UWV licht slachtoffers in over gelekte persoonsgegevens uit 150.000 cv's

Het Nederlandse Uitvoeringsinstituut Werknemersverzekeringen is begonnen met het inlichten van slachtoffers van het recente datalek waarbij 150.000 cv's door een persoon werden ingezien. Het verschilt per slachtoffer welke informatie bij het incident is buitgemaakt.

De 150.000 cv's werden door personen geüpload naar de website werk.nl en de instellingen van hun account op die site lijken te hebben bepaald welke informatie inzichtelijk was. Tweakers heeft e-mails van het UWV naar meerdere slachtoffers ingezien. Bij sommigen werd het cv als privé geüpload naar werk.nl, waardoor persoonsgegevens in principe werden afgeschermd, al zou ook van hen basale informatie over sollicitaties en eventueel een telefoonnummer ingezien kunnen zijn.

Bij andere gebruikers van werk.nl zijn uiteenlopende persoonsgegevens gelekt. Hieronder vallen naam, geslacht, geboortedatum, adres, postcode, woonplaats, e-mailadres en telefoonnummer. In beide gevallen raadt het overheidsorgaan slachtoffers aan om waakzaam te zijn voor oplichters. De instantie zegt nooit telefonisch om betaalgegevens te vragen.

Vorige week werd bekend dat het UWV getroffen was door een datalek waarbij 150.000 cv's werden ingezien en mogelijk ook gedownload door een ongeoorloofd persoon. De instantie heeft een melding bij de Autoriteit Persoonsgegevens gemaakt en zegt een aangifte voor te bereiden.

Door Yannick Spinner

Redacteur

14-05-2024 • 16:43

50

Reacties (50)

50
50
33
2
0
11
Wijzig sortering
Ik heb bij het uwv gewerkt en toen al aangekaart dat ik niet snapte waarom werkgevers de optie hebben iedereens cv in te zien en niet alleen die in hun sector werken.

Ik had toen ook gelijk aangegeven dat als een persoon een beetje technische kennis had over tijd de hele cv database leeg zou kunnen trekken.

Er werd in beide gevallen zeer luchtig over gedaan en niet (echt) serieus genomen. Ik ben blij dat ik daar vrij snel (paar maanden) weg was. Dit was een kwestie van tijd voor het een keer zou gebeuren dus sta er niet van te kijken helaas.
Ik zou in jouw geval zeker overwegen dit formeel te melden, dit lijkt me behoorlijk relevante informatie.
Moet er wel een formele melding van zijn gemaakt ipv alleen mondeling 'aankaarten'.
Dit lijkt me relevante informatie om aan de Autoriteit Persoonsgegevens te melden. Als het UWV uitdrukkelijk op dit risico gewezen is en desondanks heeft besloten geen maatregelen te treffen, is dat mijns inziens nog veel kwalijker dan een datalek als een gevolg van een tot dan toe onbekende hackmethode.
Ik vermoed dat je daar inhuur bent geweest dan. Heb het zelf ook al diverse keren meegemaakt bij andere organisaties dat inhuur veel kritischer lijkt te zijn wat betreft AVG correct toepassen / naleven dan vaste medewerkers of de managers.

In een van de gevallen waar ik op klus zat wilde het marketing team veels te veel informatie in de profielen hebben "omdat dat zo gemakkelijk was" terwijl die informatie ook gedeeld werd met de drukker die werkelijk niets met die informatie van doen had omdat het geen adresgegevens betrof. Was haast praten tegen de muur daar :S
Het lijkt me ook schijnbescherming.
Organisaties zoals uitzendbureau's of bemiddelingsbureau's die veel gebruik maken van deze gegevens willen natuurlijk alle functies in kunnen zien.

Het UWV heeft monitoring ingesteld en weet dus wie de CV's gedownload heeft en doet aangifte.
Dat is al een goed manier om misbruik aan te pakken.
Ik dacht ook dat ze downloadlimieten hadden van aantallen CV's per tijdseenheid maar mogelijk is dat niet juist of zijn deze met een truuk omzeild.
Dat ze mensen gaan informeren is uiteraard netjes, maar aan de andere kant ook niet meer dan normaal lijkt me. En volgens mij is het zelfs bij wet verplicht, of is dat niet zo?

