Het Uitvoeringsinstituut Werknemersverzekeringen (UWV) overtreedt de privacywetgeving bij verzuimbeheer en de toegangsbeveiliging van het werkgeversportaal, zo stelt de Autoriteit Persoonsgegevens aan de hand van eigen onderzoek. De toezichthouder stelt vast dat het UWV gevoelige persoonsgegevens laat verwerken door medewerkers die daarvoor niet zijn bevoegd (pdf).
Het gaat dan om ziekmeldingen van mensen in het kader van een ziektewetuitkering. Deze meldingen worden bij het UWV behandeld door medewerkers verzuimbeheersing. Deze medewerkers vragen aan werknemers die zich ziek melden gegevens over hun gezondheid om de claim tot een uitkering te kunnen beoordelen. Standaard is hier geen arts bij betrokken.
Volgens de Autoriteit Persoonsgegevens zijn de UWV-medewerkers hiervoor helemaal niet bevoegd. "Het verwerken van gegevens over iemands gezondheid om te beoordelen of iemand in aanmerking komt voor een ziektewetuitkering mag alleen als dit onder verantwoordelijkheid van een arts gebeurt, bijvoorbeeld een verzekeringsarts. Dit is bij het UWV niet het geval", zo laat de toezichthouder weten.
Daarnaast gaat het UWV ook de fout in met de toegangsbeveiliging van het werkgeversportaal (pdf). Via dit portaal kunnen werkgevers en arbodiensten ziekteverzuimgegevens van werknemers invoeren en bekijken. Omdat het hier gaat om gevoelige gegevens van werknemers is het UWV als aanbieder én beheerder van dit verzuimsysteem verplicht om de toegang tot dit portaal voldoende te beveiligen door meerfactorauthenticatie toe te passen. Iets wat nu ontbreekt. In het geval van beide overtredingen heeft het UWV aangegeven dat het maatregelen zal treffen.
Deze posting is gelocked. Reageren is niet meer mogelijk.