De Autoriteit Persoonsgegevens (AP) heeft in onderzoeken vastgesteld dat het UWV met betrekking tot verzuimbeheer en toegangsbeveiliging in strijd handelt met de Wet bescherming persoonsgegevens (Wbp).

Medewerkers verzuimbeheersing verwerken onbevoegd gezondheidsgegevens van mensen in het kader van een Ziektewetuitkering.

De beveiliging van het online werkgeversportaal is daarnaast onvoldoende omdat er geen meerfactorauthenticatie wordt toegepast bij de toegangsverlening tot dit portaal.

Verwerken persoonsgegevens

UWV heeft aangegeven maatregelen te willen treffen om de overtredingen te beëindigen. De AP is van plan tot handhaving over te gaan als de overtredingen voortduren.

Het UWV verwerkt heel veel persoonsgegevens waaronder gegevens over iemands gezondheid, zoals ziekteverzuim. Voor de verwerking van deze gevoelige gegevens gelden extra strenge regels. Cliënten van het UWV moeten er op kunnen vertrouwen dat hun gegevens goed worden beschermd.

Verzuimbeheer UWV

Ziekmeldingen van mensen in het kader van een Ziektewetuitkering worden bij het UWV behandeld door medewerkers verzuimbeheersing. Deze medewerkers vragen aan werknemers die zich ziek melden gegevens over hun gezondheid om de claim tot een uitkering te kunnen beoordelen. Hier is niet standaard een arts bij betrokken.

AP-bevindingen verzuimbeheer

De AP constateert dat het UWV gevoelige persoonsgegevens laat verwerken door medewerkers die daarvoor niet bevoegd zijn. Het verwerken van gegevens over iemands gezondheid om te beoordelen of iemand in aanmerking komt voor een Ziektewetuitkering mag alleen als dit onder verantwoordelijkheid van een arts gebeurt, bijvoorbeeld een verzekeringsarts. Dit is bij het UWV niet het geval.

UWV gaat werkwijze aanpassen

Naar aanleiding van het onderzoek is het UWV een traject gestart om haar werkwijze aan te passen en de overtreding te beëindigen. Het UWV heeft de AP toegezegd dat de medewerkers verzuimbeheersing onder supervisie van een verzekeringsarts gaan werken zodat de arts verantwoordelijk wordt voor de verwerking van gezondheidsgegevens.

Beveiliging toegang werkgeversportaal

Werkgevers en arbodiensten kunnen via het online werkgeversportaal van het UWV ziekteverzuimgegevens van werknemers invoeren en bekijken. Omdat het hier gaat om gevoelige gegevens van werknemers is het UWV als aanbieder én beheerder van dit verzuimsysteem verplicht om de toegang tot dit portaal voldoende te beveiligen door meerfactorauthenticatie toe te passen.

AP-bevindingen toegangsbeveiliging

De AP concludeert dat de beveiliging van het online werkgeversportaal van het UWV onvoldoende is. Het UWV past geen zogenoemde meerfactorauthenticatie toe bij het verlenen van toegang tot dit portaal, terwijl dat vereist is.

Meerfactorauthenticatie is een vorm van (toegangs)beveiliging waarbij de gebruiker zich op minimaal twee manieren moet authentiseren om toegang te krijgen tot een computer of applicatie. Bijvoorbeeld een wachtwoord in combinatie met een pincode.

Het UWV heeft aangegeven beveiligingsmaatregelen te treffen.