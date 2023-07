De illegale dataverzameling van het UWV ging verder dan gedacht. De uitkeringsinstantie volgde bezoekers gedurende langere tijd; daarmee kon het UWV bezoeken op hetzelfde apparaat aan elkaar koppelen, ook als bezoekers niet eens inlogden. Dat blijkt uit onderzoek van de NOS, dat onlangs al samen met Nieuwsuur onthulde dat het UWV illegaal data van uitkeringsgerechtigden verzamelde. Het UWV gebruikte het systeem om te onderzoeken welke uitkeringsontvangers zonder geldige reden in het buitenland verblijven; dat is verboden. Tot nu toe suggereerde het UWV dat het "sessiecookies" plaatste, die doorgaans één bezoek meegaan. Een van de gebruikte cookies ging echter veel langer mee: tot een halfjaar. Dat bevestigt het UWV nu. Daardoor zouden bezoeken die tot een halfjaar uit elkaar lagen, aan elkaar kunnen worden gekoppeld. Dat maakte het mogelijk om bezoekers ook te volgen als ze tijdens een bepaald bezoek niet eens inlogden op UWV.nl of Werk.nl. Als ze eenmaal inlogden via DigiD konden álle bezoeken op een bepaald apparaat aan hen worden gekoppeld. Het UWV gaat niet in op de vraag of de data veel langer worden opgeslagen dan eerder gemeld. "Er zijn cookies met een korte levensduur en andere hebben juist een lange levensduur. Dat hangt helemaal af van het doel van de cookie", laat de instantie in algemene bewoordingen weten. Wilde Westen "Ik schrik hier enorm van", zegt Tweede Kamerlid Hind Dekker-Abdulaziz (D66), dat gisteren nog samen met Denk Kamervragen over het onderwerp stelde. "Dit lijkt volledig buitenproportioneel en druist compleet in tegen privacywetgeving." Beleidsadviseur Nadia Benaissa van burgerrechtenorganisatie Bits of Freedom zegt dat de praktijk doet denken aan het Wilde Westen. "Dat ze deze cookies ongegeneerd zo langdurig inzetten, geeft wat ons betreft aan dat het UWV zich weinig aantrok van privacywetgeving." "Dit komt neer op geheime surveillance", zegt advocaat Anton Ekker, die eerder succesvol tegen fraude-algoritmes procedeerde. "Hoe langer je iemand in de gaten houdt, hoe ernstiger de inbreuk, dus dit is nog erger dan gedacht." Het UWV zette het systeem begin dit jaar stilletjes stop, na kritiek van de advocaat van de overheid. Kamerlid Dekker wil van de minister weten waarom de Kamer daar niet duidelijker over is geïnformeerd.

Hoe werkte het systeem precies? Een klein gedachtenexperiment: Op dag 1 ga je naar de website van het UWV. Je logt in met je DigiD. Wat je niet merkt is dat het UWV meerdere volgcookies plaatst, waarvan er een aan jouw burgerservicenummer (bsn) is gekoppeld. Een maand later ga je naar UWV.nl om wat algemene informatie op te zoeken, maar je logt niet in. Dat maakt niet uit: dankzij een van de volgcookies is je bezoek aan je BSN te koppelen.