image

"UWV overtreedt privacywetgeving bij verzuimbeheer"

dinsdag 14 november 2017, 13:34 door Redactie, 16 reacties

Het Uitvoeringsinstituut Werknemersverzekeringen (UWV) overtreedt de privacywetgeving bij verzuimbeheer en de toegangsbeveiliging van het werkgeversportaal, zo stelt de Autoriteit Persoonsgegevens aan de hand van eigen onderzoek. De toezichthouder stelt vast dat het UWV gevoelige persoonsgegevens laat verwerken door medewerkers die daarvoor niet zijn bevoegd (pdf).

Het gaat dan om ziekmeldingen van mensen in het kader van een ziektewetuitkering. Deze meldingen worden bij het UWV behandeld door medewerkers verzuimbeheersing. Deze medewerkers vragen aan werknemers die zich ziek melden gegevens over hun gezondheid om de claim tot een uitkering te kunnen beoordelen. Standaard is hier geen arts bij betrokken.

Volgens de Autoriteit Persoonsgegevens zijn de UWV-medewerkers hiervoor helemaal niet bevoegd. "Het verwerken van gegevens over iemands gezondheid om te beoordelen of iemand in aanmerking komt voor een ziektewetuitkering mag alleen als dit onder verantwoordelijkheid van een arts gebeurt, bijvoorbeeld een verzekeringsarts. Dit is bij het UWV niet het geval", zo laat de toezichthouder weten.

Werkgeversportaal

Daarnaast gaat het UWV ook de fout in met de toegangsbeveiliging van het werkgeversportaal (pdf). Via dit portaal kunnen werkgevers en arbodiensten ziekteverzuimgegevens van werknemers invoeren en bekijken. Omdat het hier gaat om gevoelige gegevens van werknemers is het UWV als aanbieder én beheerder van dit verzuimsysteem verplicht om de toegang tot dit portaal voldoende te beveiligen door meerfactorauthenticatie toe te passen. Iets wat nu ontbreekt. In het geval van beide overtredingen heeft het UWV aangegeven dat het maatregelen zal treffen.

Reacties (16)
14-11-2017, 13:57 door Anoniem
Tja, ieder jaar wordt het UWV wel vanwege dit soort zaken op de vingers getikt. Net zoals arbo diensten. Toch lijkt het nooit gevolg te hebben. Is onze overheid geinteresseerd in handhaving van de regels, bij overheidsinstanties zoals het UWV ? Of boeit het simpelweg niet ?
14-11-2017, 14:38 door Anoniem
Uiterst Waardeloze Verbinding
14-11-2017, 14:50 door Anoniem
een niet overheidsinstantie zou een duw krijgen in de vorm van euro's. wiens kop gaat er nu rollen
14-11-2017, 15:01 door Anoniem
Door Anoniem: Tja, ieder jaar wordt het UWV wel vanwege dit soort zaken op de vingers getikt. Net zoals arbo diensten. Toch lijkt het nooit gevolg te hebben. Is onze overheid geinteresseerd in handhaving van de regels, bij overheidsinstanties zoals het UWV ? Of boeit het simpelweg niet ?
Het heeft wel gevolg, en het boeit wel degelijk, de radertjes draaien alleen erg traag. Als je beide rapporten opent en naar het hoofdstukje "aanleiding onderzoek" kijkt zie je dat het allebei over dingen gaat waar men bij AP al zo'n twee jaar mee bezig is.

Er waren onlangs reacties op deze website op een bericht waaruit bleek dat sommige mensen verwachten dat AP binnen een dag al actie onderneemt [1]. Wat je hier ziet is wat je in werkelijkheid kan verwachten. Het gebeurt tergend traag, maar het gebeurt wel.

Ik heb als buitenstaander geen inzicht in de details van het proces, maar het zit er dik in dat er allerlei juristen en andere specialisten geraadpleegd worden, dat er reacties worden gevraagd van de onderzochte organisaties en dat die weer hun juristen en specialisten over alle details laten buigen. Al die specialisten doen dat zorgvuldig en precies (zo gaat dat met juridische haarkloverij), en dat vergt een hoop tijd. En omdat die mensen die dat doen stapels dossiers met andere onderwerpen hebben waar ze net zo zorgvuldig mee moeten zijn kunnen ze niet alles tegelijk doen en loopt zo'n proces overal tegen wachttijden aan. Het proces is daardoor tergend traag maar zo'n rapport is daardoor wel goed doortimmerd en het zal moeilijk zijn daar nog een speld tussen te krijgen. En daardoor heeft het effect. De molen maalt langzaam maar heel fijn. Ik ben bang dat het niet anders is.

