| Ingediend | 4 december 2015 |
|---|---|
| Beantwoord | 14 januari 2016 (na 41 dagen) |
| Indiener | Norbert Klein (Klein) |
| Beantwoord door | Lodewijk Asscher (viceminister-president , minister sociale zaken en werkgelegenheid) (PvdA) |
| Onderwerpen | organisatie en beleid sociale zekerheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2015Z23623.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20152016-1110.html |
Ja.
UWV heeft geen meldingen van klanten ontvangen dat de gegevens van een ander te zien zijn na inloggen op MijnUWV. Wel is er een beperkt aantal incidenten bekend waarbij klanten de gegevens van een ander inzagen bij het inloggen op werk.nl. UWV heeft hier 20 meldingen van ontvangen. Inmiddels zijn er maatregelen getroffen waardoor deze incidenten zich niet meer voordoen.
De incidenten bij het inloggen op werk.nl werden veroorzaakt door een software-fout in de firewall van de internetprovider van UWV. Hierbij werd de pagina van een klant abusievelijk deels gevuld met gegevens van een ander. De klant kon dan personalia, contactgegevens en in sommige gevallen het beroep van een andere klant zien. Deze gegevens verdwenen met elke volgende klik op de webpagina. Nader inzien van gegevens was dan ook niet mogelijk. Financiële gegevens konden niet worden ingezien.
Nee, er is geen enkele relatie met de tijdelijke storing van MijnUWV. Ook betreft dit geen fundamenteel probleem. Inmiddels zijn er maatregelen getroffen waardoor de incidenten op werk.nl zich niet meer voordoen.
Er zijn geen klantgegevens op straat komen te liggen. Wanneer het incident zich voordeed, waren na een klik de gegevens direct verdwenen (zie antwoord3.
UWV heeft in totaal 20 meldingen van klanten ontvangen dat zij gegevens van anderen konden inzien bij het inloggen op werk.nl. Gezien op het totaal van 100.000 ingelogde werkzoekenden per dag is dit een zeer klein aantal, echter vindt UWV elk incident er één teveel. Inmiddels zijn er maatregelen getroffen waardoor deze incidenten zich niet meer voordoen.
UWV heeft meteen na de eerste melding actie ondernomen, heeft contact opgenomen met de melder en heeft in samenwerking met de leveranciers het onderzoek gestart naar de oorzaak van het probleem. Op basis van de eerste resultaten van het onderzoek heeft KPN maatregelen getroffen. Zo heeft KPN tijdelijk een vervangende firewall ingezet waardoor het probleem zich niet meer voordoet.
UWV en KPN werken samen aan het herstel van de oorspronkelijke firewall. De hiervoor benodigde software-update is opgeleverd en wordt momenteel uitvoerig getest voordat overgegaan wordt tot implementatie.
Met de klant die de melding deed is telefonisch overleg geweest. UWV heeft daarmee specifiekere informatie gekregen en heeft de klanten nadere uitleg kunnen verschaffen. De klant die daar prijs op stelden zijn telefonisch geïnformeerd over de voortgang van de oplossing. Voor zover bekend hebben klanten geen schade opgelopen en is er geen aanleiding mensen te compenseren.
UWV houdt rekening met de richtsnoeren van het CBP. Binnen de rijksoverheid worden het Voorschrift Informatiebeveiliging Rijksdienst (VIR) en de Baseline Informatiebeveiliging Rijksdienst (BIR) toegepast. Aan UWV en de andere zelfstandige bestuursorganen (zbo’s) is gevraagd dit normenkader te adopteren als richtlijn voor maatregelen op de informatie-beveiliging. De VIR en de BIR zijn beide gebaseerd op de standaard ISO 27001-code informatiebeveiliging. UWV heeft zijn tactische beleidskader voor beveiliging en privacy grotendeels op deze code gebaseerd. In mei 2014 heeft UWV met de ondertekening van de Bestuurlijke verklaring Informatieveiligheid zbo’s de toepassing van de VIR/BIR bekrachtigd. In de nieuwe systematiek meet UWV continu of UWV blijvend voldoet aan de BIR standaard. Dit doet UWV onder andere via businessimpactanalyses en privacyimpact-analyses.