AP dwingt UWV met sanctie gegevens beter te beveiligen

1
193

De Autoriteit Persoonsgegevens (AP) legt het UWV een last onder dwangsom op van 150.000 euro per maand met een maximum van 900.000 euro omdat het beveiligingsniveau van het werkgeversportaal niet voldoet.

Op uiterlijk 31 oktober 2019 moet het UWV het beveiligingsniveau van dit portaal op orde hebben.

Als dat niet het geval is, moet UWV de dwangsom betalen. Het gaat om gezondheidsgegevens van een groot aantal mensen.

Gegevens over de gezondheid

Omdat het UWV geen meerfactorauthenticatie toepast bij de toegangsverlening tot het online werkgeversportaal, is de beveiliging onvoldoende. Werkgevers en arbodiensten kunnen in dit portaal, in een verzuimsysteem ziekteverzuimgegevens van werknemers invoeren en bekijken. Het gaat hier om gezondheidsgegevens van werknemers. UWV is daarom als aanbieder én beheerder van dit verzuimsysteem verplicht om de toegang tot dit portaal voldoende te beveiligen door minimaal meerfactorauthenticatie toe te passen.

Maatregelen UWV

Het UWV heeft eerder aangegeven meerfactorauthenticatie te willen implementeren. Daarnaast zijn er al wel andere maatregelen getroffen om toegang door onbevoegden tot het werkgeversportaal tegen te gaan, maar deze gaan niet over de authenticatie en zijn daardoor niet passend.

Toegangsbeveiliging

Een organisatie die persoonsgegevens verwerkt, moet volgens de AP passende maatregelen nemen om deze goed te beveiligen. Aan de beveiliging van gezondheidsgegevens die online worden verwerkt, worden extra hoge eisen gesteld. De verwerking van gezondheidsgegevens via internet mag alleen met behulp van (minimaal) meerfactorauthenticatie. Dit is een vorm van (toegangs)beveiliging waarbij de gebruiker zich op minimaal twee manieren moet authentiseren om toegang te krijgen tot een computer of applicatie. Bijvoorbeeld met een wachtwoord in combinatie met een sms-code.

1 REACTIE

  1. In het Algemeen Dagblad stond een curieuze opmerking van een woordvoerster van de AP over deze kwestie:

    ,,Deze maatregel is een extra stok achter de deur’’, aldus een woordvoerster van de AP. ,,Dit zijn medische gegevens. Als het misgaat, gaat het goed mis. Stel je voor dat op straat komt te liggen welke aandoening je hebt: dat heeft een enorme impact op het leven van mensen.’’

    Dit is vreemd en ondoordacht voorbeeld uit monde van de AP. De werkgever mag immers geen medische gegevens verwerken en zal deze dus ook niet via het werkgeversportaal versturen. Blijft dat er wel gevoelige persoonsgegevens worden verstuurd en dat meerfactorauthenticatie dus aan de orde is.