De AP heeft het UWV een last onder dwangsom opgelegd van 150.000 per maand met een maximum van 900.000 euro. Het beveiligingsniveau van het werkgeversportaal voldoet namelijk (nog steeds) niet. Op uiterlijk 31 oktober 2019 dient het UWV passende beveiligingsmaatregelen te hebben genomen.

Het UWV heeft een online werkgeversportaal. Daarin kunnen werkgevers en arbodiensten de ziekteverzuimgegevens van werknemers invoeren en bekijken. De persoonsgegevens die hierbij worden verwerkt zijn onder andere NAW-gegevens, BSN, financiële gegevens en gegevens over arbeidsongeschiktheid, ontslag en bevalling. Gelet op de aard van deze persoonsgegevens worden in het werkgeversportaal gegevens betreffende iemands gezondheid verwerkt. Dit betreft een bijzondere categorie persoonsgegevens (artikel 9 lid 1 AVG).

Een verantwoordelijke dient passende maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking (artikel 32 lid 1 AVG). Gelet op de aard van de gegevens geeft de AP aan dat het UWV werkgeversportaal minstens een tweefactor-authenticatie moet hebben.

Het UWV heeft (ook naar aanleiding van een eerder onderzoek) aangegeven E-herkenning te willen implementeren per 1 november 2018 met een uitrolperiode van 1 jaar. Gelet hierop heeft de AP besloten dat het UWV uiterlijk op 31 oktober 2019 aan de last moet voldoen. Bovendien dient het UWV voor 1 oktober 2018 opnieuw een risicoanalyse uit te voeren. Reden voor deze verplichting is dat het eerdere onderzoek van het UWV is gebaseerd op een verouderde versie van de Handreiking ‘Betrouwbaarheidsniveaus voor digitale dienstverlening’.

Iedere organisatie die persoonsgegevens verwerkt, moet  deze goed (passend) beveiligen. Er gelden extra hoge eisen voor het online verwerken van gezondheidsgegevens. Dit is alleen toegestaan als (minstens) wordt voldaan aan de eis van two-factor authenticatie (meer-factorauthenticatie). Bij deze vorm van toegangsbeveiliging dient de gebruiker zich op twee manieren te authentiseren. Vaak moet je iets weten (een wachtwoord) en iets doen (bijvoorbeeld een sms-code overnemen). Raad iemand uw wachtwoord, dan hebben zij nog steeds geen toegang tot de persoonsgegevens.

Houd dus rekening met dit gegeven bij het selecteren van uw toeleveranciers, of bij het bepalen van de prioriteiten bij te ontwikkelen functionaliteiten. En tot slot, als uw systeem twee-factor authenticatie ondersteunt, zorg dat het gebruik dan ook voor alle gebruikers wordt afgedwongen.

Weten of uw organisatie passende beveiligingsmaatregelen heeft getroffen of wilt u meer informatie over meerfactorauthenticatie? Neem voor pragmatisch advies contact op met AVG Juristen.

Dit artikel is een hulp. Het bericht wordt met aandacht samengesteld, maar aan de informatie kan geen enkel recht worden ontleend.