UWV: Kroniek van een faalfabriek, deel 20 – Data. Data. Data voor iedereen
Dit is deel 20 van het feitenfeuilleton UWV: Kroniek van een faalfabriek. Hierin beschrijft database doctor @René Veldwijk van binnenuit zijn ervaringen met het UWV. Lees HIER de introductie, inclusief een lijst met afleveringen en personages.
Eerste halfjaar 2008
Ooit, ergens in de jaren '90, is de complete basisadministratie van UWV-voorganger GAK gestolen. Degene die dat heeft gedaan zal er een smak geld aan hebben overgehouden, want de buit bestond uit de persoonsgegevens en de dienstverbanden van de helft van de werkende bevolking van Nederland. Natuurlijk bleef dit schandaal onder de pet.
Nu, in 2008, is de potentiële buit veel groter. Van bijna iedereen die werkt of een uitkering of pensioen ontvangt, hebben we de persoonsgegevens plus de maandelijkse inkomsten. Zelfs mijn tienerdochter die zaterdags bij de bakker werkt, staat erin. Wie deze goudmijn achteroverdrukt en aan de hoogste bieder verkoopt, kan vele miljoenen scoren. Inbrekers, chanteurs, geheime diensten (1, 2, 3, …), bedrijfsspionnen, echtscheidingsadvocaten, journalisten, marketeers – voor Jan en alleman zijn deze data goud waard.
Ik zie tientallen mensen die deze data voor het grijpen hebben. Eén criminele, verslaafde of chantabele insider is genoeg. En wat ik zie is slechts het topje van de ijsberg, want overal wordt gewerkt met kopieën. Dat het UWV dit laat gebeuren is beangstigend. Ook ik heb in de wilde tijd onbeveiligde CD-ROMS in brievenbussen gedeponeerd, maar nood brak wet en die tijd ligt achter ons.
Ik begin met mijn eigen straatje schoon te vegen. Eens zie ik dat een onbekende bezig is om een dump te maken van de tabel met personen. Ik zoek uit wie het is en vind iemand die bezig zegt te zijn met een performancetest. Als ik zeg dat het verdomd veel lijkt op een poging tot datadiefstal wordt het leegtrekken afgebroken. Ik bluf dat wij alles zien dat er gebeurt en vertrek. Het is natuurlijk dweilen met de kraan open. Er lijkt nauwelijks enig besef te zijn van het belang van privacy, zelfs niet bij de toezichthouder, de Inspectie Werk en Inkomen (IWI).
Weer is het onze database-expert Maarten die de zaken goed regelt. Hij zorgt dat alle vormen van ad hoc toegang tot de data worden opgeslagen in een logbestand en houdt er zelf, natuurlijk als enige, een oogje op. Ik begrijp ook dat IBM intern wél strak monitort wie wat met welke data doet en dat er soms mensen worden ontslagen. Helaas is IBM een Amerikaans bedrijf dat valt onder de Patriot Act en de data buiten Nederland registreert. Als ze bij de NSA weten wat we hier aan data hebben en wat je ermee kan doen voor homeland security dan zijn die data op zeker geript. Maar bijna niemand in Den Haag boeit dat en daarom boeit het bij het UWV evenmin.
Alleen de Belastingdienst doet iets om persoonsgegevens te beschermen. Die levert een VIP-tabel met daarin personen van wie we de gegevens niet mogen doorgeven. We horen dat daarover eindeloos is onderhandeld en gesteggeld: honderden, zoniet duizenden ambtelijke overleguren zitten er naar verluidt in. Natuurlijk wil iedereen weten wie die VIPs zijn. Het blijkt te gaan om een paar honderd mensen: het koninklijk huis, bewindspersonen, fractievoorzitters en hun partners. Het is zowel een bron van grappen als van ruzie. Dat het inkomen van premier Balkenende, bekend van de gelijknamige Balkenende-norm, geheim is, evenals de AOW-uitkering (een volksverzekering) van onze vorstin, werkt op de lachspieren. Minder leuk is dat ons wordt verboden om de loongegevens van deze VIPs aan wie dan ook door te geven. Ik weiger ronduit om mij daaraan te houden. Als wij de gegevens van deze mensen niet doorgeven aan de Belastingdienst of de SVB dan krijgen ze geen toeslagen, geen WW en geen AOW. Tegelijk regelen we dat het UWV zijn “VIPs” kan registreren. Zo zorgen we ervoor dat we nooit adresgegevens doorgeven van mensen die worden bedreigd. Ik regel het in overleg met de beroeps-nekuitsteker Hans Tromp.