Echter, wat ik belangrijker vind: wat gaat UWV concreet doen om schade te voorkomen (of te herstellen) die door hun fout wordt veroorzaakt, van mensen wiens prive-gegevens nu (potentieel) in verkeerde handen gevallen zijn. Met alle mogelijke gevolgen, zoals identiteitsfraude etc als resultaat?

Ze gaven immers aan te weten wie erachter zit. Dan kunnen ze in samenwerking met die persoon de schade dus ook op zijn minst beperken? Of moeten de mensen van wie de gegevens gelekt zijn het basically zelf maar uitzoeken? Want dan kan je al raden dat er mensen gedupeerd gaan worden...
De wet geeft vooral beperkt verplichtingen tot op tijd beveiligen en melding bij de toezichthouder doen.
De verplichting is niet dat men slachtoffers hoe dan ook maar moet informeren of zelfs helpen na een lek.
Die 'vrijheid' legt de wetgever vooral bij de slachtoffers, terwijl die vaak nauwelijks tot geen inhoudelijke informatie over het bestaan of de oorzaken krijgen. En probeer als slachtoffer maar eens je schade te beperken of verhalen op de bedrijven, organisaries of de daders met dit soort gebrekkige mogelijkheden. Waarbij het toezicht de slachtoffers ook nauwelijks helpt bij melding van enorme en kleine lekken. Het heeft er meer van weg dat de wetgever de veroorzakers zo veel mogelijk weg probeert te laten komen.

[Reactie gewijzigd door kodak op 23 juli 2024 00:12]

"Of moeten de mensen van wie de gegevens gelekt zijn het basically zelf maar uitzoeken?"
Daar ga ik tegenwoordig gemakshalve maar van uit.
Dat is het probleem met datalekken - geleden schade aantoonbaar maken is bijna onmogelijk. Dan moet je als slachtoffer het aannemelijk maken dat je data precies bij dát specifieke lek buit is gemaakt én misbruikt. Het kan goed zijn dat (deel van) die data al eens eerder via een ander lek op straat kwam. Even een check op https://haveibeenpwned.com/ en met een beetje pech was je al de klos.

overheid.nl zegt het volgende over de meldplicht van datalekken;
Op 1 januari 2016 gaat de meldplicht datalekken in. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) onverwijld een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En in een aantal gevallen moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Het ligt dus aan de ernst van het lek of er een meldplicht is naar de slachtoffers. Het UWV 'downplayde' de ernst van dit lek al vanaf het moment dat het naar buiten kwam. Dat ze dus pas zo laat mensen zijn gaan informeren is voor mij geen verbazing.
Alleen het UWV kennende gaat hier nog een flinke tijd overheen om überhaupt iedereen in te lichten, in principe moet iedereen zo spoedig mogelijk op de hoogte worden gesteld, anders is het kwaad al lang geschied.

Zelden zo'n logge instantie meegemaakt als het UWV. Er is daar een chronisch personeelstekort en heel veel moet nog altijd op papier worden afgedragen en handmatig worden ingevoerd omdat de systemen stammen uit het jaar 0. Het is natuurlijk makkelijk om af te geven op het UWV, maar het is daar wel zo'n puinhoop. Als ze dit zelf moeten oplossen dan verwacht ik dat kwaadwillenden al lang en breed misbruik hebben gemaakt van de situatie.

[Reactie gewijzigd door MadDogMcCree op 23 juli 2024 00:12]

Dat ze mensen gaan informeren is uiteraard netjes, maar aan de andere kant ook niet meer dan normaal lijkt me. En volgens mij is het zelfs bij wet verplicht, of is dat niet zo?
Dat is in de AVG inderdaad geregeld. Als er persoonsgegevens zijn uitgelekt die niet encrypted zijn, is een organisatie verplicht om - buiten het waarschuwen van de AP - de gebruikers in te lichten
Ja sinds de lek ben ik al een paar keer telefonisch benaderd. Ik trapte er bijna in.
150.000 cv's ingezien door 1 persoon. Zou het? Stel dat je per cv 1 minuut nodig hebt. Dat is dan 150.000 minuten = 2500 uur = 312 dagen van 8 uur.
Inzien is niet hetzelfde als lezen! Deze persoon heeft toegang gekregen tot al die cv's en ze mogelijk ook gedownload. Dan is je privacy geschonden. Wat die persoon precies met die gegevens deed (dus nauwkeurig gelezen of zo) is niet duidelijk
Dat is als je uitgaat van real-time lezen ja, maar daar wordt niet over gesproken.

