UWV dekt AVG overtreding 8vance toe

Logotype UWVIn een document voor de RvB vergadering van UWV van september 2024 staat het volgende te lezen:

De FG [MD: Functionaris voor de Gegevensbescherming] constateert mede op basis van het rapport van The Data Lawyers dat de verwerking van persoonsgegevens door 8vance bij de ontwikkeling van het algoritme voor BMS onrechtmatig was. Gebleken is dat 8vance de rechtmatigheid niet kan aantonen en 8vance overtrad daardoor de AVG, respectievelijk de Wbp […].

De Wbp (Wet bescherming persoonsgegevens, van kracht tot eind mei 2018) is de voorganger van de AVG. Over het rapport van The Data Lawyers kom ik later nog te spreken.

Laat bovenstaande tekst even op je inwerken, vooral het vetgedrukte deel.

Hiermee stelt UWV in september 2024 zelf vast dat de FG, mede op basis van een rapport van The Data Lawyers, concludeert dat de verwerking van persoonsgegevens door 8vance bij de ontwikkeling van het BMS-algoritme onrechtmatig was. Dat roept de vraag op hoe deze constatering zich verhoudt tot de keuze van UWV om in maart 2023 juist met 8vance een overeenkomst aan te gaan.

8vance, UWV en de AVG, een tijdslijn
Achteraf bezien rijst de vraag waarom UWV voorafgaand aan de contractsluiting niet heeft vastgesteld of de ontwikkeling van het product AVG-conform had plaatsgevonden. Een reactie van UWV Woordvoering (27 oktober 2023) op mijn vraag of UWV de AVG compliance van 8vance had vastgesteld, was als volgt:

UWV is niet de verwerkingsverantwoordelijke voor de totstandkoming van het product van 8vance. Ook heeft [UWV] geen signalen dat 8vance zich niet aan de AVG heeft gehouden en begrijpt van 8vance dat zij gebruik maken van geanonimiseerde profielen voor de ontwikkeling van haar product. UWV ziet in deze geen ketenverantwoordelijkheid.

Op basis van deze reactie lijkt UWV destijds in belangrijke mate te hebben vertrouwd op de mededelingen van 8vance zelf. Dit zegt een woordvoerder van de uitvoeringsorganisatie die verantwoordelijk is voor de veiligheid van miljoenen persoonsgegevens van Nederlandse burgers. Burgers die een verplichte winkelnering hebben bij UWV in geval van werkloosheid, WW en andere uitkeringen. Tegen die achtergrond is het moeilijk te rijmen dat UWV in oktober 2023 aangaf geen signalen te hebben van AVG-problemen, terwijl de FG minder dan een jaar later concludeerde dat de ontwikkeling van het algoritme op onrechtmatige verwerking van persoonsgegevens was gebaseerd.

Met de contractondertekening in maart 2023 heeft 8vance ook de Beveiligings- en verwerkersovereenkomst (BVO) van UWV getekend; mogelijk heeft de ondertekening van de BVO zelfs al eerder plaatsgevinden. In sectie D van de BVO (Bepalingen ten aanzien van een verwerkingsverantwoordelijke) staat in Artikel 16, lid 2 het volgende:

Opdrachtnemer [8vance] verwerkt de Persoonsgegevens in overeenstemming met de AVG en eventuele andere van toepassing zijnde wet- en regelgeving met betrekking tot het verwerken van Persoonsgegevens

De conclusie van de FG lijkt moeilijk te verenigen met de verplichting uit artikel 16 van de BVO.. Sterker nog, in het artikel 8vance en de AVG, geen match made in heaven. Deel 2 (13 maart 2024) presenteer ik de omvang aan van 8vance’s enorme data grab van LinkedIn profielen.
8vance heeft de BVO ondertekend terwijl zij volgens de FG de AVG heeft overtreden. De scraping kwam feitelijk tot stilstand nadat LinkedIn in april 2024 maatregelen had genomen. Ineens droogde voor 8vance de stroom aan persoonsgegevens volledig op, een probleem waarvan de impact op dit moment nog niet volledig duidelijk is. Het ligt voor de hand dat de kwaliteit van de zoek/match functie van 8vance hierdoor negatief is beïnvloed.
Verder is er ook nog de normbrief die de Autoriteit Persoonsgegevens (AP) aan 8vance heeft verzonden (augustus 2024). Indien 8vance UWV overeenkomstig de BVO heeft geïnformeerd, dan had UWV vanaf dat moment ook kennis kunnen nemen van de normbrief.*Ondertussen zegt UWV niets van het bestaan deze normbrief af te weten, maar daar is het laatste woord nog niet over gezegd.

