020 530 0160

AP tikt UWV op de vingers om beveiliging verzuimsysteem

Gepubliceerd op 1 november 2018 categorieën , ,

In maart vorig jaar heeft de Autoriteit Persoonsgegevens (“AP”) een onderzoek ingesteld naar de beveiliging van persoonsgegevens binnen het UWV. Uit dat onderzoek volgt dat het UWV in strijd handelt met de privacywetgeving, waardoor de AP het UWV een last onder dwangsom heeft opgelegd.

Het UWV verwerkt in het werkgeversportaal onder meer persoonsgegevens die betrekking hebben op de gezondheid van werknemers. Werkgevers en arbodiensten kunnen hier in een verzuimsysteem ziekteverzuimgegevens van werknemers invoeren en bekijken. Daarom dient toegang tot het werkgeversportaal via internet voldoende beveiligd te worden en plaats te vinden middels minimaal meerfactor authenticatie, aldus de AP. Dit is een vorm van (toegangs)beveiliging waarbij de gebruiker zich op minimaal twee manieren moet authentiseren om toegang te krijgen tot een computer of applicatie, zoals met een wachtwoord en pincode combinatie. Het UWV past echter éénfactorauthenticatie toe bij het verlenen van toegang tot het werkgeversportaal en handelde daarmee in strijd met artikel 13 van de toen geldende Wet bescherming persoonsgegevens. Dat artikel schrijft voor dat een verantwoordelijke passende maatregelen moet treffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking (nu artikel 32 Algemene Verordening Gegevensbescherming, “AVG”). Omdat intussen de AVG van toepassing is geworden op 25 mei 2018 en de overtreding nog immer voortduurt, overtreedt het UWV artikel 32 AVG.

Maatregelen UWV
Het UWV heeft aangegeven meerfactorauthenticatie te willen implementeren. Zo wenst het UWV aan te sluiten op het systeem van eHerkenning om op deze wijze meerfactorauthenticatie bij het verlenen van toegang tot het werkgeversportaal te kunnen realiseren. De datum dat dit systeem gebruikt kan worden staat op 1 november 2019.

Daarnaast heeft het UWV andere maatregelen getroffen om toegang door onbevoegden tot het werkgeversportaal tegen te gaan. Omdat deze niet over de authenticatie gaan, zijn de maatregelen daardoor niet passend volgens de AP.

Last onder dwangsom
Om te verzekeren dat de UWV een einde maakt aan de geconstateerde overtreding legt de AP een dwangsom op. Uiterlijk op 31 oktober 2019 moet het verlenen van toegang tot het werkgeversportaal van een passend beveiligingsniveau zijn voorzien.

Onderdeel van de last is dat het UWV het vereiste betrouwbaarheidsniveau opnieuw dient te bepalen door een risicoanalyse uit te voeren. Deze analyse moet uitgevoerd worden aan de hand van de Handreiking ‘Betrouwbaarheidsniveaus voor digitale dienstverlening, een handreiking voor overheidsorganisaties’ (versie 4).

Wanneer het UWV na het verstrijken van de begunstigingstermijn niet voldoet aan de last, is het UWV een dwangsom van EUR 150.000 verschuldigd voor iedere maand dat de last niet (geheel) is uitgevoerd, met een maximum van EUR 900.000.

Lees het sanctiebesluit hier.

Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Nina Lodder

publicaties

Gerelateerde artikelen