Geenstijl

Mailtje van UWV-watcher René Veldwijk (dossier), over de vermeende "hack" van 117.000 CVs', en hoe het UWV zichzelf in de voet schiet met een soort nepnieuws.

Geachte GS-redactie,

Er gebeurde vrijdagmiddag nabeurs iets heel bijzonders: het UWV sloeg alarm over een hack die geen hack was. Van 117.000 mensen zouden de cv’s in werk.nl zijn gestolen. Maximale deining.

Hoewel naar de letter waar, is het verhaal grotendeels bullshit en beschadigt UWV zichzelf en minister Koolmees nodeloos. Geen idee waarom. Misschien is de voorlichter op vakantie. Tegelijk onthult het UWV een ander lek waar de complete pers tot nu toe overheen kijkt. Ik leg dat kort uit.

Eerst die “hack”. Die komt erop neer dat een van de tienduizenden werkgevers met een werk.nl account een software botje heeft geschreven dat in dik 2 weken 117.000 cv’s heeft overgetankt, elke 11 seconden één cv. Kennelijk viel niemand dat op. Hoe dan ook: de “hacker” is gewoon via de voordeur binnen gekomen. Dat is goed nieuws. Het betekent dat de “hacker” alleen maar gegevens kon zien die iedereen kan zien. Dus beslist geen Burgerservicenummer, zoals een UWV-woordvoerder volgens RTL suggereert.

Omdat de “hack” via de voordeur is geschied, weet UWV ook precies welke klanten zijn geraakt. Dat wordt namelijk gelogd. Dat zijn er vermoedelijk geen 117.000 want pakweg een op de drie UWV klanten werkt met een zogenaamd gesloten cv. Weer de vraag: waarom zo overdrijven?

De vele tienduizenden mensen wier cv wel is overgetankt, zetten hun gegevens online omdat ze willen worden gevonden door werkgevers. Werk.nl is een datingsite. Anders dan bij andere datingsites zet werk.nl doodleuk (e-mail)adressen en telefoonnummers online. Dáár en nergens anders zit het echte lek. Een handvol Nigerianen had in twee weken ook tienduizenden naam-adres-woonplaats-email-telno gegevens in een Excel kunnen kloppen. Anno 2019 flikt alleen de overheid nog zoiets en we vinden dat allemaal gewoon.

Maar dan de grap: werk.nl wordt voortdurend op deze manier “gehackt”, zowel de vacatures als de cv’s. Het mag niet maar het gebeurt vaak met de beste, althans niet criminele bedoelingen. Werk.nl bevat interessante cv’s maar de matching software van werk.nl zelf dateert uit 2000 en heeft nooit goed gewerkt. Grote kans dat de “hack” is uitgevoerd door een partij die hetzelfde wil als UWV: mensen koppelen aan werk. Ook clubs die werken aan betere matchingalgoritmen op basis van moderne AI doen een moord voor de topkwaliteit data in werk.nl. Het mag allemaal niet maar aankloppen bij UWV is zinloos. 

Natuurlijk is het kat-en-muis spel tussen UWV en “hackers” als zodanig een wantoestand, net als de omstandigheid dat persoons- en contactgegevens van burgers zomaar op een website staan, even zichtbaar voor werkgevers als voor software bots. Wie een baan wil zet in elk geval tot nader order geen telefoonnummer op werk.nl. Een wegwerp-emailadres is ook aan te bevelen.

Wat bij dit alles raadselachtig blijft is de schijnbaar nodeloze ophef die UWV zelf maakt. Ik houd het op een ongelukkige vakantieplanning maar het kan zijn dat er ernstiger zaken zijn voorgevallen dan gemeld. Hoe dan ook heeft het UWV zeker grotere problemen.

Met vriendelijke groet,
René Veldwijk