Om de vraag in de titel maar meteen te beantwoorden: het antwoord is: Ja.
Wat is er aan de hand? Op vrijdag 10 mei brengt UWV een bericht naar buiten met de titel 150.000 cv’s ingezien op werk.nl vermoedelijk voor oneigenlijk gebruik. En daarin stelt de uitvoeringsorganisatie het volgende:
Op 4 mei is er door één account in buitenproportionele mate inzage geweest van cv’s op werk.nl. Hoogstwaarschijnlijk zijn deze cv’s toen ook gedownload. Het gaat om cv’s van werkzoekenden met en zonder uitkering die gebruikmaken van werk.nl om werk te vinden. Een deel van de cv’s bevat ook persoonsgegevens van werkzoekenden. Er is door UWV een voorlopige melding gedaan bij de Autoriteit Persoonsgegevens. Het betreffende account is direct geblokkeerd en er is een aangifte in voorbereiding, omdat het vermoedelijk gaat om oneigenlijk gebruik van de cv’s.
Klinkt allemaal heel kordaat, behalve voor diegenen wiens cv met persoonsgegevens is gescrapet. En hoe anoniem zijn de cv’s zonder persoonsgegevens eigenlijk? Maar er is meer. Want UWV zegt ook nog het volgende:
In 2019 zijn er ook door een partij 117.000 cv’s gedownload voor de verkeerde doeleinden. Naar aanleiding hiervan heeft UWV verschillende voorzorgsmaatregelen getroffen. Zo is er monitoringssoftware geïnstalleerd die in de gaten houdt hoeveel cv’s er ingezien en gedownload worden en moeten werkgevers inloggen met een speciale inlogmethode genaamd eHerkenning. Dankzij deze maatregelen kon er nu snel gesignaleerd worden dat er een onwenselijke massale inzage en mogelijke download had plaatsvonden en konden passende maatregelen genomen worden.
Na het incident in 2019 is dus monitoringssoftware geïnstalleerd. Maar bij welke hoeveelheid mogelijk gedownloade cv’s is er sprake van een onwenselijke massale inzage en mogelijke download? Moet eerst een stad ter grootte van s-Hertogenbosch qua aantal inwoners worden gedownload voordat er passende maatregelen genomen worden? Na 500 bekeken cv’s? 1.000? 10.000? of pas na 150.000? Wat is het nut van monitoringssoftware als je eerst 5% – 10% van je actieve bestand aan werkzoekenden laat scrapen? Met god weet welke gevolgen vandien?
En dan is er nog dit:
In deze situatie is […] een buitenproportioneel grote hoeveelheid cv’s ingezien en mogelijk gedownload door één partij. Dit gaat in tegen de gebruiksvoorwaarden van werk.nl. Daarom beschouwt UWV dit als een actie tot vermoedelijk gebruik voor oneigenlijke doelen. Er worden aanvullende maatregelen genomen om onwenselijke massale inzage en downloads van cv’s te voorkomen.
Het is fijn dat het in de gebruiksvoorwaarden van Werk.nl staat. Maar zonder handhavingsmiddelen zijn gebruiksvoorwaarden een papieren tijger. Daarnaast ligt UWV zelf ook niet wakker van het negeren van voorwaarden, zoals in de aanbesteding van de bemiddelingsservice is gebleken.
En aanvullende maatregelen? Dat is dus het gevalletje verdronken kalf. Met een zeer rijke cv-database van een paar miljoen (actieve en passieve) werkzoekenden lijken me zeer strikte veiligheidsmaatregelen een voorwaarde. Evenals regelmatige tests om oneigenlijke toegangspogingen te identificeren en te neutraliseren. Om dan nu pas met aanvullende maatregelen te komen klinkt als een gebrek aan handhaving, in dit geval van de Autoriteit Persoonsgegevens.