Terug naar het document voor de RvB
Het document vervolgt :

Hoewel de gegevens recent geanonimiseerd zijn en 8vance zich nu inspant om tot een verder rechtmatige verwerking te komen, blijft 8vance naar oordeel van de FG door haar handelwijze in het verleden kwetsbaar en dit betekent ook een risico voor UWV ten aanzien van continuïteit en reputatie.

Indien UWV de samenwerking met 8vance wil continueren, adviseert de FG dit alleen te doen indien met 8vance overeengekomen wordt dat alle verwerkingen en daarop gebaseerde producten of diensten van 8vance ten behoeve van UWV aantoonbaar rechtmatig en AVG-compliant zijn, en dat alle verwerkingen en daarop gebaseerde producten of diensten van 8vance waar dat niet aantoonbaar het geval is door 8vance worden vervangen.

UWV heeft het contract met 8vance dus niet ontbonden toen bleek dat 8vance niet voldeed aan de AVG (en daarvoor de Wbp)? Integendeel, een groot deel van het document voor de RvB gaat juist in op de condities waaronder een contractverlenging (van drie jaar, vanaf maart 2025) tot stand kan worden gebracht.

En er is meer…
Dit is op zichzelf al schokkend te noemen, maar in het licht van de volgende informatie wordt het mogelijk nog heftiger. In het document Projectplan Bemiddelingsservice (BMS) – Fase 1, versie 0.999 van 28-11-2024 (deels openbaar gemaakt naar aanleiding van een Woo-verzoek) is onder meer het volgende te lezen:

Binnen het BMS-project loopt een onderzoek op de content van de eerste grote dataset. Deze dataset omvat 465K profielen/cv’s […] en is afkomstig uit UWV-databronnen […]. Deze dataset […] is ingelezen in het BMS-systeem.

Hier zegt UWV dat er 465.000 persoonsprofielen in BMS zijn geladen terwijl binnen UWV op dat moment reeds bekend was dat de FG had geconcludeerd dat de ontwikkeling van het algoritme had plaatsgevonden met een onrechtmatige verwerking van persoonsgegevens. Kan iemand mij dit uitleggen? Was er voor UWV een rechtmatige grondslag (wettelijke taak) voor het leveren van een dataset van 465.000 persoonsprofielen aan 8vance, zeker in het licht van de constateringen van de FG?

Slotgedachten
Op basis van de bevindingen van de FG, de openbaar gemaakte documenten en mijn eerdere onderzoek lijkt het product van 8vance in belangrijke mate te zijn ontwikkeld met behulp van langdurig verzamelde persoonsgegevens waarvan UWV inmiddels zelf heeft vastgesteld dat 8vance hierbji de AVG heeft overtreden. Hoe kan het zijn dat op dit moment UWV nog altijd doorgaat met de (overigens uiterst moeizame) implementatie van BMS?

Als laatste wil ik ook nog medewerkers van UWV bedanken die het fatsoen en de moed hebben om de publieke zaak te dienen.

*in de BVO staat in Artikel 16, lid 6 het volgende:

Opdrachtnemer zal, onverminderd zijn verplichting tot het melden van Inbreuken in verband met persoonsgegevens aan de Autoriteit persoonsgegevens, Opdrachtgever direct informeren over (vermeende) Inbreuken in verband met persoonsgegevens.

Ik ga er vanuit gaan dat de normbrief van de AP onder bovenstaande bepaling valt. Volgens de BVO is 8vance daarmee verplicht om UWV direct op de hoogte te stellen van de normbrief. Of 8vance dit heeft gedaan is onderwerp van een Woo-verzoek waarbij UWV zoals gebruikelijk stommetje speelt.

Gerelateerde berichten:

  1. 8vance en de AVG, geen match made in heaven. Deel 2
  2. 8vance en de AVG, geen match made in heaven. Deel 1
  3. Hoe voorkom je het ontstaan van forever data?
  4. Heeft UWV de wet overtreden? Ja, ook een tweede keer!
Geef een reactie

← Vacatures bekijken zonder colporteur in je nek?