Overslaan en naar de inhoud gaan

UWV krijgt jaar tijd om onveilig portaal te fixen

Uitkeringsinstantie UWV krijgt ogenschijnlijk nu een dwangsom opgelegd. De Autoriteit Persoonsgegevens (AP) dreigt namelijk met forse bedragen: 150.000 euro per maand met een maximum van 900.000 euro. Deze beboeting voor het onveilige portal voor werkgevers is echter pas op 31 oktober 2019 van kracht.
UWV-vlag
© CC BY-SA 2.0
CC BY-SA 2.0

Het onveilig werkende werkgeversportaal van het UWV 'mag' daarmee nog een jaar lang voortbestaan in de huidige vorm, met ondermaatse beveiliging. Privacytoezichthouder AP meldt dat de nu onder last opgelegde dwangsom het UWV dwingt om gegevens beter te beveiligen. Op uiterlijk 31 oktober 2019 moet het UWV het beveiligingsniveau van dit portaal op orde hebben. Als de AP dan constateert dat dit niet het geval is, moet het UWV de dwangsom betalen.

Gezondheidsgegevens beschermen

AP-voorzitter Aleid Wolfsen verklaart: "Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat". Struikelpunt is het ontbreken van meerfactorauthenticatie bij de toegang tot het online-werkgeversportaal. Werkgevers en arbodiensten kunnen daar in een verzuimsysteem ziekteverzuimgegevens van werknemers invoeren en bekijken.

Het gaat dus om gezondheidsgegevens van werknemers. De AP stelt dat het UWV als aanbieder én beheerder van dit verzuimsysteem verplicht is om de toegang tot dit portaal voldoende te beveiligen "door minimaal meerfactorauthenticatie toe te passen". Het UWV heeft eerder al wel aangegeven dat het deze betere beveiliging wil implementeren. Tot op heden is dat echter niet gebeurd.

Vorig jaar al

De uitkeringsinstantie heeft in november vorig jaar gemeld dat het door de AP op de vingers is getikt. De privacytoezichthouder heeft toen bepaald - na onderzoek - dat het UWV handelt in strijd met de Wbp (Wet bescherming persoonsgegevens). "UWV erkent de bevindingen van de AP en is conform de aanbevelingen trajecten gestart om een nieuwe werkwijze in te voeren bij de Ziektewetuitkering en om bij het Werkgeversportaal via eHerkenning een hoger beveiligingsniveau te realiseren." De AP merkt nu nog wel op dat het UWV wel andere maatregelen heeft getroffen om toegang door onbevoegden tegen te gaan. Maar "deze gaan niet over de authenticatie en zijn daardoor niet passend".

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in