Het kan ook zijn gedownload voor latere analyse (handmatig of door (AI-)tools etc) natuurlijk.
Je kunt er wel van uit gaan dat dit gewoon scripted is gebeurd. Met 1 request per seconde ben je 'n dag of twee bezig (en best kans dat het veel sneller kan). Dat al die CVs (nog) niet daadwerkelijk door een mens gelezen zijn, maakt niet uit. Het feit dat een ongeauthoriseerd persoon er toegang toe heeft gehad, maakt dat je ervan uit moet gaan dat de informatie uit die CVs op straat ligt.
Wel, ik vermoed dat iemand zijn eigen search queries op de cv’s wilde loslaten, omdat hij met de trefwoorden er niet uitkwam.
Wat gaat UWV doen om dergelijke datalekken in de toekomst te voorkomen?

[edit]
Waar ik naar op zoek ben is iets zonder marketingspeak. Dat hoeft echt niet complex of lang te zijn. Bijvoorbeeld "Wij passen vanaf nu rate limiting toe, zodat niet een enkele mafketel 150.000 records kan ophalen. Verder wordt er gemonitord en ingegrepen op het bijzonder veel ophalen van records binnen een bepaalde periode."

[Reactie gewijzigd door The Zep Man op 23 juli 2024 00:12]

Wordt dat dan niet uitgelegd in de brief die de benadeelde ontvangen?
Staat trouwens ook niet op de website van het UWV.

[Reactie gewijzigd door PKNManiac op 23 juli 2024 00:12]

Waarom zouden alleen benadeelden moeten weten wat UWV gaat doen om de gegevens van iedereen (van vroeger en nu) via werk.nl te beschermen?
Als je de website ziet dan ben ik daar ook benieuwd naar, alles werkt traag, is onoverzichtelijk en de website ligt er meerdere keren per week uit. (Naast het gebruikelijke regelmatige onderhoud)
Het UWV kennende zullen ze de boel alleen maar bureaucratischer maken. Het zal wel zoiets zijn als voortaan moet iemand die een record wil opvragen eerst op drie verschillende kleuren papier schriftelijke toestemming aanvragen.

Ik ken mensen die zeggen dat slechts 1/3e van het personeel van het UWV daadwerkelijk iets nuttigs doet en dat je de andere 2/3e kan onderverdelen in 2 groepen, de ene groep houdt de andere groep aan het "werk" en de andere groep houdt op haar beurt de ene groep aan het "werk".

Probeer maar eens iets te regelen met het UWV waar ze geen formulier voor hebben. Je krijgt alleen maar antwoorden als "u moet dit formulier invullen" en dat antwoord verandert niet. Zelfs niet als je kan onderbouwen waarom dat formulier niet van toepassing is en dat je geen valsheid in geschrifte wil plegen.
Tsja, wat kan je doen om dit soort 'lekken' te voorkomen? Een lek is in mijn optiek een achterdeurtje of onbeveiligde database o.i.d. In elk geval iets waar je moeite voor moet doen om gegevens te bemachtigen. Daar kan je wellicht iets aan doen.
In dit geval is het volgens mij iemand die met de inloggegevens van een UWV medewerker lekker aan het snuffelen is geslagen. Om dat soort misbruik van inloggevens te voorkomen zou je MFA kunnen gebruiken, maar ik geloof dat dat ook al niet meer afdoende is. Of het is een medewerker die wat bijbeunt en rustig allerlei gegevens verzameld, na een paar jaar ontslag neemt en dan de boel te gelde gaat maken....
In dit geval is het volgens mij iemand die met de inloggegevens van een UWV medewerker lekker aan het znuffelen is geslagen
Hoe weet jij dat het via inloggegevens is gebeurd, en niet via een bug of een lek oid? Want zover ik me kan herinneren is dat helemaal niet openbaar gemaakt?
Of het is een medewerker die wat bijbeunt en rustig allerlei gegevens verzameld, na een paar jaar ontslag neemt en dan de boel te gelde gaat maken....
Hoe kom je hierbij, want als dit volgens jou het geval is, dan heeft UWV iets verzwegen. In het eerdere artikel stond immers expliciet dit:
Het gaat volgens het UWV niet om een werknemer.