[1] https://www.security.nl/posting/537719/Energiemaatschappij+lekte+energieverbruik+Nederlandse+huishoudens
14-11-2017, 15:13 door Anoniem
Door Anoniem: een niet overheidsinstantie zou een duw krijgen in de vorm van euro's. wiens kop gaat er nu rollen
Volgens mij is het niets nieuws dat AP niet meteen met dwangsommen en boetes smijt. Bij hun is het heel gebruikelijk om met een organisatie, overheid is of commercieel, in gesprek te gaan en eerst te proberen of die niet vrijwillig aan de regels willen voldoen voor ze met dwangmiddelen gaan schermen.

Trouwens, het eerste onderzoek is door UWV zelf aangevraagd bij AP. Dat deden ze na kamervragen die weer op een artikel in Trouw volgden, maar toch, ze zijn zelf naar AP toegestapt om die een oordeel erover te laten geven.
14-11-2017, 15:30 door Anoniem
Het heeft wel gevolg, en het boeit wel degelijk, de radertjes draaien alleen erg traag. Als je beide rapporten opent en naar het hoofdstukje "aanleiding onderzoek" kijkt zie je dat het allebei over dingen gaat waar men bij AP al zo'n twee jaar mee bezig is.

10 jaar geleden waren dezelfde klachten te horen over UWV en arbodiensten. Sindsdien is er weinig verandert. Is het raar dat je dan skeptisch wordt ? Indien men bij deze instanties ook begrijpt dat dit niet kan, waarom veranderen ze dan nooit. Deze bevindingen zijn *niet* nieuw voor het UWV.
14-11-2017, 15:36 door Anoniem
Door Anoniem:
Door Anoniem: Tja, ieder jaar wordt het UWV wel vanwege dit soort zaken op de vingers getikt. Net zoals arbo diensten. Toch lijkt het nooit gevolg te hebben. Is onze overheid geinteresseerd in handhaving van de regels, bij overheidsinstanties zoals het UWV ? Of boeit het simpelweg niet ?
Het heeft wel gevolg, en het boeit wel degelijk, de radertjes draaien alleen erg traag. Als je beide rapporten opent en naar het hoofdstukje "aanleiding onderzoek" kijkt zie je dat het allebei over dingen gaat waar men bij AP al zo'n twee jaar mee bezig is.

Er waren onlangs reacties op deze website op een bericht waaruit bleek dat sommige mensen verwachten dat AP binnen een dag al actie onderneemt [1]. Wat je hier ziet is wat je in werkelijkheid kan verwachten. Het gebeurt tergend traag, maar het gebeurt wel.

Ik heb als buitenstaander geen inzicht in de details van het proces, maar het zit er dik in dat er allerlei juristen en andere specialisten geraadpleegd worden, dat er reacties worden gevraagd van de onderzochte organisaties en dat die weer hun juristen en specialisten over alle details laten buigen. Al die specialisten doen dat zorgvuldig en precies (zo gaat dat met juridische haarkloverij), en dat vergt een hoop tijd. En omdat die mensen die dat doen stapels dossiers met andere onderwerpen hebben waar ze net zo zorgvuldig mee moeten zijn kunnen ze niet alles tegelijk doen en loopt zo'n proces overal tegen wachttijden aan. Het proces is daardoor tergend traag maar zo'n rapport is daardoor wel goed doortimmerd en het zal moeilijk zijn daar nog een speld tussen te krijgen. En daardoor heeft het effect. De molen maalt langzaam maar heel fijn. Ik ben bang dat het niet anders is.

[1] https://www.security.nl/posting/537719/Energiemaatschappij+lekte+energieverbruik+Nederlandse+huishoudens

Toch lijkt het mij vrij simpel: als mensen gegevens zien die ze niet mogen zien, dan ben je fout bezig en moet je het proces aanpassen. Medische gegevens mogen alleen door artsen ingezien. Dat is niet een heel vage bepaling, dat is heel erg duidelijk.

