Het UWV is een dienstverlener én gegevenspakhuis. Dat brengt uitdagingen met zich mee. “We zoeken steeds naar de balans tussen informatieveiligheid en de ruimte om goed ons werk te doen”, zegt José Lazeroms, lid van de Raad van Bestuur van het UWV.
José Lazeroms, UWV: “Als een burger ons om zijn gegevens vraagt, sturen we die niet zomaar via de e-mail.”
Veel mensen beseffen niet dat UWV gegevens over de dienstverbanden, het loon, pensioen en de uitkering van 14 miljoen Nederlanders in bewaring heeft. UWV verstrekt deze gegevens aan organisaties die daar vanuit een wettelijke titel recht op hebben. Daarnaast beschikt UWV voor ruim een miljoen burgers over gegevens voor de uitvoering van de sociale verzekeringswetten door UWV. Via het Bureau Keteninformatisering Werk & Inkomen (BKWI) worden de inkomens- en uitkeringsgegevens van burgers gedeeld met andere overheidsorganisaties. BKWI werkt als een apart en herkenbaar organisatieonderdeel van UWV in opdracht van het Ministerie van Sociale Zaken en Werkgelegenheid.
Interne balans en bewustwording
“Juist omdat we verantwoordelijk zijn voor zo’n pakhuis aan gegevens, is het onze plicht om daar zeer zorgvuldig mee om te gaan”, zegt José Lazeroms. “Tegelijkertijd zijn we dienstverlener, die ervoor zorgt dat mensen bij werkloosheid, ziekte en arbeidsongeschiktheid van inkomen verzekerd zijn en dat ze – indien mogelijk – ondersteund worden in hun zoektocht naar werk. Om dat goed uit te voeren, moeten onze medewerkers de noodzakelijke gegevens kunnen inzien. De uitdaging is om steeds weer te bepalen wat onze medewerkers nodig hebben én wat ze niet nodig hebben om hun werk te doen. We werken continu aan de interne bewustwording over informatieveiligheid en privacy. We voeren daarvoor met enige regelmaat bewustwordingsprogramma’s uit en werken aan een e-learningmodule, waarbij medewerkers kunnen leren hoe ze met bepaalde situaties om moeten gaan. Als een burger ons bijvoorbeeld vraagt om zijn gegevens te sturen, dan doen we dat niet zomaar via de e-mail. Onze medewerkers moeten dat weten. En natuurlijk moeten ze ook letten op kleine dingen: niet je memorystick overal mee naar toe slepen, laptop uit de auto halen, geen open WiFi-kanalen gebruiken.”
Doelbinding staat voorop
Zo bewust als er intern met gegevens wordt omgegaan, zo bewust wordt er ook mee omgegaan bij het verstrekken van informatie aan derden. “We hebben een afdeling die de kaders schept en dient als filter voor alle verzoeken om gegevensverstrekking. Doelbinding en proportionaliteit staan bij de beoordeling altijd voorop: dienen de gegevens het doel en hoeveel gegevens zijn daadwerkelijk nodig? Zo krijgen we wel eens verzoeken tot het verstrekken van medische gegevens, terwijl wij die niet over mogen dragen. Of een vraag over iemands inkomen, waar we geen uitspraak over mogen doen. Dat wil niet zeggen dat we niets kunnen doen. Als we met elkaar doorpraten over waar de informatie voor nodig is, kunnen we misschien helpen zonder de privacy te schenden. Door bijvoorbeeld alleen aan te geven of iemand nog wel bepaald werk kan doen. Of door alleen mee te geven dat het inkomen boven of onder een bepaalde grens zit.”
Kennis en kunde delen
Samenwerken en kennisdelen zijn onmisbaar, vindt Lazeroms. “Er blijft een tegenstelling tussen mensen die werken aan privacy- en informatieveiligheid en mensen die dienstverlening bieden. De eersten willen het liefst alles op slot, de tweede groep wil overal toegang toe. Dat geldt in alle organisaties en het is aan ons om te zorgen voor het juiste evenwicht. Vaak is dat maatwerk. Zo is er nu binnen het UWV het project Veilige Digitale Communicatie. Burgers willen ons soms (privacygevoelige) informatie mailen, maar de gewone (onbeveiligde) email is voor ons niet veilig genoeg. We richten het dus nu zo in dat we wel gemaild kunnen worden, maar dat we antwoorden via een notificatie in de MijnOverheid Berichtenbox. Een dergelijke oplossing kost tijd, geld en energie en juist daarom moeten organisaties elkaar helpen. Ruud de Vries (wethouder van de gemeente Vlaardingen) wil graag weten welke wetgeving wat mij betreft zou moeten worden aangescherpt. Mijn antwoord is dat ik het niet zoek in wetgeving maar veel meer zoek in samenwerking. Zoals binnen het Centrum Informatiebeveiliging en Privacybescherming (CIP), waarin we zoveel mogelijk kennis en kunde op het gebied van iBewustzijn delen met publieke én private partners.”
Hoe doen waterschappen het?
Ook waterschappen zijn betrokken bij het platform CIP. “Zij beschikken over veel gegevens als het gaat om het waterbeheer. Ik kan me voorstellen dat daar gevoelige zaken bij zitten, zoals waterkwaliteit. Aan de ene kant moeten waterschappen zorgen voor veilige gegevensbescherming, aan de andere kant moeten ze snel veel mensen kunnen informeren als er iets fout gaat. Ik wil graag weten van dijkgraaf Michiel van Haersma Buma, Hoogheemraadschap van Delfland hoe zij dat hebben geregeld.”
Dit verhaal is onderdeel van een reeks artikelen over informatiebewustzijn.