NOS Nieuws•
-
Joost Schellevis
redacteur Tech
-
Hatixhe Raba
redacteur Binnenland
-
Joost Schellevis
redacteur Tech
-
Hatixhe Raba
redacteur Binnenland
De illegale dataverzameling van het UWV ging verder dan gedacht. De uitkeringsinstantie volgde bezoekers gedurende langere tijd: met cookies kon het UWV bezoeken van mensen op hetzelfde apparaat aan elkaar koppelen, ook als bezoekers niet eens inlogden. Dat blijkt uit onderzoek van de NOS.
Tot nu toe suggereerde het UWV dat het “sessiecookies” plaatste die doorgaans één bezoek meegaan. Een van de gebruikte cookies ging echter veel langer mee, tot een halfjaar. Dat bevestigt het UWV nu. Daardoor zouden bezoeken die tot een halfjaar uit elkaar lagen, aan elkaar kunnen worden gekoppeld.
Dat maakte het mogelijk om bezoekers ook te volgen als ze tijdens een bepaald bezoek niet eens inlogden op UWV.nl of Werk.nl. Als ze eenmaal inlogden via DigiD konden alle bezoeken op een bepaald apparaat aan hen worden gekoppeld.
Het UWV gaat niet in op de vraag of de data veel langer worden opgeslagen dan eerder is gemeld. “Er zijn cookies met een korte levensduur en andere hebben juist een lange levensduur. Dat hangt helemaal af van het doel van de cookie”, laat de instantie in algemene bewoordingen weten.
Wilde Westen
“Ik schrik hier enorm van”, zegt Tweede Kamerlid Hind Dekker-Abdulaziz (D66), dat gisteren samen met Denk over het onderwerp nog Kamervragen stelde. “Dit lijkt volledig buitenproportioneel en druist compleet in tegen privacywetgeving.”
Beleidsadviseur Nadia Benaissa van burgerrechtenorganisatie Bits of Freedom zegt dat de praktijk doet denken aan het Wilde Westen. “Dat ze deze cookies ongegeneerd zo langdurig inzetten, geeft wat ons betreft aan dat het UWV zich weinig aantrok van privacywetgeving.”
“Dit komt neer op geheime surveillance”, zegt advocaat Anton Ekker, die eerder succesvol tegen fraude-algoritmes procedeerde. “Hoe langer je iemand in de gaten houdt, hoe ernstiger de inbreuk, dus dit is nog erger dan gedacht.”
Het UWV zette het systeem begin dit jaar stilletjes stop, na kritiek van de advocaat van de overheid. Kamerlid Dekker wil van de minister weten waarom de Tweede Kamer daar niet duidelijker over is geïnformeerd.
Voormalig uitkeringsontvanger Evert (niet zijn echte naam) heeft ervaring met het systeem. Bij hem plofte een brief op de mat, omdat het UWV hem ervan verdacht dat hij zonder geldige reden in het buitenland had gezeten.
Dat is zo, geeft hij tegenover UWV-onderzoekers ruiterlijk toe. Hij was af en toe bij zijn vriendin in Duitsland. “Je moet natuurlijk solliciteren als je een uitkering hebt, maar ik dacht: als het nodig is, ben ik zo weer in Nederland.”
Niet ingelogd
Daar is het UWV het niet mee eens en de instantie heeft bewijs: een uitgebreide spreadsheet met bezoekjes van Evert aan UWV.nl en Werk.nl, sommige vanuit Nederland, een deel vanuit het buitenland.
Eén ding valt Evert op: bij veel van die bezoekjes logde hij helemaal niet in. Hij dient bezwaar in en wil van het UWV weten hoe de instantie die bezoeken aan hem koppelt. Gebruikt het UWV daarvoor soms volgcookies?
Het UWV vertelt hem dat nooit. Sterker nog, een opgelegde boete van 2500 euro krijgt hij terug: “Wij kunnen niet buiten twijfel vaststellen dat u via DigiD inlogde”, schrijft de instantie. Het systeem dat het UWV juist optuigde om ook niet-ingelogde bezoekers te volgen, wordt niet genoemd.
Ook in andere communicatie met het UWV blijft het volgsysteem onvermeld, blijkt uit gespreksverslagen en e-mails die de NOS heeft ingezien. In een reactie laat het UWV weten dat cliënten normaliter “uitleg” krijgen over de gevolgde werkwijze, als ze daarom vragen, maar dat het niet op individuele zaken kan ingaan.
Zorgelijk
De Autoriteit Persoonsgegevens spreekt van een “zorgelijk beeld”. Eerder riep de privacywaakhond het UWV al op het matje. Dat gesprek is inmiddels gepland, laat de waakhond weten.