[Reactie gewijzigd door wildhagen op 23 juli 2024 00:12]

Allemaal speculatie van mijn kant. Het gaat ook niet specifiek over het UWV maar om de vraag van @The Zep Man wat je tegen datalekken kunt doen. Mijn conclusie aan de hand van de voorbeelden: weinig.
Waar @The Zep Man vooral op lijkt te doelen is voorkomen dat dergelijke hoeveelheden in korte tijd geraadpleegd kunnen worden. Waar jij het over hebt is meer algemeen, over de lange duur. Er had minimaal gelogd moeten worden lijkt me en een limiet op xx per dag, op databasebeheerders dan na wellicht. Geen enkele normale medewerker of externe partij heeft het nodig om meer dan 100 CV's te bekijken per dag (even realistisch ingeschat), laat staan 150.000. Een normale interne log van wie bekijkt wat voorkom je ook mee dat zoals in jouw voorbeeld iemand eerst een paar jaar CV's gaat verzamelen... want dat is dan allemaal al gelogd en als het goed is ingegrepen.
Helaas zijn mijn gegevens ook uitgelekt, heb hier dan ook een mail van gekregen van het UWV. Ben vandaag al meermaals gebeld door een privé nummer :| . Normaal gebeurd dit vrijwel nooit..

[Reactie gewijzigd door Knorretje- op 23 juli 2024 00:12]

Misschien is het wel het UWV dat je belt, want dat doen ze veelal anoniem:
https://www.nu.nl/economi...em-en-onaangekondigd.html
Uitvoeringsinstantie UWV wil in de toekomst niet meer met een afgeschermd nummer bellen.
'In de toekomst' is een ruim begrip, zeker bij een overheidsinstantie die al meermalen steken heeft laten vallen op technologisch gebied (deze hack, het STAP-debacle, site die er regelmatig uitligt etc.).
Het UWV belt standaard (al jaren) anoniem zonder nummerherkenning.
De reden hiervoor is mij onduidelijk, het antwoord van casemanagers is omdat anders cliënten niet opnemen? Wat is er mis met een algemeen nummer weergegeven?
Uitkeringstrekkers die niet willen werken en liefst altijd onder het zand willen blijven.

Het laatste dat je dan wilt is een belletje van het UWV die achter je broek aan gaat zitten, of anders ...
Ben helaas al een paar keer uittrekker geweest om jouw woorden te gebruiken..

Ervaring heeft mij inmiddels al lang geleerd, afgeschermd nummer, heeft over het algemeen wat te verbergen..
De reden dat er anoniem wordt gebeld is dat er anders een continu stroom aan telefoontjes gepleegd wordt; iets nier duidelijk in de beoordeling, het niet eens zijn, dreigingen, spam. (Ik spreek vanuit de rol als VA). Nu bellen cliënten naar het algemene nummer waarna er een terugbelverzoek wordt aangemaakt, dan kunnen wij bellen als het zinvol is of als we tijd hebben. Ik ben het eens dat voor een “algemeen” nummer kan zijn waarvandaan altijd wordt gebeld wat niet gekoppeld is aan 1 werknemer.
Bellers die anoniem bellen dat is zo jaren 80,90 en past niet bij een organisatie van de overheid verwacht ik meer transparantie, aub gewoon niet meer doen.

Net zoals SMS sturen dat je gebeld word door een anoniem nummer en vervolgens moet de cliënten zijn/haar/hun geboorte datum, BSN nummer, bankrekening, adres, hoogte uitkering opgeven als verificatie.
De gene die dit bedacht heeft snap werkelijks niets van security.
Ik kreeg ook de mail van UWV, maar verder geen rare telefoontjes of mailtjes gehad. Komt vast nog wel.
Ik vraag mij vooral af of de gelekte gegevens online zijn verspreid.

Zo nee dan is dat 1 probleem minder, zo ja dan is iedereen van wie z'n gegevens gelekt zijn de pineut.

