Met een dwangsom van 150.000 euro per maand dwingt de Autoriteit Persoonsgegevens (AP) het UWV de beveiliging van persoonsgegevens op orde te brengen. Het UWV is al een jaar geleden gewaarschuwd over ondermaatse bescherming van de privacy van het werkgeversportaal.

Het UWV heeft tot 31 oktober 2019 de tijd om de beveiliging van het werkgeversportaal te verbeteren. Daarna geldt de dwangsom, die kan oplopen tot een maximale boete van 900.000 euro.

Nog altijd geen meerfactorauthenticatie

Het UWV past ondanks eerdere toezeggingen nog altijd geen meerfactorauthenticatie toe bij de toegang tot het online portaal voor werkgevers. Werkgevers en arbodiensten kunnen in het systeem verzuim- en gezondheidsgegevens van werknemers invoeren en bekijken. Volgens het UWV wordt het portaal gebruikt door circa 130.000 werkgevers.

Om toegang door onbevoegden tegen te gaan zijn wel andere maatregelen genomen, maar die zijn niet gericht op authenticatie. Het UWV is als aanbieder en beheerder van het verzuimsysteem verplicht om de toegang met minimaal meerfactorauthenticatie te beveiligen, zegt de AP.

De AP stelt extra hoge eisen aan de beveiliging van gezondheidsgegevens die online worden verwerkt. Volgens AP-voozitter Aleid Wolfsen gaat het om gezondheidsgegevens van ‘ontzettend veel mensen’. ‘Zij moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat.’

Al eerder op de vingers getikt

Meerfactorauthenticatie is een vorm van (toegangs)beveiliging waarbij gebruikers zich op minimaal twee manieren moeten authentiseren om toegang te krijgen.

In november 2017 tikte de AP het UWV al op de vingers over de tekortschietende beveiliging. De dwangsom geldt volgens de AP nu als een extra stok achter de deur. Het UWV zegt er zeker van te zijn dat de organisatie op tijd klaar zal zijn met de vereiste aanpassingen.

Het privacyreglement

Ondernemingsraden hebben een controlerende functie bij de gegevensbescherming. De or doet er daarbij goed aan zich te richten op de problemen en de kansen van het privacyreglement.