Dat men graag zo omzichtig mogelijk te werk gaat, wellicht omdat het het UWV betreft of omdat men van langszaam werken houdt, is leuk, maar ik vind dat geen geldige reden voor deze vertraging, waarbij ondertussen de privacyschending gewoon doorgaat en mensen hier eigenlijk een vette schadevergoeding voor zouden moeten ontvangen.
14-11-2017, 20:23 door Anoniem
Was het maar 28 mei 2018 voorbij... Dan krabben ze zich wel 2x achter de oren, mits een autoriteit ook daadwerkelijk boetes gaat opleggen uiteraard.
14-11-2017, 20:24 door Anoniem
Als je voornamelijk in dure meubels voor de directie hebt geïnvesteerd...
Ik heb het gevoel dat daar (top)managers en andere managers werkzaam zijn die daar niet horen te zitten.
14-11-2017, 23:42 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Tja, ieder jaar wordt het UWV wel vanwege dit soort zaken op de vingers getikt. Net zoals arbo diensten. Toch lijkt het nooit gevolg te hebben. Is onze overheid geinteresseerd in handhaving van de regels, bij overheidsinstanties zoals het UWV ? Of boeit het simpelweg niet ?
Het heeft wel gevolg, en het boeit wel degelijk, de radertjes draaien alleen erg traag. Als je beide rapporten opent en naar het hoofdstukje "aanleiding onderzoek" kijkt zie je dat het allebei over dingen gaat waar men bij AP al zo'n twee jaar mee bezig is.

Er waren onlangs reacties op deze website op een bericht waaruit bleek dat sommige mensen verwachten dat AP binnen een dag al actie onderneemt [1]. Wat je hier ziet is wat je in werkelijkheid kan verwachten. Het gebeurt tergend traag, maar het gebeurt wel.

Ik heb als buitenstaander geen inzicht in de details van het proces, maar het zit er dik in dat er allerlei juristen en andere specialisten geraadpleegd worden, dat er reacties worden gevraagd van de onderzochte organisaties en dat die weer hun juristen en specialisten over alle details laten buigen. Al die specialisten doen dat zorgvuldig en precies (zo gaat dat met juridische haarkloverij), en dat vergt een hoop tijd. En omdat die mensen die dat doen stapels dossiers met andere onderwerpen hebben waar ze net zo zorgvuldig mee moeten zijn kunnen ze niet alles tegelijk doen en loopt zo'n proces overal tegen wachttijden aan. Het proces is daardoor tergend traag maar zo'n rapport is daardoor wel goed doortimmerd en het zal moeilijk zijn daar nog een speld tussen te krijgen. En daardoor heeft het effect. De molen maalt langzaam maar heel fijn. Ik ben bang dat het niet anders is.

[1] https://www.security.nl/posting/537719/Energiemaatschappij+lekte+energieverbruik+Nederlandse+huishoudens

Toch lijkt het mij vrij simpel: als mensen gegevens zien die ze niet mogen zien, dan ben je fout bezig en moet je het proces aanpassen. Medische gegevens mogen alleen door artsen ingezien. Dat is niet een heel vage bepaling, dat is heel erg duidelijk.

Heerlijk simpel "alleen door artsen". Als u over uw uitkering wilt procederen, dan mag uw advocaat dus uw medische gegevens niet zien? En de rechter ook niet? Want geen arts, toch? c4&@p7y
15-11-2017, 09:30 door Anoniem
Is het niet zo dat je in principe het UWV aan zou kunnen klagen voor het verwerken van persoonsgegevens zonder te voldoen aan de richtlijnen. Want ik wil niet veel zeggen ik heb de briefjes met accounts en wachtwoorden zien hangen op pc's bij het UWV.

En daarnaast hangen ze ook gewoon bij werkgevers regelmatig aan de monitoren. Bepaalde bedrijven hebben gewoon lak aan de rechten van werknemers ..bel maar naar het fnv .die kan ze zo opnoemen.

Daarnaast hebben ze het over een laag risico in die pdf. En dat is echt belachelijk.

