UWV verbetert beveiliging werkgeversportaal, ontkomt aan torenhoge dwangsom

UWV verbetert beveiliging werkgeversportaal, ontkomt aan torenhoge dwangsom

Laatst bijgewerkt: 5 juni 2020
Leestijd: 2 minuten, 48 seconden

De Autoriteit Persoonsgegevens heeft onderzoek gedaan naar de beveiliging van het werkgeversportaal van het Uitkeringsinstituut Werknemersverzekeringen (UWV). De toezichthouder constateert dat de uitkeringsinstantie de beveiliging van haar online werkgeversportaal helemaal op orde heeft. Medewerkers kunnen alleen nog via eHerkenning inloggen op het platform. Daarmee voorkomt het UWV dat ze een dwangsom van 900.000 euro hoeft te betalen.

Dat schrijft de Autoriteit Persoonsgegevens (AP) in een persbericht.

Dwangsom

Voor het begin van deze kwestie moeten we terug naar eind 2017. In november van dat jaar constateerde de AP dat het UWV in strijd handelt met de toenmalige Wet bescherming persoonsgegevens (Wbp). Medewerkers van de afdeling verzuimbeheer verwerkten gezondheidsgegevens van mensen die in aanmerking kwamen voor een uitkering in het kader van de ziektewet, terwijl ze daartoe niet bevoegd waren.

Daarnaast stelde de toezichthouder vast dat het online werkgeversportaal van de instantie niet goed beveiligd was. Grootste struikelblok was dat medewerkers enkel een gebruikersnaam en een wachtwoord nodig hadden om in te loggen. Er werd geen meerfactorauthenticatie toegepast terwijl dit wel vereist was. Dan heb je twee factoren of meer nodig om toegang te verkrijgen tot een systeem, netwerk of portaal, zoals een wachtwoord en code die je per sms opgestuurd krijgt.

Een jaar later legt de AP het UWV een dwangsom op, omdat het haar zaakjes op het gebied van toegangsbeveiliging niet op orde heeft. Deze bedroeg 150.000 euro per maand, met een maximum van 900.000 euro. Om deze boete te voorkomen moest de uitkeringsinstantie ervoor zorgen dat op uiterlijk 31 oktober 2019 het beveiligingsniveau van haar werkgeversportaal goed had geregeld.

Persoonsgegevens

Beveiliging van het portaal is ontzettend belangrijk, omdat werkgevers en arbodiensten hiermee ziekteverzuimgegevens van werknemers invoeren en bekijken. Ook worden er veel persoonsgegevens verwerkt van medewerkers, zoals NAW-gegevens, burgerservicenummer, financiële gegevens en gegevens over arbeidsongeschiktheid, ontslag en bevalling. De Algemene Verordening Gegevensbescherming (AVG), de opvolger van de Wet bescherming persoonsgegevens (Wbp), vereist dat dit soort gegevens extra goed wordt beveiligd.

“Het gaat om gezondheidsgegevens van ontzettend veel mensen”, zei AP-bestuursvoorzitter Aleid Wolfsen destijds. “Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat.”

Uitstel

Vlak voor de deadline vroeg het UWV om uitstel. De uitkeringsinstantie gaf aan dat veel werkgevers de stap naar eHerkenning nog niet hadden gemaakt. Hierdoor ontstond het risico dat werknemers hun ziekte- of zwangerschapsuitkering niet op tijd zouden ontvangen. Omdat de AP dit niet op haar geweten wilde hebben, besloot ze om de deadline op te schuiven naar 1 maart 2020.

Inmiddels voldoet het UWV aan de strenge beveiligingseisen van het werkgeversportaal. Werkgevers en arbodiensten kunnen voortaan alleen nog maar inloggen via eHerkenning, het digitale identificatiemiddel van de rijksoverheid. Hiermee zijn een e-mailadres en wachtwoord niet langer voldoende om in te loggen op het portaal. Het UWV voorkomt dat ze een torenhoge dwangsom moet betalen aan de AP.

Datalek

Dat het UWV niet altijd voorzichtig omspringt met persoonsgegevens, blijkt wel uit het datalek dat zich medio 2018 voordeed. Een medewerker van de uitkeringsinstantie wilde 97 werkzoekenden informatie versturen over het opzetten van een netwerkcafé. Bij 96 van hen stuurde de persoon in kwestie de verkeerde bijlage mee. In het document stonden de persoonsgegevens van 2.400 cliënten, waaronder NAW, geboortedatum, BSN en informatie over werkloosheidsuitkeringen.

Het lek werd direct verholpen door de toegang tot het bestand ongedaan te maken. Tevens werden de ontvangers gevraagd de e-mail en het bestand te verwijderen. Of dat ook daadwerkelijk is gebeurd heeft het UWV nooit kunnen controleren.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen