Beheer

Security
UWV-vlag

UWV krijgt jaar tijd om onveilig portaal te fixen

De beveiliging van het UWV-werkgeversportaal is ondermaats, oordeelt de Autoriteit Persoonsgegevens die een deadline van 31 oktober volgend jaar oplegt.

© CC BY-SA 2.0,  mystic_mabel
30 oktober 2018

De beveiliging van het UWV-werkgeversportaal is ondermaats, oordeelt de Autoriteit Persoonsgegevens die een deadline van 31 oktober volgend jaar oplegt.

Uitkeringsinstantie UWV krijgt ogenschijnlijk nu een dwangsom opgelegd. De Autoriteit Persoonsgegevens (AP) dreigt namelijk met forse bedragen: 150.000 euro per maand met een maximum van 900.000 euro. Deze beboeting voor het onveilige portal voor werkgevers is echter pas op 31 oktober 2019 van kracht.

Het onveilig werkende werkgeversportaal van het UWV 'mag' daarmee nog een jaar lang voortbestaan in de huidige vorm, met ondermaatse beveiliging. Privacytoezichthouder AP meldt dat de nu onder last opgelegde dwangsom het UWV dwingt om gegevens beter te beveiligen. Op uiterlijk 31 oktober 2019 moet het UWV het beveiligingsniveau van dit portaal op orde hebben. Als de AP dan constateert dat dit niet het geval is, moet het UWV de dwangsom betalen.

Gezondheidsgegevens beschermen

AP-voorzitter Aleid Wolfsen verklaart: "Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat". Struikelpunt is het ontbreken van meerfactorauthenticatie bij de toegang tot het online-werkgeversportaal. Werkgevers en arbodiensten kunnen daar in een verzuimsysteem ziekteverzuimgegevens van werknemers invoeren en bekijken.

Het gaat dus om gezondheidsgegevens van werknemers. De AP stelt dat het UWV als aanbieder én beheerder van dit verzuimsysteem verplicht is om de toegang tot dit portaal voldoende te beveiligen "door minimaal meerfactorauthenticatie toe te passen". Het UWV heeft eerder al wel aangegeven dat het deze betere beveiliging wil implementeren. Tot op heden is dat echter niet gebeurd.

Vorig jaar al

De uitkeringsinstantie heeft in november vorig jaar gemeld dat het door de AP op de vingers is getikt. De privacytoezichthouder heeft toen bepaald - na onderzoek - dat het UWV handelt in strijd met de Wbp (Wet bescherming persoonsgegevens). "UWV erkent de bevindingen van de AP en is conform de aanbevelingen trajecten gestart om een nieuwe werkwijze in te voeren bij de Ziektewetuitkering en om bij het Werkgeversportaal via eHerkenning een hoger beveiligingsniveau te realiseren." De AP merkt nu nog wel op dat het UWV wel andere maatregelen heeft getroffen om toegang door onbevoegden tegen te gaan. Maar "deze gaan niet over de authenticatie en zijn daardoor niet passend".

1
Reacties
dirk 05 november 2018 11:19

Verbazingwekkend en verontrustend, op welke krakkemikkige portaal technologie is dat werkgeversportaal gebaseerd. Ik zou zeggen kijk eens naar Liferay DXP, dit toonaangevende platform, integreert met alle bekende en onbekende authenticatie oplossingen, en two-factor authenticatie is een kwestie van configureren. Dat kost natuurlijk niet een jaar maar is eerder een kwestie van dagen. Voor een fractie van de dwangsom heb je al een schaalbaar, veilig, flexibel en uitbreidbaar portaal met Liferay DXP.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.