AP tikt UWV op de vingers om beveiliging verzuimsysteem

02-11-2018

Nina Lodder

In maart vorig jaar heeft de Autoriteit Persoonsgegevens (“AP”) een onderzoek ingesteld naar de beveiliging van persoonsgegevens binnen het UWV. Uit dat onderzoek volgt dat het UWV in strijd handelt met de privacywetgeving, waardoor de AP het UWV een last onder dwangsom heeft opgelegd.

Het UWV verwerkt in het werkgeversportaal onder meer persoonsgegevens die betrekking hebben op de gezondheid van werknemers. Werkgevers en arbodiensten kunnen hier in een verzuimsysteem ziekteverzuimgegevens van werknemers invoeren en bekijken. Daarom dient toegang tot het werkgeversportaal via internet voldoende beveiligd te worden en plaats te vinden middels minimaal meerfactor authenticatie, aldus de AP. Dit is een vorm van (toegangs)beveiliging waarbij de gebruiker zich op minimaal twee manieren moet authentiseren om toegang te krijgen tot een computer of applicatie, zoals met een wachtwoord en pincode combinatie. Het UWV past echter éénfactorauthenticatie toe bij het verlenen van toegang tot het werkgeversportaal en handelde daarmee in strijd met artikel 13 van de toen geldende Wet bescherming persoonsgegevens. Dat artikel schrijft voor dat een verantwoordelijke passende maatregelen moet treffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking (nu artikel 32 Algemene Verordening Gegevensbescherming, “AVG”). Omdat intussen de AVG van toepassing is geworden op 25 mei 2018 en de overtreding nog immer voortduurt, overtreedt het UWV artikel 32 AVG.

Maatregelen UWV

Het UWV heeft aangegeven meerfactorauthenticatie te willen implementeren. Zo wenst het UWV aan te sluiten op het systeem van eHerkenning om op deze wijze meerfactorauthenticatie bij het verlenen van toegang tot het werkgeversportaal te kunnen realiseren. De datum dat dit systeem gebruikt kan worden staat op 1 november 2019.

Daarnaast heeft het UWV andere maatregelen getroffen om toegang door onbevoegden tot het werkgeversportaal tegen te gaan. Omdat deze niet over de authenticatie gaan, zijn de maatregelen daardoor niet passend volgens de AP.

Last onder dwangsom

Om te verzekeren dat de UWV een einde maakt aan de geconstateerde overtreding legt de AP een dwangsom op. Uiterlijk op 31 oktober 2019 moet het verlenen van toegang tot het werkgeversportaal van een passend beveiligingsniveau zijn voorzien.

Onderdeel van de last is dat het UWV het vereiste betrouwbaarheidsniveau opnieuw dient te bepalen door een risicoanalyse uit te voeren. Deze analyse moet uitgevoerd worden aan de hand van de Handreiking ‘Betrouwbaarheidsniveaus voor digitale dienstverlening, een handreiking voor overheidsorganisaties’ (versie 4).

Wanneer het UWV na het verstrijken van de begunstigingstermijn niet voldoet aan de last, is het UWV een dwangsom van EUR 150.000 verschuldigd voor iedere maand dat de last niet (geheel) is uitgevoerd, met een maximum van EUR 900.000.

Lees het sanctiebesluit hier.


Dit artikel is ook te vinden in het dossier AVG

Meer artikelen van SOLV Advocaten

Van onze partners

Privacy op de werkvloer

→ Lees meer

Magazine: Privacy en de gemeente

→ Lees meer

Incompanymogelijkheden

Privacyweb biedt ook de mogelijkheid om de verschillende onderwerpen als incompanyworkshop/cursus te organiseren, in samenwerking met de deskundige docenten van de Berghauser Pont Academy.
Hierbij staat de kennisbehoefte van uw medewerkers centraal. U krijgt een uniek programma toegespitst op uw wensen.
Lees meer

Wilt u snel antwoord op uw vraag?
Hanna Rab (junior uitgever) informeert u graag over de mogelijkheden. Zij is te bereiken via tel. 020 - 8200 908 en e-mail hanna@berghauserpont.nl.

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer