UWV stuurt privacygevoelige gegevens op van buurman

Het UWV stuurde privacygevoelige gegevens van buren toe, nadat een Webwereld-medewerker vroeg on inzicht in zijn eigen persoonsgegevens. Genoeg om nieuwe DigiD's en paspoorten aan te vragen.

"Wat wilt u precies weten?" De medewerker van het UWV begreep maar weinig van mijn verzoek om inzage te krijgen in welke gegevens ze over mij hebben opgeslagen. "Ik wil weten welke gegevens jullie van mij bewaren en wat jullie ermee doen. volgens de Wet Bescherming Persoonsgegevens heb ik daar recht op." Een paar dagen later viel de brief op de deur met daarin de volledige namen van mijn buren, hun geboortedatum en hun burgerservicenummer. Bij elkaar genoeg om een nieuwe DigiD voor ze aan te vragen en zelfs een nieuw paspoort.

Nieuw paspoort aanvragen voor de buurman
Dat zit zo. In de politieregio waar ik woon wordt een proef gehouden waarbij je geen aangifte meer hoeft te doen bij verlies of diefstal van een identiteitsbewijs. Tenzij mijn buurman recentelijk een biometrisch paspoort heeft aangevraagd is er geen manier om te controleren of ik ben wie ik ben. In dat geval zou ik met de toegestuurde gegevens een nieuw paspoort op de naam van mijn buurman aan kunnen vragen, met mijn foto.

Voor het aanvragen van een nieuwe DigiD volstaat het invullen van het burgerservicenummer, geboortedatum, postcode en huisnummer. De laatste twee zijn geen probleem, aangezien we in mijn appartementencomplex een voordeur delen. De rest van de gegevens werden aangeleverd door het UWV.

Identiteitsfraude is een ernstig misdrijf en we zijn niet zo ver gegaan om de proef op de som te nemen, maar het is duidelijk dat het systeem zwakheden vertoont. Janneke Slöetjes van digitale burgerrechtenorganisatie Bits of Freedom is verbaasd en vraagt zich af waarom de informatie is meegestuurd. "Het burgerservicenummer is niet belangrijk, een voorletter en achternaam volstaan", zegt de juriste. Ze kan zich hooguit voorstellen dat je daar nog een geboortedatum aan toevoegt, die is niet zo privacygevoelig.

Gegevens van de buren zijn irrelevant
Waarom de gegevens zijn meegestuurd is onduidelijk. De woonsituatie is niet bepalend voor de hoogte van een werkeloosheidsuitkering. De gegevens zijn dus niet relevant.

In een reactie zegt het UWV dat de gegevens afkomstig zijn uit de Gemeentelijke Basisadministratie, maar hadden deze gegevens nooit meegestuurd mogen worden. Volgens de uitkeringsinstantie is er sprake van een menselijke fout. "Het is absoluut niet gebruikelijk dat meer gegevens worden verstrekt dan gevraagd, zeker bij privacygevoelige gegevens. Het is ook niet standaard dat deze gegevens worden meegestuurd", zegt woordvoerder Wessel Agterhof. "Daar zijn speciale protocollen voor en wedewerkers volgen cursussen om daarmee om te gaan. Er is zelfs een intern bureau dat erop toeziet dat we zorgvuldig omgaan met gegevens van klanten." Desondanks is het toch gebeurd.

TLS heeft mijn foto
De Nederlandse Spoorwegen blijkt ook nogal gul met de gegevens. De reactie op mijn inzageverzoek lijkt op het eerste gezicht redelijk volledig. De gegevens over mijn voordeelurenabonnement worden opgesomd en er wordt een overzichtje van klantcontacten meegestuurd. In de brief staat echter één zin die niet blijkt te kloppen. "Verder zijn er buiten de NS geen enkele andere ontvangers van uw gegevens", zo staat in de brief. Maar Trans Link Systems, het bedrijf achter de OV-chipkaart blijkt wel degelijk te beschikken over mijn gegevens. Die lijken afkomstig uit de database van de NS, waaronder een pasfoto die groot genoeg is om dienst te doen op een opsporingsposter.

"Dat kan kloppen", zegt TLS-woordvoerster Anita Hilhorst. "Wij hebben die gegevens nodig omdat wij de kaarten produceren voor de NS en alle andere vervoerders. Als je al langer een voordeelurenkaart hebt is die op een gegeven moment vervangen door een kaart met een chip en die wordt door ons geleverd. Dat is ook de reden waarom wij beschikken over je pasfoto.

