Illegale dataverzameling door UWV groter dan gedacht, bezoekers werden langdurig gevolgd

Gepubliceerd op 26/07/2023 10:00 in Binnenland

Uit onderzoek van de NOS blijkt dat het UWV (Uitvoeringsinstituut Werknemersverzekeringen) illegaal data verzamelde van uitkeringsgerechtigden op een veel grotere schaal dan tot nu toe gedacht. De uitkeringsinstantie volgde bezoekers gedurende langere tijd door middel van cookies, waarmee bezoeken van mensen op hetzelfde apparaat aan elkaar gekoppeld konden worden, zelfs als de bezoekers niet inlogden. Dit nieuws komt bovenop het eerdere onderzoek van Nieuwsuur en de NOS, waaruit bleek dat het UWV illegaal onderzoek deed naar uitkeringsontvangers die zonder geldige reden in het buitenland verbleven.

Tot nu toe beweerde het UWV dat het alleen "sessiecookies" plaatste, die doorgaans één bezoek meegaan. Maar nu blijkt dat één van de gebruikte cookies veel langer meeging, tot wel een halfjaar. Hierdoor konden bezoeken die tot een halfjaar uit elkaar lagen, aan elkaar worden gekoppeld. Zelfs als bezoekers tijdens een bepaald bezoek niet inlogden, konden ze later via hun DigiD-login worden geïdentificeerd en werden alle bezoeken op een bepaald apparaat aan hen gekoppeld.

Het UWV weigert echter in te gaan op de vraag of de data veel langer worden opgeslagen dan eerder is gemeld. Volgens de instantie hangt de levensduur van de cookies af van het doel ervan.

Politici reageren geschokt op het nieuws. Tweede Kamerlid Hind Dekker-Abdulaziz (D66), die samen met Denk recentelijk Kamervragen stelde over het onderwerp, noemt de praktijken van het UWV buitenproportioneel en in strijd met de privacywetgeving. Beleidsadviseur Nadia Benaissa van burgerrechtenorganisatie Bits of Freedom vergelijkt de situatie met "het Wilde Westen" en stelt dat het UWV weinig respect heeft voor de privacywetgeving. Advocaten uiten ook hun zorgen. Anton Ekker, die eerder succesvol procedeerde tegen fraude-algoritmes, noemt de illegale dataverzameling "geheime surveillance" en benadrukt dat het langer volgen van individuen de inbreuk op de privacy ernstiger maakt.

Het UWV heeft het systeem eind vorig jaar stilletjes stopgezet na kritiek van de advocaat van de overheid. Kamerlid Dekker vraagt zich af waarom de Tweede Kamer hier niet duidelijker over is geïnformeerd.

Voormalig uitkeringsontvanger Evert (niet zijn echte naam) heeft persoonlijke ervaring met het volgsysteem van het UWV. Hij ontving een brief waarin hij ervan werd beschuldigd zonder geldige reden in het buitenland te hebben verbleven. Evert bekent dat dit inderdaad zo is, maar legt uit dat hij af en toe bij zijn vriendin in Duitsland verbleef en snel weer terug zou zijn als dat nodig was. Tot zijn verbazing ontdekte Evert dat veel van de bezoeken aan UWV.nl en Werk.nl waarvan het UWV bewijs had, plaatsvonden zonder dat hij inlogde. Hij dient bezwaar in en vraagt het UWV hoe ze deze bezoeken aan hem kunnen koppelen. Heeft het UWV hiervoor volgcookies gebruikt? Het UWV ontkent dit en vermeldt het volgsysteem niet in de communicatie met Evert. Zelfs nadat Evert een boete van 2500 euro opgelegd kreeg, wordt het systeem niet genoemd en krijgt hij de boete terug omdat het UWV niet met zekerheid kan vaststellen of hij via DigiD heeft ingelogd.

De Autoriteit Persoonsgegevens noemt deze gang van zaken zorgelijk en heeft het UWV al eerder opgeroepen om verantwoording af te leggen. Een gesprek tussen beide partijen staat gepland.