Autoriteit Persoonsgegevens dwingt UWV met sanctie gegevens beter te beveiligen

Uitkeringsinstantie UWV werd vorig jaar al gewaarschuwd door de Autoriteit Persoonsgegevens (AP), omdat de beveiliging van gegevens niet op orde was. Het geduld van de AP begint op te raken en daarom dreigt de AP nu met een sanctie.

Als de beveiliging binnen een jaar nog niet op orde is, volgt een boete van 900.000 euro. De AP legt het UWV een zogeheten last onder dwangsom op, van 150.000 euro per maand. Die kan wettelijk oplopen tot 900.000 euro, omgerekend dus 6 maanden.

Gegevens over de gezondheid

Aleid Wolfsen, voorzitter van de AP: “Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat”. Het UWV past op dit moment geen meerfactorauthenticatie toe bij de toegangsverlening tot het online werkgeversportaal. Op dit moment heeft het portaal alleen een inlog met gebruikersnaam en wachtwoord. Werkgevers en arbodiensten kunnen hier in een verzuimsysteem ziekteverzuimgegevens van werknemers invoeren en bekijken. Het gaat hier om gezondheidsgegevens van werknemers. De uitkeringsinstantie is daarom als aanbieder én beheerder van dit verzuimsysteem verplicht om de toegang tot dit portaal voldoende te beveiligen door minimaal meerfactorauthenticatie toe te passen.

Nieuw systeem

In een reactie laat het UWV weten dat het ‘de beveiliging van persoonsgegevens zeer serieus’ neemt. De instantie gaat over op een nieuw inlogsysteem, eHerkenning genaamd, waar inloggen alleen kan met tweestapsverificatie.

Het UWV streeft ernaar om dit systeem voor 1 november volgend jaar ‘volledig gerealiseerd te hebben’, precies de deadline die de AP gesteld heeft.

Bron: AP, RTLZ en NRC