De reden dat wij meer gegevens nodig hebben dan alleen een kaartnummer en het type abonnement is dat wij de kaarten moeten kunnen vervangen bij verlies en diefstal. Zou je ook nog een abonnement van het GVB erop hebben staan, dan kan en mag de NS dat niet weer activeren. Wij kunnen dat wel, omdat wij voor alle vervoerders werken."

Dat klinkt logisch, maar ik heb naar mijn weten nooit toestemming gegeven om mijn gegevens op te laten nemen in een externe database. Volgens de NS heeft TLS alleen de gegevens die ze nodig hebben om mijn kaart te produceren.

Bits of Freedom is blij met de reactie van TLS. Een aantal maanden eerder vroegen medewerkers van BoF hun gegevens op bij de uitgever van de OV-chip. Destijds werd medegedeeld dat er geen gegevens van de medewerkers bij TLS bekend zijn. "De reactie is redelijk volledig", zegt Rejo Zenger van BoF. Toch vraagt Zenger zich af of alle gegevens die TLS opslaat wel noodzakelijk zijn.

Hoop
Al met al lijkt het inzagerecht een wassen neus, zoals eerder al bleek bij inzageverzoeken bij bedrijven. Maar er is hoop. Dat zegt tenminste Bart Schermer, docent privacyrecht aan de Universiteit van Leiden. Hij doelt daarmee op de nieuwe Europese wetgeving die de huidige privacywetten in de 27 deelstaten vervangt. In deze nieuwe wet is het inzageverzoek beter verankerd en er zijn minder drempels om inzage te krijgen. Straks kun je ook een inzageverzoek indienen per e-mail. "Hopelijk wordt ook data portability geregeld", zegt Schermer. "Daarbij worden bedrijven verplicht je een volledig afschrift te geven, waarmee je bijvoorbeeld je Facebookprofiel kunt verhuizen naar een andere aanbieder."

Op dit moment is het nog minder goed geregeld. "Ik weet niet of bedrijven bewust drempels opwerpen", stelt Schermer. "Maar alleen verwijzen naar het privacy statement is niet genoeg. Bedrijven moeten ook een overzicht van de opgeslagen gegevens geven en liefst ook nog een afschrift, al is dat laatste niet in de wet vastgelegd. Er zijn praktische bezwaren waarom bedrijven soms moeilijk een volledig afschrift kunnen geven. De gegevens zijn niet met één druk op de knop op te slaan in een PDF-bestand. Het is ook maar de vraag of je als gebruiker wijs wordt uit een gegevensdump. Volgens de wet moeten je persoonsgegevens 'helder en begrijpelijk' worden gepresenteerd."

"Ik denk dat privacy valt onder de maatschappelijke verantwoordelijkheid die bedrijven hebben", gaat Schermer verder. "Toch staat het onderwerp niet zo hoog op de agenda als bijvoorbeeld de Wet Financieel Toezicht, of kartelwetgeving. De voornaamste reden daarvoor is dat de toezichthouder, het College Bescherming Persoonsgegevens, geen sancties kan opleggen. Bedrijven worden dus niet gedwongen om correct te reageren. Dat verandert in de nieuwe Europese wet. In de toekomst kan het CBP een boete opleggen van een ton als bedrijven niet meewerken aan een inzageverzoek. Bij internationale bedrijven gaat het over één of meerdere procenten van de internationale omzet. Bij bedrijven als Google en Facebook gaat het dan over miljoenen."

Er zit er wel een potentieel nadeel aan de nieuwe Europese wet. Schermer: "Ik ben bang dat de nieuwe wet te procedureel wordt en te veel administratie vereist van bedrijven. Handhaving is belangrijker. Boetes kunnen daarin bijdragen, maar er moet vooral een omslag in het bewustzijn komen."

PIM 2.0
Bits of Freedom blijft de komende maanden werken aan verbetering van de Privacy Inzage Machine. Er worden meer bedrijven toegevoegd aan de lijst en er komen voorbeelden van goede en slechte reacties. "Op die manier kunnen internetgebruikers zien of een bedrijf inhoudelijk voldoende reageert", zegt Rejo Zenger.

Ook weten wat bedrijven van je weten? Bits of Freedom heeft een Privacy Inzage Machine gemaakt, met adresgegevens van meer dan 300 bedrijven. Met de PIM kun je standaardbrieven generenen. Je hoeft alleen nog een kopie van je legitimatiebewijs toe te voegen.