Het UWV zal het SONAR-systeem dat voor arbeidsbemiddeling wordt gebruikt wegens privacyproblemen pas na 2025 vervangen, zo heeft minister Koolmees van Sociale Zaken aan de Tweede Kamer laten weten. In de tussentijd worden maatregelen genomen om een aantal grote risico's aan te pakken.

SONAR is een klantregistratiesysteem waar ruim 16.000 personen gebruik van maken voor de matching van klanten en potentiële werkgevers. Het gaat om adviseurs van het UWV en een deel van de adviseurs van de gemeenten en SW-bedrijven. Het systeem bevat gegevens als naam, adresgegevens, burgerservicenummer, nationaliteit, opleidingsniveau, c.v. en belastbaarheid.

SONAR is gekoppeld aan verschillende andere systemen die ondersteunen bij de arbeidsbemiddeling, zoals werk.nl, waar werkzoekenden en werkgevers elkaar kunnen vinden. Het systeem werd in 2005 geïmplementeerd en is zonder privacy by design ontwikkeld en ingericht, aldus Koolmees. SONAR is juist zo gemaakt om gegevens op een efficiënte manier tussen gebruikers te delen om arbeidsbemiddeling op een landelijke schaal mogelijk te maken.

"De afgelopen jaren is de aandacht voor informatiebeveiliging en privacy gegroeid. Waar de nadruk eerder juist lag op transparantie in het systeem, kwam er steeds meer aandacht voor de risico’s voor de privacy die hierbij kunnen ontstaan", laat de minister weten. Om de privacyrisico's en tekortkomingen van SONAR in kaart te brengen liet Koolmees een privacy-audit uitvoeren.

Naar aanleiding van de audit zijn verschillende maatregelen opgesteld die op de korte, middellange en lange termijn genomen zullen worden. De maatregelen voor de korte termijn worden hierbij versneld opgestart. Het gaat dan om het versneld invoeren van een systeem voor het automatisch loggen en monitoren, het resetten van wachtwoorden en het wijzen van medewerkers op het belang van privacy.

Voor de middellange termijn noemt Koolmees onder andere de implementatie van een fijnmaziger autorisatiemodel en het aanscherpen en beter documenteren van autorisaties in SONAR. "Belangrijk criterium hierbij is en blijft dat werkzoekenden van buiten de regio gevonden kunnen worden als er een voor hen geschikte vacature bekend wordt. Voor landelijke arbeidsbemiddeling blijft een brede, regio-overstijgende toegang noodzakelijk", merkt de minister op.

Het uiteindelijke doel is echter om SONAR te vervangen. Dit zal echter nog een aantal jaren duren. "Deze vervanging kan realistisch gezien niet voor 2025 gerealiseerd worden, omdat anders de continuïteit van de dienstverlening van UWV in gevaar kan komen", schrijft Koolmees. Het plan is om het systeem stapsgewijs uit te faseren, om zo risico's die technisch gezien niet zijn te verhelpen al eerder te kunnen mitigeren. Eind dit jaar komt Koolmees met een update over de genomen maatregelen.