AP dwingt UWV met sanctie gegevens beter te beveiligen
De Autoriteit Persoonsgegevens (AP) legt het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een last onder dwangsom op van 150.000 euro per maand met een maximum van 900.000 euro, omdat het beveiligingsniveau van het werkgeversportaal niet voldoet. Op uiterlijk 31 oktober 2019 moet het UWV het beveiligingsniveau van dit portaal op orde hebben. Als het UWV dit dan niet op orde heeft, moet het de dwangsom betalen.
Aleid Wolfsen, voorzitter van de AP: "Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat".
Gegevens over de gezondheid
Omdat het UWV geen meerfactorauthenticatie toepast bij de toegangsverlening tot het online werkgeversportaal, is de beveiliging onvoldoende. Werkgevers en arbodiensten kunnen hier in een verzuimsysteem ziekteverzuimgegevens van werknemers invoeren en bekijken.
Het gaat hier om gezondheidsgegevens van werknemers. Het UWV is daarom als aanbieder én beheerder van dit verzuimsysteem verplicht om de toegang tot dit portaal voldoende te beveiligen door minimaal meerfactorauthenticatie toe te passen.
Maatregelen UWV
Het UWV heeft eerder aangegeven meerfactorauthenticatie te willen implementeren. Daarnaast heeft het UWV al wel andere maatregelen getroffen om toegang door onbevoegden tot het werkgeversportaal tegen te gaan, maar deze gaan niet over de authenticatie en zijn daardoor niet passend.
Toegangsbeveiliging
Een organisatie die persoonsgegevens verwerkt, moet passende maatregelen nemen om deze goed te beveiligen. Aan de beveiliging van gezondheidsgegevens die online worden verwerkt, worden extra hoge eisen gesteld.
De verwerking van gezondheidsgegevens via internet mag alleen met behulp van (minimaal) meerfactorauthenticatie. Dit is een vorm van (toegangs)beveiliging waarbij de gebruiker zich met minimaal 2 factoren moet authentiseren om toegang te krijgen tot een computer of applicatie. Bijvoorbeeld met een wachtwoord in combinatie met een sms-code.
Update november 2019
Het UWV heeft de AP verzocht de begunstigingstermijn van de opgelegde last op te schorten. De AP heeft het UWV onder voorwaarden het gevraagde uitstel eenmalig gegund, tot 1 maart 2020. Als het UWV de gevraagde maatregelen dan niet op orde heeft, moet het een dwangsom betalen.
De AP vindt dat het UWV voldoende heeft onderbouwd dat het bij de implementatie van het systeem voor meerfactorauthenticatie gaat om een complex traject, waarbij het UWV afhankelijk is van externe partijen. Veel werkgevers moeten deze overstap nog maken.
Het in een keer volledig afsluiten van de oude en/of huidige inlogvoorziening kan grote negatieve gevolgen hebben voor werknemers. Zij zouden dan geen of een onjuiste uitkering kunnen ontvangen. Om deze gevolgen zoveel mogelijk te beperken, zal het UWV daarom in een aantal maanden stapsgewijs de oude inlogvoorziening afsluiten.
De AP stelt aan de opschorting een aantal voorwaarden. Zo moet het UWV onder meer een plan voor het blokkeren van de oude inlogmethode indienen en de AP maandelijkse updates geven. Daarnaast zet het UWV de eerder getroffen maatregelen voort om toegang door onbevoegden tot het werkgeversportaal tegen te gaan.