.
Op zaterdag 4 mei raadpleegde één account 150.000 cv’s van werkzoekenden op werk.nl en wist deze waarschijnlijk ook te downloaden. Hoewel het in één keer downloaden van meerdere cv’s een bestaande functionaliteit betreft volgens het UWV, is 150.000 stuks dermate veel dat de alarmbellen gingen rinkelen.
Het is volgens de instantie bekend om welk account het gaat, deze is dan ook geblokkeerd. De personen wiens cv is gedownload, zijn door het UWV op de hoogte gesteld. Het UWV bereidt verder aangifte voor en heeft melding gemaakt bij de Autoriteit Persoonsgegevens, deelt de organisatie in een eigen bericht.
‘Persoonlijke info gescraped door bot’
Op werk.nl kunnen werkzoekenden hun cv’s uploaden, die werkgevers vervolgens kunnen bekijken. In het geval van de 150.000 verzamelde cv’s betreft het waarschijnlijk geen mens, maar een bot die cv’s bij elkaar harkt (scraping), aldus econoom en database-expert René Jan Veldwijk.
Het is volgens Veldwijk goed mogelijk dat de buitgemaakte data tegen betaling wordt verstrekt aan de doelgroep, namelijk werkgevers (die van de herkomst wellicht niets weten), maar dat is uiteindelijk om het even: het is en blijft datadiefstal. De personen die te goeder trouw hun cv hebben geüpload, zijn persoonlijke info kwijtgeraakt aan een onbekende derde partij.
Niet de eerste keer
Op het eerste gezicht is het fijn dat UWV openheid geeft, maar daarna denk je: het spreekwoord ‘Als het kalf verdronken is, dempt men de put’ is hiervoor uitgevonden. Het was overigens al het tweede kalf: in 2019 gebeurde zoiets ook al, toen ging het om 117.000 cv’s.
Het UWV zegt in zijn verklaring dat naar aanleiding van dat lek destijds ‘verschillende voorzorgsmaatregelen’ zijn getroffen. Zo is er monitoringssoftware die registreert hoeveel cv’s er worden ingezien en gedownload. Ook moeten potentiële werkgevers inloggen met eHerkenning.
Het UWV waagt zich derhalve aan de uitspraak: “Dankzij deze maatregelen kon er nu snel gesignaleerd worden dat er een onwenselijke massale inzage en mogelijke download had plaatsvonden en konden passende maatregelen genomen worden.”
De vraag die iedereen die dit nieuws verneemt, natuurlijk stelt: Waarom is het überhaupt mogelijk om in één keer zoveel gegevens te scrapen? En wat gaat het UWV doen om ervoor te zorgen dat dit niet meer kan gebeuren? En nu écht niet meer?
Gegevens doorverkopen
Cv’s bevatten doorgaans allerlei persoonlijke informatie, zoals e-mailadressen, telefoonnummers, de persoonlijke (werk-)geschiedenis van de eigenaar, genoten opleidingen, soms ook huisadressen of de gezinssituatie. Je wilt je toekomstige werkgever toch een beeld geven van wie je bent, nietwaar? Het vertrouwen dat deze werkzoekenden stelden in het UWV om netjes met deze zeer persoonlijke gegevens om te gaan, is -laten we er geen doekjes om winden- geschonden.
De persoon of organisatie die nu 150.000 cv’s rijker is, gaat die vast niet gebruiken omdat ze graag hun netje zo wijd mogelijk uitwerpen om hun vacatures te vullen. Deze persoonlijke informatie gaat gewoon verhandeld worden. Misschien inderdaad om door te verkopen aan -laten we aannemen- nietsvermoedende werkgevers, maar als je de gegevens toch hebt, waarom zou je het daarbij laten?
Zoals eerder al genoemd: het is kinderlijk eenvoudig voor cybercriminelen om profielen samen te stellen van internetgebruikers door gestolen data te combineren met deels publiek toegankelijke informatie. Het UWV heeft dergelijke criminelen nu een handje geholpen.
Verplicht cv uploaden bij uitkering
Hoewel werk.nl in principe voor alle werkzoekenden toegankelijk is, ben je verplicht je cv te uploaden op het platform om in aanmerking te komen voor een WW- of WIA-uitkering. Dus dezelfde mensen die (tijdelijk) een uitkering nodig hebben om in hun levensonderhoud te voorzien, mogen zich nu dus dankzij het UWV ook zorgen gaan maken over phishingmails, hackpogingen en andere vormen van cybercriminaliteit die mogelijk hun kant op gaan komen.
Werkzoekenden die werk.nl moeten gebruiken om in aanmerking te komen voor een uitkering, zijn gewaarschuwd: zet geen al te persoonlijke informatie in je cv. Je kunt er immers niet op vertrouwen dat de betreffende overheidsdienst je gegevens voldoende beschermt.
Rijkelijk laat met openbare melding
En dan nog iets. Het UWV deed de melding op 10 mei, de vrijdag na Hemelvaartsdag, toen half Nederland, geholpen door het stralend zonnige weer, een lang weekend aan het vieren was. Deze publiekelijke melding kwam dus een week ná het voorval, op een moment dat de meeste Nederlanders buiten waren, of de soap rond het Songfestival volgden.
Dat je als overheidsinstantie niet zuinig omgaat met de persoonlijke gegevens van burgers, is al kwalijk. Dat een massadownload van persoonlijke gegevens op hetzelfde platform twee keer binnen een paar jaar gebeurt, is ook niet heel fraai. Dat dit een platform is dat mensen met een uitkering -niet zelden in een kwetsbaardere positie- verplicht moeten gebruiken, is in dat licht dubieus.
Dat je een week wacht om dit nieuws naar buiten te brengen, en dan een moment kiest waarop vrijwel niemand oplet? Dan wil je ook nog eens verhullen dat je de fout bent ingegaan.
Lees ook: ICT-falen bij de overheid mede veroorzaakt door teveel aan ‘magisch denken’