In het tweede kwartaal van 2019 kwam het UWV in ernstige verlegenheid door de diefstal van maar liefst 117.000 cv’s. Een blunder van jewelste, die aantoont dat de organisatie de beveiliging van persoonsgevoelige gegevens nog steeds niet op orde heeft. Ondertussen kunnen de gevolgen voor getroffenen zeer groot zijn. Toch hoeft sterke security niet heel moeilijk te zijn. 

Diefstal van tienduizenden cv’s 
Het datalek ontstond door een hack van een werkgeversaccount op de online portal voor werkzoekenden. Via deze weg wisten kwaadwillenden maar liefst twee weken lang onopgemerkt duizenden cv’s per dag te downloaden. Het feit dat de cybercriminelen zo lang ongemerkt hun gang konden gaan toont aan dat de beveiliging bijzonder ondermaats is. Het incident is bovendien extra pijnlijk omdat het niet de eerste keer is dat het UWV te maken heeft met een datalek. In het verleden is het UWV al vaker op de vingers getikt, waarna de instantie heeft nagelaten de juiste stappen te nemen. Met dit nieuwe incident loopt het UWV opnieuw flinke deuken in het klantvertrouwen op. Ook loopt de instantie het risico op forse boetes voor het niet naleven van de GDPR. 

Grote risico’s voor slachtoffers 
Door het lek zijn veel privacygevoelige gegevens van personen op straat komen te liggen. Denk aan NAW-gegevens, telefoonnummers en e-mailadressen. Deze persoonsgegevens kunnen voor allerlei malafide acties worden ingezet. In berichtgeving naar getroffenen meldt het UWV bijvoorbeeld dat men de komende tijd extra alert dient te zijn op phishing-mails. Telefoonnummers kunnen worden ingezet voor allerlei oplichtingspraktijken, zoals helpdeskfraude. In extreme gevallen kunnen persoonsgegevens zelfs worden gebruikt voor identiteitsdiefstal. Het zijn allemaal zaken die verregaande consequenties kunnen hebben voor slachtoffers van het datalek, en de continuïteit van organisaties. 

Zo breng je je beveiliging op orde 
Organisaties die werken met privacygevoelige gegevens zouden hun uiterste best moeten doen om de veiligheid ervan optimaal te houden. Dat dat niet altijd even makkelijk is, is geen excuus. Onder de GDPR ben je verplicht de nodige maatregelen te treffen. Door je security simpelweg uit te besteden kun je al een hoop ellende voorkomen. Organisaties hoeven zich hierdoor niet zelf bezig te houden met beheer en onderhoud. Dit wordt achter de schermen automatisch en structureel geregeld. Organisaties weten hierdoor zeker dat zij altijd zijn verzekerd van up-to-date beveiliging op professioneel niveau. Het risico op gênante flaters zoals het datalek bij het UWV wordt daardoor al een stuk kleiner.