Via een account van een UWV-werkgever zijn tussen 16 en 30 april ruim 117.000 unieke cv’s gedownload. UWV heeft bij de politie aangifte gedaan van computervredebreuk en bij de Autoriteit Persoonsgegevens is melding gemaakt van een datalek. Volgens Computable-expert René Veldwijk toont het incident aan dat UWV veel te naïef is rondom de online-verwerking van persoonsgegevens.
Wie had er twee weken toegang tot ruim 117.000 cv’s door in te loggen via het account van een medewerker van UWV-onderdeel Werk.nl.? Veldwijk: ‘Niemand weet wat er met de data zijn gebeurd en of het werk is van criminelen of bijvoorbeeld partijen die eigen ai-engines maken om de data te doorzoeken.’
Veldwijk is kritisch op de manier waarop de dienst met persoonsdata omgaat. UWV is volgens hem te goeder trouw. ‘Anno 2019 zet je niet op deze manier persoonsgegevens online om vraag en aanbod bij elkaar te krijgen.’ In een artikel in Trouw meldt hij dat de gemiddelde datingsite persoonsgegevens beter afschermt dan Werk.nl van UWV.
Hij doelt op de uitgebreide persoonsgegevens die sollicitanten beschikbaar stellen, zoals naam, telefoonnummer en huisnummer. ‘Een werkgever die op basis van de cv een interessante kandidaat vindt, zou die persoon eerst via email kunnen benaderen om te vragen of het gehele profiel zichtbaar mag zijn’, aldus Veldwijk. Het ontwerp waarbij UWV uitgaat van een bonafide werkgever die meteen alle persoonlijke data van een kandidaat te zien krijgt, vindt hij opvallend naïef. ‘Als zo’n systeem nu zou worden ontwikkeld, zou het nooit zo gemaakt zijn’, stelt hij. UWV houdt volgens hem te weinig rekening met partijen die erop uit zijn alle data uit de database te halen en die voor eigen doelen te gebruiken.
inzet van ai
Veldwijk ziet dat meer partijen bezig zijn om met eigen ai-engines grote databestanden leeg te trekken en data te analyseren. Bijvoorbeeld omdat de eigen software voor matchmaking van UWV niet goed zou werken. Die ai-engines zijn overigens vaak in strijd met de wet, omdat gebruikers geen nadrukkelijke toestemming hebben gegeven om hun data af te staan met dat doel.
Minister Koolmees schrijft in een kamerbrief dat UWV onderzoekt wat de gevolgen zijn van de downloads en of verdere mogelijke beveiligings- of herstelmaatregelen nodig zijn. De Kamer moet daar voor het zomerreces over worden geïnformeerd. Volgens Veldwijk is het de vraag of UWV de logging van zijn systeem dermate op orde heeft dat het de ontvanger van de downloads kan achterhalen.
Veldwijk is even naïef als het UWV. En UWV et al zijn zéker niet te goeder trouw.
Niet alleen speelt Werk.nl al jaren geen rol van betekenis meer bij het matchen van vraag en aanbod op de arbeidsmarkt.
Werving en selectie is voor het overgrote deel in handen van brokers, uitzendbureau’s, online baanrobots en social media.
De flexibiliteit en minimale doorlooptijden daarvan maken dat Werk.nl door werkgevers zoveel mogelijk wordt gemeden.
Voor WW-ers en diverse andere groepen uitkeringsgerechtigden is inschrijving bij Werk.nl echter verplicht.
Aanmaken van een CV op Werk.nl kan uitsluitend door het uitgebreid vermelden van NAW, geboortedatum en geslacht.
Geen CV, niet openbaar zetten van het CV of het vermelden van onjuiste gegevens zal doorgaans leiden tot een korting op de uitkering. Dit wordt nl. door het gros van de werk-ambtenaren geïnterpreteerd als het belemmeren van de kans op werk.
Anonimiseren door het loskoppelen van NAW/geboortedatum/geslacht van het CV is een eenvoudige oplossing voor het voorkomen van misbruik en tegen discriminatie naar leeftijd, geslacht en etniciteit.
Dat is echter niet hoe de systemen en processen bij UWV, Regionale Sociale Diensten en gemeenten zijn ingericht. En het heeft aldaar – desgevraagd – verder dan ook geen enkele interesse, laat staan aandacht, bij betrokken ambtenaren en UWV-ers. Deze ambtenaren en UWV-ers worden afgerekend op cijfers m.b.t. werkzoekenden en werkvinders, niet op privacy, beveiliging en procesverbetering. Over de rol van Regionale IT-diensten zullen we dan ook maar niet eens beginnen.
E.e.a. is UWV, Regionale Sociale Diensten en gemeenten volstrekt bekend.
Over de periodieke klaagzangen in politiek en media kan men alleen maar de schouders ophalen.
Vraag is nu of Koolmees’ aangekondigde kamerbrief een deksel op de doofpot wordt of een verder afbrokkelen van het fundament onder het UWV.
