Onderzoek onthult dat UWV bezoekers langer heeft gevolgd dan verwacht
Gepubliceerd op 26/07/2023 20:00 in Tech
Uit een onderzoek van de NOS blijkt dat het UWV illegaal gegevens heeft verzameld en bezoekers gedurende langere tijd heeft gevolgd. Dit gebeurde door middel van cookies, waarmee het UWV bezoeken van mensen op hetzelfde apparaat aan elkaar kon koppelen, zelfs als bezoekers niet waren ingelogd. Eerder onderzoek, in samenwerking met Nieuwsuur, wees al uit dat het UWV illegaal data van uitkeringsgerechtigden verzamelde om te controleren of zij zonder geldige reden in het buitenland verbleven, wat verboden is.
Het UWV beweerde tot nu toe dat het alleen "sessiecookies" plaatste die normaal gesproken slechts één bezoek meegaan. Echter, één van de cookies bleef veel langer actief, tot wel een half jaar. Hierdoor konden bezoeken die plaatsvonden met een tussenpoos van een half jaar aan elkaar gekoppeld worden.
Dit betekende dat bezoekers ook gevolgd konden worden als ze tijdens een bezoek niet inlogden op UWV.nl of Werk.nl. Zodra ze inlogden via DigiD, werden alle bezoeken op een bepaald apparaat aan hen gekoppeld. Het UWV weigert in te gaan op de vraag of de data langer worden opgeslagen dan voorheen gemeld.
Het nieuws heeft tot verontwaardiging geleid in de Tweede Kamer. Kamerlid Hind Dekker-Abdulaziz van D66 noemt het buitenproportioneel en in strijd met privacywetgeving. Volgens Nadia Benaissa, beleidsadviseur van burgerrechtenorganisatie Bits of Freedom, doet deze praktijk denken aan het Wilde Westen. Advocaten Anton Ekker en de overheid hebben eerder succesvolle procedures gevoerd tegen fraude-algoritmes en zij vinden de inbreuk op de privacy nog ernstiger dan gedacht.
Het UWV heeft het systeem begin dit jaar stopgezet na kritiek van de advocaat van de overheid. Kamerlid Dekker vraagt zich af waarom de Tweede Kamer niet beter is geïnformeerd over deze kwestie.
Voormalig uitkeringsontvanger Evert, een fictieve naam, is zelf ook betrokken geweest bij het systeem. Hij ontving een brief van het UWV waarin hij ervan werd beschuldigd zonder geldige reden in het buitenland te hebben verbleven. Evert geeft toe af en toe bij zijn vriendin in Duitsland te zijn geweest, maar hij dacht dat hij altijd snel terug kon keren naar Nederland als dat nodig was. Het UWV beschikt echter over een uitgebreide lijst met bezoeken van Evert aan UWV.nl en Werk.nl, zowel vanuit Nederland als vanuit het buitenland. Opvallend is dat Evert bij veel van deze bezoeken niet eens was ingelogd. Hij dient bezwaar in en vraagt het UWV hoe zij de bezoeken aan hem hebben gekoppeld. Gebruikt het UWV hiervoor volgcookies?
Het UWV heeft Evert nooit verteld over het gebruik van volgcookies. Sterker nog, een opgelegde boete van 2500 euro wordt hem teruggegeven omdat het UWV niet met zekerheid kan vaststellen dat hij had ingelogd via DigiD. Het volgsysteem dat het UWV speciaal heeft opgezet om niet-ingelogde bezoekers te volgen, wordt niet genoemd.
Ook in andere communicatie tussen het UWV en cliënten wordt het volgsysteem niet vermeld. De Autoriteit Persoonsgegevens noemt dit een zorgelijk probleem en heeft het UWV al eerder op het matje geroepen. Een gesprek tussen beide partijen staat op de planning.