UWV krijgt jaar tijd om onveilig portaal te fixen

Het onveilig werkende werkgeversportaal van het UWV 'mag' daarmee nog een jaar lang voortbestaan in de huidige vorm, met ondermaatse beveiliging. Privacytoezichthouder AP meldt dat de nu onder last opgelegde dwangsom het UWV dwingt om gegevens beter te beveiligen. Op uiterlijk 31 oktober 2019 moet het UWV het beveiligingsniveau van dit portaal op orde hebben. Als de AP dan constateert dat dit niet het geval is, moet het UWV de dwangsom betalen.

Gezondheidsgegevens beschermen

AP-voorzitter Aleid Wolfsen verklaart: "Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat". Struikelpunt is het ontbreken van meerfactorauthenticatie bij de toegang tot het online-werkgeversportaal. Werkgevers en arbodiensten kunnen daar in een verzuimsysteem ziekteverzuimgegevens van werknemers invoeren en bekijken.

Het gaat dus om gezondheidsgegevens van werknemers. De AP stelt dat het UWV als aanbieder én beheerder van dit verzuimsysteem verplicht is om de toegang tot dit portaal voldoende te beveiligen "door minimaal meerfactorauthenticatie toe te passen". Het UWV heeft eerder al wel aangegeven dat het deze betere beveiliging wil implementeren. Tot op heden is dat echter niet gebeurd.

Vorig jaar al

De uitkeringsinstantie heeft in november vorig jaar gemeld dat het door de AP op de vingers is getikt. De privacytoezichthouder heeft toen bepaald - na onderzoek - dat het UWV handelt in strijd met de Wbp (Wet bescherming persoonsgegevens). "UWV erkent de bevindingen van de AP en is conform de aanbevelingen trajecten gestart om een nieuwe werkwijze in te voeren bij de Ziektewetuitkering en om bij het Werkgeversportaal via eHerkenning een hoger beveiligingsniveau te realiseren." De AP merkt nu nog wel op dat het UWV wel andere maatregelen heeft getroffen om toegang door onbevoegden tegen te gaan. Maar "deze gaan niet over de authenticatie en zijn daardoor niet passend".