Ook P.J.Westerhof is enigszins naïef. De UWV moet tegen beter weten in de geschetste werkwijze volgen omdat de politiek of beter nog de kiezers zo wantrouwend zijn tegenover werkzoekenden. Veel mensen denken dat de werkzoekenden de pet gooien naar het solliciteren. Daardoor moeten de ambtenaren veel tijd en energie in het controleren van de sollicitatie-inspanningen plegen in plaats van daadwerkelijk te ondersteunen en bemiddelen naar banen waar nog redelijke kans bestaat op aangenomen te worden en er langdurig in dienst te blijven. Nu moeten werkzoekenden veel vrijwilligerswerk laten liggen vanwege de sollicitatiedruk en controles. Met de geschetste doelmatigheid van Werk.nl is zelfs te vrezen dat daar ingeschreven staan de kansen om via ai aangenomen worden flink verminderd wordt. De ai kan denken dat de ingeschrevene al een poosje werkloos is en daarmee minder geschikt, want immers wat minder maandjes relevante ervaring en door derden al afgekeurd. Daarmee wordt het anonimiseren wel meer noodzakelijk.
Naief? Stom is het juiste woord. Een werknemer van UWV (naam moet dus bekend zijn) heeft zijn/haar inloggevens aan iemand doorgegeven, dit is gewoon een van de domste dingen die een gebruiker kan doen. Ik vind gewoon dat hiervoor disciplinaire maatregelen moeten worden genomen, men is zich gewoon nog steeds niet bewust van dit risico en het UWV komt veel te vaak in het nieuws met dergelijke stommiteiten.
Ook minister Koolmees speelt dat het allemaal wel meevalt. In de brief aan de Kamer schrijft hij onder andere: “Volledigheidshalve heeft UWV dit incident als datalek gemeld bij de Autoriteit Persoonsgegevens.”
Ik kan dit niet anders lezen als: ‘Het is dat de wet ons verplicht dit te melden, anders had u helemaal niets geweten.’
@J de Grood. Als je het artikel leest blijkt dat het iemand was die via een account van een werkgever deze CV’s heeft gedownload.Dus een werknemer van het UWV heeft daar niets mee te maken.
@Westerhof Er zijn beroepen die door allerlei recruiters en dergelijke worden gevuld. Er zijn ook een groot aantal beroepen waar niet deze schaarste is en er ook geen recruiters voor zijn, voor die beroepen heeft werk.nl wel nut.
Als werkgever wil je niet altijd een hoop geld betalen om bij die sites te mogen kijken of een werving te plaatsen.
Blijft staan dat werk.nl niet goed functioneert. Ze hadden beter een samenwerkingsverband met een vacaturesite zoals monsterboard kunnen aangaan.
Mensen bemiddelen vereist mankracht, controleren of iemand 4 maal per maand solliciteert, is geautomatiseerd.
Het enige werk wat het UWV opgeleverd heeft is voor de automatiseringsbedrijven blanco cheques uitschrijven voor werkzaamheden aan de kansloze website van het UWV.
@Smiesing :
* het UWV, en dús één van de ambtenaren, blijft uiteraard verantwoordelijk voor wat er met CV’s gebeurt. Zowel functioneel-technisch als juridisch.
Daarnaast is de werkgever verantwoordelijk voor wat er via zijn account gebeurt. Overigens zijn de Algemene Voorwaarden van Werk.nl op dat punt rijkelijk vaag. Vraag is dus hoe hier toegang is verkregen.
Vraag is ook op welke wijze 117.000 unieke cv’s zijn ‘gedownload’. 117.000 CV’s in 14 dagen is gemiddeld 10 seconden per CV. Het aangekondigde onderzoek moet hier uitsluitsel over geven.
* nee, ik heb niet alle punten en komma’s gezet. Wat je bij Werk.nl vooral ziet is een restcategorie van functies voor ongeschoolden, laagopgeleiden, seizoenswerkers. Overigens wél een categorie waar onze economie niet zonder kan.
De ‘klantbenadering’ van UWV is dan ook op die categorie gericht. Iedere midden of hoger opgeleide die ooit met het UWV te maken heeft gehad kent deze benadering. UWV stelt zelf dat deze benadering noodzakelijk is.
* Plaatsing van vacatures en (pre-)selectie is bij brokers, uitzendbureau’s, etc. in hoge mate geautomatiseerd en vereist nauwelijks menskracht. Hetzelfde geldt voor het ‘HRM-loket’ bij werkgevers. Ook bij Werk.nl kan automatisch worden gematched.
Ik lees op werk.nl Dat je je als werkgever aan kan melden en dat het gechecked wordt op basis van het fiscaalnummer van het bedrijf.
Op het moment dat je dus een btwnummer van een willekeurig bedrijf opgeeft ziet het er naar uit dat je mag inloggen als werkgever en dan de 450.000 CV’s mag bekijken.
Dus echt veel moeite zal het niet kosten om alle CV te kunnen bekijken.Mits je als werkzoekende alles open hebt gezet.