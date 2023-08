Het UWV-kantoor in Rotterdam in 2021. Beeld ANP / Peter Hilz

Dat blijkt uit interne documenten die de NOS verkreeg met behulp van de Wet open overheid. De omroep onthulde ruim twee weken geleden dat het UWV illegaal data verzamelde van uitkeringsgerechtigden. Dat deed het door middel van zogenoemde cookies, kleine bestandjes die tijdens het surfen op de computer en telefoon worden opgeslagen. Websites onthouden op die manier wie iemand is, zodat bijvoorbeeld niet telkens opnieuw hoeft te worden ingelogd.

Sinds de ‘cookiewet’ moeten websites expliciet toestemming vragen voor het plaatsen van cookies. Dat gebeurt via een zogeheten consentmanager, vaak in de vorm van een pop-up. Omdat het UWV websitegebruikers niet om toestemming vraagt voor het gebruik van de gegevens, voldoet de uitkeringsinstantie ‘al geruime tijd niet aan de vereisten van de Telecommunicatiewet en de AVG’. Uit de interne documenten blijkt dat de interne toezichthouder al sinds 2020 waarschuwt voor privacyschendingen.

Locatiegegevens

Het gaat niet slechts om een administratieve fout. Over een periode van negen maanden tussen 2019 en februari 2023 werden data ook gebruikt om fraudeurs op te sporen. Het UWV verzamelde via cookies de locatiedata van uitkeringsgerechtigden. Wie zich buiten Nederland bevond wanneer ze inlogden op een UWV-website, kon nader worden onderzocht.

Ook deze methode kon rekenen op kritiek van de interne toezichthouder. In oktober 2022 constateerde hij dat de locatiedata ‘onrechtmatig verkregen gegevens’ zijn. ‘Het gebruik van grootschalig, heimelijk en onrechtmatig verkregen locatiegegevens moet per direct gestaakt worden.’ Ook onderstreept hij nog eens dat de uitkeringsinstantie ‘onrechtmatig cookies’ blijft inzetten.

Kort daarna schakelde het UWV een extern advocatenkantoor in. Dat onderschreef de bevindingen van de toezichthouder. In februari van dit jaar maakte de uitvoeringsinstantie een einde aan de gewraakte methode. Nog diezelfde maand werd ook de consentmanager geïmplementeerd.

Spijt

Dat het invoeren van deze functionaliteit, dat al jaren door grote en kleine websites wordt toegepast, ruim twee jaar duurde, noemt een UWV-woordvoerder ‘inderdaad erg lang’. Dat komt door ‘technische problemen’, maar ‘het heeft intern ook onvoldoende prioriteit gekregen’.

De woordvoerder herhaalt dat het ‘ons enorm spijt. UWV is een publieke dienstverlener en wij stellen hoge eisen aan onze rol. Wij willen zorgvuldig handelen en dat is ons in dit geval niet gelukt. Dat vinden we echt heel vervelend.’

De ‘ruim 580’ fraudeurs die het UWV gedurende de negen maanden wist op te sporen, worden volgens de woordvoerder niet gestraft. Het UWV zet de fraude-opsporingsmethode ook niet meer in. ‘We hebben de risicoscan uitgezet omdat een onderdeel onrechtmatig was. Bovendien vervalt de effectiviteit van de maatregel als te veel mensen weten, doordat we toestemming vragen, dat we via cookies een locatie in de gaten houden.’