Opnieuw datalek bij UWV: 150.000 cv's bekeken
Bij uitkeringsinstantie UWV zijn door iemand vorige week 150.000 cv's ingezien en waarschijnlijk ook gedownload. Een deel van de cv's bevat ook persoonsgegevens van werkzoekenden. Het gaat om iemand die een officieel account had. Het account is geblokkeerd en het UWV gaat aangifte doen. Ook is melding gemaakt bij de Autoriteit Persoonsgegevens.
Het gaat om cv's die werkzoekenden hadden geupload op werk.nl, een site van het UWV waar werklozen een uitkering aan kunnen vragen en waar ze werk kunnen zoeken. De site was vrijdagmiddag onbereikbaar vanwege onderhoud dat tot maandagochtend duurt. De werkzoekenden die gedupeerd zijn, worden geïnformeerd.
Werkgevers kunnen bij het UWV een account aanvragen voor de website. Daarmee kunnen ze -voor de buitenwereld- afgeschermde cv's bekijken van potentieel geschikte kandidaten.
Misbruik
Er is geen limiet op het aantal cv's dat ze kunnen bekijken, maar het is de bedoeling dat ze het alleen doen als er bij een vacature een mogelijke match is.
Het UWV spreekt in een persbericht van een 'buitenproportioneel grote hoeveelheid cv's die is ingezien en mogelijk is gedownload door één partij'. Dat gaat in tegen de gebruiksvoorwaarden van werk.nl.
Er worden maatregelen genomen om te voorkomen dat dit in de toekomst nog een keer gebeurd.
Het gaat dus om een datalek en niet om een hack, waarbij iemand zonder account zonder toestemming gegevens inziet.
Waardevolle informatie voor criminelen
Op het lekken van persoonsgegevens staan hoge boetes. Cv's zijn vanwege hun gedetailleerde informatie ontzettend waardevol voor criminelen. Met naam, adres, e-mailadres, telefoonnummer en iemands complete werk- en opleidingshistorie kan van iedereen een zeer gedetailleerd profiel worden gemaakt.
Daarmee kan een slachtoffer een gericht doelwit worden van internetcriminelen.
Al eerder problemen
Het is niet de eerste keer dat het fout gaat. In 2019 zijn er ook 117.000 cv's gedownload voor de verkeerde doeleinden. Ze konden worden gedownload via het account van een werkgever dat in onbevoegde handen was gevallen.
Daarna heeft de uitkeringsinstantie verschillende voorzorgsmaatregelen getroffen. Zo is er monitoringssoftware geïnstalleerd die in de gaten houdt hoeveel cv's er ingezien en gedownload worden en moeten werkgevers inloggen met een speciale inlogmethode genaamd eHerkenning.
"Dankzij deze maatregelen kon er nu snel gesignaleerd worden dat er een onwenselijke massale inzage en mogelijke download had plaatsvonden en konden passende maatregelen genomen worden", aldus het UWV.
Onduidelijk is nog of bij het nieuwe datalek opnieuw een account in verkeerde handen is gevallen of dat de eigenaar van het account zelf in de fout is gegaan.