In maart vorig jaar heeft de Autoriteit Persoonsgegevens (“AP”) een onderzoek ingesteld naar de beveiliging van persoonsgegevens binnen het UWV. Uit dat onderzoek volgt dat het UWV in strijd handelt met de privacywetgeving, waardoor de AP het UWV een last onder dwangsom heeft opgelegd.
Het UWV verwerkt in het werkgeversportaal onder meer persoonsgegevens die betrekking hebben op de gezondheid van werknemers. Werkgevers en arbodiensten kunnen hier in een verzuimsysteem ziekteverzuimgegevens van werknemers invoeren en bekijken. Daarom dient toegang tot het werkgeversportaal via internet voldoende beveiligd te worden en plaats te vinden middels minimaal meerfactor authenticatie, aldus de AP. Dit is een vorm van (toegangs)beveiliging waarbij de gebruiker zich op minimaal twee manieren moet authentiseren om toegang te krijgen tot een computer of applicatie, zoals met een wachtwoord en pincode combinatie. Het UWV past echter éénfactorauthenticatie toe bij het verlenen van toegang tot het werkgeversportaal en handelde daarmee in strijd met artikel 13 van de toen geldende Wet bescherming persoonsgegevens. Dat artikel schrijft voor dat een verantwoordelijke passende maatregelen moet treffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking (nu artikel 32 Algemene Verordening Gegevensbescherming, “AVG”). Omdat intussen de AVG van toepassing is geworden op 25 mei 2018 en de overtreding nog immer voortduurt, overtreedt het UWV artikel 32 AVG.
Het UWV heeft aangegeven meerfactorauthenticatie te willen implementeren. Zo wenst het UWV aan te sluiten op het systeem van eHerkenning om op deze wijze meerfactorauthenticatie bij het verlenen van toegang tot het werkgeversportaal te kunnen realiseren. De datum dat dit systeem gebruikt kan worden staat op 1 november 2019.
Daarnaast heeft het UWV andere maatregelen getroffen om toegang door onbevoegden tot het werkgeversportaal tegen te gaan. Omdat deze niet over de authenticatie gaan, zijn de maatregelen daardoor niet passend volgens de AP.
Om te verzekeren dat de UWV een einde maakt aan de geconstateerde overtreding legt de AP een dwangsom op. Uiterlijk op 31 oktober 2019 moet het verlenen van toegang tot het werkgeversportaal van een passend beveiligingsniveau zijn voorzien.
Onderdeel van de last is dat het UWV het vereiste betrouwbaarheidsniveau opnieuw dient te bepalen door een risicoanalyse uit te voeren. Deze analyse moet uitgevoerd worden aan de hand van de Handreiking ‘Betrouwbaarheidsniveaus voor digitale dienstverlening, een handreiking voor overheidsorganisaties’ (versie 4).
Wanneer het UWV na het verstrijken van de begunstigingstermijn niet voldoet aan de last, is het UWV een dwangsom van EUR 150.000 verschuldigd voor iedere maand dat de last niet (geheel) is uitgevoerd, met een maximum van EUR 900.000.
Lees het sanctiebesluit hier.
Dit artikel is ook te vinden in het dossier AVG
Meer artikelen van SOLV Advocaten
