Vergroot contrast

Humannet past beveiliging verzuimsysteem aan na onderzoek CBP

Het College bescherming persoonsgegevens (CBP) heeft tijdens onderzoek geconcludeerd dat de beveiliging van de verzuimsystemen van het ICT-bedrijf VCD Humannet B.V. tekort schoot. Veel werkgevers en arbodiensten gebruiken deze verzuimsystemen voor het verwerken van medische gegevens van werknemers. Aanbieders van verzuimsystemen zijn verantwoordelijk voor een adequate beveiliging van de medische gegevens in deze systemen. VCD Humannet heeft een deel van de geconstateerde overtredingen tijdens het onderzoek opgelost en maatregelen aangekondigd waardoor per 1 september álle overtredingen zijn beëindigd. Mede naar aanleiding van de resultaten van het onderzoek bij VCD Humannet stuurt het CBP vandaag een brief uit aan 53 andere beheerders van verzuimsystemen. Hierin benadrukt de toezichthouder het belang van passende maatregelen voor de beveiliging van medische gegevens.

Overtredingen VCD Humannet

Uit het onderzoek bij VCD Humannet bleek dat de medische gegevens in de systemen niet goed zijn beveiligd. Dit kwam onder meer doordat uitsluitend een gebruikersnaam en wachtwoord waren vereist om in te loggen. Dat is onvoldoende. Naast identificatie via een gebruikersnaam en een wachtwoord volgt uit de wet dat iemand ook nog op een andere manier zijn identiteit aantoont om toegang te krijgen tot het systeem (meerfactorauthenticatie).

VCD heeft inmiddels verschillende vormen van meerfactorauthenticatie ingevoerd en een plan van aanpak aangeleverd waaruit blijkt dat de enige resterende overtreding op dit punt per 1 september is beëindigd. Het CBP zal dit controleren.

Het CBP constateerde ook dat de beveiligingsrisico’s van de verzuimapplicaties niet periodiek in kaart werden gebracht en dat VCD Humannet onvoldoende aandacht had voor kwetsbaarheden die uit verschillende audits naar voren kwamen. Tijdens het onderzoek heeft VCD Humannet maatregelen getroffen waardoor deze overtredingen zijn beëindigd.

Medische gegevens werknemers

Medische gegevens, zoals in de verzuimsystemen opgenomen, zijn gegevens van gevoelige aard. Voor het verwerken hiervan gelden extra wettelijke eisen. Werkgevers en arbodiensten moeten werken met systemen waarin deze gegevens goed zijn beveiligd. En werknemers moeten daarop kunnen vertrouwen.

Aanbieders en beheerders van verzuimsystemen moeten daarom passende beveiligingsmaatregelen nemen zodat onbevoegden geen toegang kunnen krijgen tot de gegevens.

Brief aan beheerders verzuimsystemen

Het CBP stuurt vandaag ook een brief aan 53 beheerders van verzuimsystemen. In de brief benadrukt het CBP het belang van passende maatregelen om veiligheidsrisico’s te beperken. Voorbeelden hiervan zijn meerfactorauthenticatie en security scans.

Het CBP zal zo nodig onderzoek doen als er aanwijzingen zijn van strijd met de Wet bescherming persoonsgegevens bij beheerders van verzuimsystemen.