Ik word hier ook zo moe van iedere keer, dit zijn erg gevoelige gegevens en dan lekt het zo uit omdat UWV (vrijwel) niks heeft geleerd van de vorige keer.
Ik vraag mij vooral af of de gelekte gegevens online zijn verspreid.
Dat kun je per definitie nooit zeker weten, helaas.

Ook al zegt de dader (als hij veroordeeld is straks) van niet, dan kun je hem niet vertrouwen. Immers, door het stelen van de gegevens heeft hij al laten blijken niet betrouwbaar te zijn.
Zo nee dan is dat 1 probleem minder, zo ja dan is iedereen van wie z'n gegevens gelekt zijn de pineut.
Dat zijn ze sowieso. Bij een hack waar persoonsgegevens gelekt zijn, moet je er uit voorzorg altijd vanuit gaan dat ze op straat/online belanden. En dus voorzorgsmaatregelen nemen, zover mogelijk. Denk aan zaken als extra alert zijn op phishing, scams etc.

Is er dan alsnog niets aan de hand, mooi zo. Maar is het wél gelekt, heb je je iig zover mogelijk ingedekt en voorbereid. Dat kan nooit kwaad.
Ik denk dat die kans klein is.
Er is een functie gebruikt die beschikbaar is voor bedrijven aangesloten op een werkgeverportaal van het UWV.
De dader is vermoedelijk een bedrijfje dat geld verdient aan vacaturebemiddeling of zoiets. Een partij die geld kan verdienen aan kennis over werkzoekenden.
Het UWV weet ook wie de partij is die het gedaan heeft en zal ongetwijfeld die partij al gecontacteerd hebben en waarschuwen niets met deze gegevens te doen.
Ik ben bang dat er weinig zal veranderen, er is weinig verantwoordelijkheidsgevoel bij de overheid als het om dit soort zaken gaat.

Degene van de toeslagen affaire werken ook gewoon nog steeds bij de overheid, en in dit geval zal het niet veel anders worden.
Er zitten vrij weinig tot geen consequenties aan dit soort dingen.

[Reactie gewijzigd door Bender op 23 juli 2024 00:12]

Natuurlijk had Rene Jan Veldwijk dit aan zien komen:

https://www.linkedin.com/...CEn/?originalSubdomain=nl

https://www.computable.nl...-massale-datalek-bij-uwv/

https://www.linkedin.com/...hare:7194795974681067521/

Amper een datalek te noemen. Werk.nl faciliteert heel eenvouding bots die de database kunnen scrapen. Dat is geen lek vind ik. Dat is nalatigheid "by design".
Datalek door nalatigheid is nog steeds een datalek. Komt alleen meer de vraag wie er nu verantwoordelijk voor is. Degene die de mogelijkheid bood of degene die er gebruik van maakte. Zeker als de beheerder al eerder hiervoor door het stof ging, neig ik richting de beheerder.

Het is toch bedroevend als je die artikelen van jouw leest. Dit is ook zo'n mooie zin:
Volgens Veldwijk dateert de software achter Werk.nl uit de vorige eeuw. Modernisering heeft nooit plaatsgevonden.
Kortom werk aan de winkel bij Werk.nl. Scheelt ze hebben een hoop kandidaten die het wellicht kunnen. :/
Windows Iis server 2008.....
Vreemd, want die rewrite is niet meer dan 10 jaar oud.
Bij sommige organisaties is incompetentie een kwaliteit op zich...
Wat ik zelf erg bijzonder vind is dat het dus mogelijk is om zoveel CV's te downloaden. We weten natuurlijk niet in welk tijdsbestek dit gedaan is, maar het moet zeker wel opvallen als er binnen een maand of 2 ineens 75k extra downloads zijn.
Het vorige artikel suggereert in 1 dag. Citaat:
Het incident heeft plaatsgevonden op 4 mei. Toen heeft een gebruiker de 150.000 cv's bekeken, schrijft BN De Stem. Het UWV zegt dat de cv's mogelijk ook gedownload zijn.
Zonder te weten hoeveel downloads er zijn kan je niet stellen dat er buitensporig veel meer zijn gedownload. Het zou best kunnen dat 75k extra een afrondingsfout is (gezien de hoeveelheid bedrijven die schreeuwen om medewerkers hoop ik dat ook).

Op dit item kan niet meer gereageerd worden.