Wat we ook doen is ervoor zorgen dat bij alle gegevensleveringen en inkijkacties wordt vastgelegd voor of door wie dat gebeurt, en wiens gegevens er met welk programma worden geraadpleegd. Niemand vraagt daarom, maar het is een kwestie van hygiëne en fatsoen en bovendien verplicht voor de officiële basisregistratie die de polisadministratie moet worden. Omdat er niemand interesse heeft in wat er met de data gebeurt doe ik zelf een test. Ik zoek enkele tientallen BN'ers op en kijk of ze worden geraadpleegd: Katja Schuurman, 'Terror Jaap', Floortje Dessing, de EK-Voetbal 2008 selectie, de UWV-top, enzovoorts. In enkele weken tijd blijken de gegevens van de meeste BN'ers te zijn bekeken, terwijl niemand belangstelling heeft voor de UWV-top. Vooral voetballer Urby Emanuelson blijkt populair onder ambtenaren.
Ik stuur een mail naar het management met een overzicht van bepotelde BN'ers. Het leidt tot mijn eerste en enige inhoudelijke confrontatie met Diantha C., onze nieuwe directeur. Diantha heeft iemand meegenomen van het UWV Integriteitsbureau, de afdeling die erop toeziet dat UWV'ers integer handelen. Ze neemt dit duidelijk serieus. Mooi zo!
Het loopt anders. Diantha en de integriteitsman laten mij weten dat het UWV niet geamuseerd is. Ik krijg te horen dat ik de privacy van de UWV-medewerkers heb geschonden. En ook het UWV-beleid dat ervan uitgaat dat UWV-medewerkers altijd integer handelen. Ik ben zo verbijsterd dat ik geen woord weet uit te brengen. Als ik mij herstel zeg ik dat de integriteitsbewaking bij UWV eenvoudiger is dan ik dacht, maar dat de gegevens ook massaal door niet-UWV ambtenaren worden geraadpleegd. Dat laatste blijkt totaal irrelevant. Het is geen UWV-taak. Diantha en de integriteitsman zijn kennelijk ook onzeker, want ik krijg geen instructies en geen berisping. Ik verwacht dat Diantha mij via haar managementbuffers gaat opdragen om de logging weer uit de polisadministratie te slopen, maar dat gebeurt niet. De digibete Diantha moet zo'n opdracht natuurlijk formuleren en via haar buffers uitzetten. Wellicht kan ze dat niet en anders is ze slim genoeg om dit soort opdrachten niet op papier te zetten.
Ikzelf ben ondertussen door haar op het spoor gezet om eens te kijken hoe er buiten het UWV met onze gevoelige data wordt omgegaan. Ik sta nu op het punt om te leren dat de wantoestanden bij het UWV niet alleen voortkomen uit incompetentie en luiheid, maar soms vooropgezet beleid zijn.
Naschrift: Met de AVG in de hand kan iedere (bekende) Nederlander vragen wanneer, waarvoor en door wie er naar zijn of haar gegevens in de polisadministratie is gekeken. Minister Koolmees kan daar natuurlijk ook opdracht toe geven. Als een dergelijk onderzoek ooit systematisch en eerlijk [!] gebeurt, dan wacht duizenden ambtenaren een douw en verdwijnen er nagenoeg zeker criminele ambtenaren achter de tralies.
De "data grabbelton" is grotendeels verdwenen en daarmee is de kans op grootschalige datadiefstal in bulk verminderd. Ook binnen het UWV is de aandacht voor gegevensbescherming toegenomen, zij het niet bij de divisie Gegevensdiensten die daarvoor primair verantwoordelijk is. En zoals zal blijken is ook dat laatste UWV-beleid.
Reaguursels
Dit wil je ook lezen
De verborgen ict-ramp van Hugo de Jonge
Datadoctor Rene Jan Veldwijk (bekend van deze serie) duidt 'misschien wel de ergste ict-faal ooit'
Oud-directeur CPB: "Zeg je baan op, neem een uitkering + 88 toeslagen & you'll be happy"
Coen Teulings over de Zeis der Nivellering van Rutte 1234
Officieel: Niemand kan nog personeel krijgen
Dus u wacht op alles
Burgers profiteren eindelijk van UWV-blunders
Geluksvogels mogen gratis geld houden.