AP tikt UWV op de vingers om beveiliging verzuimsysteem

02-11-2018

Nina Lodder

In maart vorig jaar heeft de Autoriteit Persoonsgegevens (“AP”) een onderzoek ingesteld naar de beveiliging van persoonsgegevens binnen het UWV. Uit dat onderzoek volgt dat het UWV in strijd handelt met de privacywetgeving, waardoor de AP het UWV een last onder dwangsom heeft opgelegd.

Het UWV verwerkt in het werkgeversportaal onder meer persoonsgegevens die betrekking hebben op de gezondheid van werknemers. Werkgevers en arbodiensten kunnen hier in een verzuimsysteem ziekteverzuimgegevens van werknemers invoeren en bekijken. Daarom dient toegang tot het werkgeversportaal via internet voldoende beveiligd te worden en plaats te vinden middels minimaal meerfactor authenticatie, aldus de AP. Dit is een vorm van (toegangs)beveiliging waarbij de gebruiker zich op minimaal twee manieren moet authentiseren om toegang te krijgen tot een computer of applicatie, zoals met een wachtwoord en pincode combinatie. Het UWV past echter éénfactorauthenticatie toe bij het verlenen van toegang tot het werkgeversportaal en handelde daarmee in strijd met artikel 13 van de toen geldende Wet bescherming persoonsgegevens. Dat artikel schrijft voor dat een verantwoordelijke passende maatregelen moet treffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking (nu artikel 32 Algemene Verordening Gegevensbescherming, “AVG”). Omdat intussen de AVG van toepassing is geworden op 25 mei 2018 en de overtreding nog immer voortduurt, overtreedt het UWV artikel 32 AVG.

Maatregelen UWV

Het UWV heeft aangegeven meerfactorauthenticatie te willen implementeren. Zo wenst het UWV aan te sluiten op het systeem van eHerkenning om op deze wijze meerfactorauthenticatie bij het verlenen van toegang tot het werkgeversportaal te kunnen realiseren. De datum dat dit systeem gebruikt kan worden staat op 1 november 2019.

Daarnaast heeft het UWV andere maatregelen getroffen om toegang door onbevoegden tot het werkgeversportaal tegen te gaan. Omdat deze niet over de authenticatie gaan, zijn de maatregelen daardoor niet passend volgens de AP.

Last onder dwangsom

Om te verzekeren dat de UWV een einde maakt aan de geconstateerde overtreding legt de AP een dwangsom op. Uiterlijk op 31 oktober 2019 moet het verlenen van toegang tot het werkgeversportaal van een passend beveiligingsniveau zijn voorzien.

Onderdeel van de last is dat het UWV het vereiste betrouwbaarheidsniveau opnieuw dient te bepalen door een risicoanalyse uit te voeren. Deze analyse moet uitgevoerd worden aan de hand van de Handreiking ‘Betrouwbaarheidsniveaus voor digitale dienstverlening, een handreiking voor overheidsorganisaties’ (versie 4).

Wanneer het UWV na het verstrijken van de begunstigingstermijn niet voldoet aan de last, is het UWV een dwangsom van EUR 150.000 verschuldigd voor iedere maand dat de last niet (geheel) is uitgevoerd, met een maximum van EUR 900.000.

Lees het sanctiebesluit hier.


Dit artikel is ook te vinden in het dossier AVG

Meer artikelen van SOLV Advocaten

Van onze partners

Privacywetgeving in de opsporing: de Wpg voor BOA's

→ Lees meer

Verhouding Wwft en AVG: de grenzen van het cliëntenonderzoek

→ Lees meer

Handboek DPIA's

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer