Privacy 2019

Met de toenemende digitalisering wordt het bewaken van de privacy van burgers steeds belangrijker. We beperken privacyrisico’s in overeenstemming met de voorschriften van de Algemene verordening gegevensbescherming (AVG). Ook incidenten zoals datalekken handelen we af volgens de richtlijnen van de AVG.

Algemene verordening gegevensbescherming

Op grond van de AVG heeft UWV per 25 mei 2018 maatregelen ter bescherming van persoonsgegevens aantoonbaar ingericht; ook informeren we onze klanten actief over het gebruik van persoonsgegevens. Dit betekent onder andere dat we een functionaris gegevensbescherming hebben aangesteld, gegevensbeschermingseffectbeoordelingen uitvoeren, de actieve informatieplicht hebben ingericht, evenals een register gegevensverwerking en het inzage- en correctierecht. Een belangrijke mijlpaal was dat in december 2018 het UWV Beleidskader privacy is vastgesteld, waarin een vertaling is gemaakt van wat de AVG voor UWV betekent. Hiermee is een ambitieuze horizon in beeld gebracht waarmee beter aan de vereisten van de AVG en de bescherming van persoonsgegevens kan worden voldaan. UWV zal in de komende jaren met meerdere projecten naar deze horizon toe werken.

Gegevensbeschermingseffectbeoordeling

De AVG vereist dat voor iedere voorgenomen verwerking van persoonsgegevens die een hoog risico voor de privacy van betrokkene met zich meebrengt, een gegevensbeschermingseffectbeoordeling (GEB) wordt uitgevoerd. UWV heeft hiervoor een proces ingericht. Met een GEB‑check wordt bepaald of het uitvoeren van een volledige GEB voor de desbetreffende verwerking noodzakelijk is. De criteria die daarbij worden gebruikt, zijn gebaseerd op richtlijnen van de Autoriteit Persoonsgegevens.

In de eerste 4 maanden van 2019 behandelde de GEB‑board 110 GEB‑checks en -rapporten, waarvan er 1 was ontvangen in 2018.

 

GEB-checks

GEB-rapporten

Totaal

    

Ontvangen

50

61

111

Behandeld in GEB-board

51

59

110

9 van de behandelde rapporten zijn afgerond; de overige worden op verzoek van de functionaris gegevensbescherming nog aangepast of aangevuld.

Datalekken

Op grond van de AVG moeten alle beveiligingsincidenten met persoonsgegevens (datalekken) binnen 72 uur na constatering worden gemeld aan de Autoriteit Persoonsgegevens (AP), tenzij onwaarschijnlijk is dat het incident een risico oplevert voor de rechten en vrijheden van de betrokken persoon. Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt, moet UWV ook de betrokken personen inlichten. Het aantal bij de AP gemelde datalekken stijgt nog steeds; in de eerste 4 maanden van 2019 waren het er 163. Ook het aantal signalen en meldingen neemt nog steeds toe. Dit hangt mogelijk samen met het toegenomen bewustzijn bij medewerkers om alle beveiligingsincidenten te melden en de toegenomen bekendheid met de meldprocedure. Bij meldingen ondernemen we direct actie om de schade voor betrokkenen te beperken. We analyseren regelmatig de meldingen om ontwikkelingen daarin te onderkennen en maatregelen te kunnen treffen om het risico op herhaling te verkleinen. Zo zijn in overleg met de betrokken bedrijfsonderdelen wijzigingen aangebracht in de behandeling van retourpost. Bij grote incidenten is het cruciaal dat snel en gecoördineerd de juiste stappen worden gezet. Om dit te faciliteren wordt op dit moment gewerkt aan een calamiteitenplan voor grote datalekken.