In maart vorig jaar heeft de Autoriteit
Persoonsgegevens (“AP”) een onderzoek ingesteld naar de beveiliging van
persoonsgegevens binnen het UWV. Uit dat onderzoek volgt dat het UWV in strijd
handelt met de privacywetgeving, waardoor de AP het UWV een last onder dwangsom
heeft opgelegd.
Het UWV verwerkt in het
werkgeversportaal onder meer persoonsgegevens die betrekking hebben op de gezondheid
van werknemers. Werkgevers en arbodiensten kunnen hier in een verzuimsysteem
ziekteverzuimgegevens van werknemers invoeren en bekijken. Daarom dient toegang
tot het werkgeversportaal via internet voldoende beveiligd te worden en plaats
te vinden middels minimaal meerfactor
authenticatie, aldus de AP. Dit is een vorm van (toegangs)beveiliging waarbij
de gebruiker zich op minimaal twee manieren moet authentiseren om toegang te
krijgen tot een computer of applicatie, zoals met een wachtwoord en pincode
combinatie. Het UWV past echter éénfactorauthenticatie toe bij het verlenen van
toegang tot het werkgeversportaal en handelde daarmee in strijd met artikel 13
van de toen geldende Wet bescherming persoonsgegevens. Dat artikel schrijft
voor dat een verantwoordelijke passende maatregelen moet treffen om
persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van
onrechtmatige verwerking (nu artikel 32 Algemene Verordening
Gegevensbescherming, “AVG”). Omdat intussen de AVG van toepassing is geworden
op 25 mei 2018 en de overtreding nog immer voortduurt, overtreedt het UWV
artikel 32 AVG.
Maatregelen
UWV
Het
UWV heeft aangegeven meerfactorauthenticatie te willen implementeren. Zo wenst het
UWV aan te sluiten op het systeem van eHerkenning om op deze wijze
meerfactorauthenticatie bij het verlenen van toegang tot het werkgeversportaal
te kunnen realiseren. De datum dat dit systeem gebruikt kan worden staat op 1
november 2019.
Daarnaast heeft het UWV andere
maatregelen getroffen om toegang door onbevoegden tot het werkgeversportaal
tegen te gaan. Omdat deze niet over de authenticatie gaan, zijn de maatregelen daardoor
niet passend volgens de AP.
Last
onder dwangsom
Om
te verzekeren dat de UWV een einde maakt aan de geconstateerde overtreding legt
de AP een dwangsom op. Uiterlijk op 31 oktober 2019 moet het verlenen van
toegang tot het werkgeversportaal van een passend beveiligingsniveau zijn
voorzien.
Onderdeel van de last is dat
het UWV het vereiste betrouwbaarheidsniveau opnieuw dient te bepalen door een
risicoanalyse uit te voeren. Deze analyse moet uitgevoerd worden aan de hand
van de Handreiking
‘Betrouwbaarheidsniveaus voor digitale dienstverlening, een handreiking voor
overheidsorganisaties’ (versie 4).
Wanneer het UWV na het
verstrijken van de begunstigingstermijn niet voldoet aan de last, is het UWV
een dwangsom van EUR 150.000 verschuldigd voor iedere maand dat de last niet
(geheel) is uitgevoerd, met een maximum van EUR 900.0000.
Lees het sanctiebesluit hier. https://www.solv.nl/weblog/ap-tikt-uwv-op-de-vingers-om-beveiliging-verzuimsysteem/21666