De risico's zijn enorm voor de werknemer.

Het is maar welke methodiek je toepast. En om dan alles af te doen met E Herkenning ... dan krijg ik het gevoel dat ze de methodiek hanteren van... kijk eens zij springen van de kerk en dus doen wij het ook.

En dat is geen geldig argument. Ik vind dit een zeer ernstige zaak waarbij het risico totaal belegd wordt bij de werknemer en zij zich aan hun verantwoording ontrekken door het af te doen met een laag risico.

En nu wordt het interessant ik zou wel eens willen weten hoe ze dat risico dan hebben berekend. Dat wordt niet toegelicht dus wat ik daar las over het risico in die pdf kun je als totale non-info beschouwen.

Het blijkt dus dat ze tijdens de acceptatie van het werkgeversportaal dus niet naar de compliancy hebben gekeken met gevolgen voor de privacy van de werknemers. Juist bij dit soort systemen dien je er boven op te zitten.

Mijn inziens moet er met het gebruik van het werkgeversportaal in deze vorm met onmiddelijke ingang gestopt worden.

Wat mij betreft kan dit behandeld worden in de politiek.

Want als de overheid zo omgaat met onze gegevens heb ik er een zeer hard hoofd in. Dat is dan wederom met 2 linealen meten.

Als ik een overtreding bega mbt brandvoorschriften en ik heb bv een electriciteit leiding verkeerd aangelegd en het af doe met ach het is een laag risico dan kom ik er toch ook niet mee weg?


***************************************************************

Zolang ze onderstaande niet hebben toegepast:

De NEN-7510, die aanwijzingen geeft voor het toepassen van de Code voor informatiebeveiliging ISO/IEC
27002 in de gezondheidszorg, stelt de volgende eis:
“Informatiesystemen, die patiëntgegevens verwerken, behoren authenticatie toe te passen op basis van ten minste twee
afzonderlijke kenmerken.”
20
.

Dienen ze minmaal:

De risico analyse per direct toe te lichten
Onmiddelijk te stoppen met toegang tot het werkgeversportaal
Het systeem bevroren te worden.
Alle logbestanden dienen veilig gesteld te worden.
Er dient onmiddelijk inzichtelijk gemaakt te worden wie er toegang had, wanneer, waarmee, waarom etc..


Als we dit soort zaken in onze rechtsstaat toestaan is het einde zoek.
15-11-2017, 09:41 door Anoniem
In mijn optiek mag de 2e kamer de regering hierover ter verantwoording roepen.

Hoe zit dit?

Want gaat dit het beleid worden van hoe er met onze gegevens om wordt gegaan?

Als je hier niet boven op zit stel je wel een heel slecht voorbeeld.

Als je dit toestaat gaan zowel andere overheidsdiensten als bedrijven het als een voorbeeld gebruiken van kijk eens toen kon het ook.
15-11-2017, 10:18 door Anoniem
Heerlijk simpel "alleen door artsen". Als u over uw uitkering wilt procederen, dan mag uw advocaat dus uw medische gegevens niet zien? En de rechter ook niet? Want geen arts, toch? c4&@p7y

De wet is er duidelijk over. Dat jij het in het belachelijke probeert te trekken, dat moet jezelf weten. Een advocaat of rechter zullen afgaan op het oordeel van een arts, omdat zijn zelf medisch niet bevoegd zijn en dus *niet* op de stoel van de arts kunnen gaan zitten.

Hetzelfde geldt voor een UWV medewerker. Niemand zegt dat die medewerker arts moet zijn; wel dat ze moeten werken onder toezicht van een arts, die eindverantwoordelijke is.

Natuurlijk mag een rechter of arts, in het genoemde voorbeeld, medisch gegevens zien. En ook de UWV medewerker mag bepaalde medische gegevens zien. Dat maakt geen van genoemden tot een bevoegd arts, die op basis van die gegevens als deskundige conclusies kan trekken.

Indien jij zelf ziek bent, wil jij dan dat een uitzendkracht van 20, zonder medische kennis, jouw medisch dossier gaat interpreteren, om vervolgens zonder kennis van zaken op basis daarvan conclusies te trekken ?
15-11-2017, 10:46 door Anoniem
Door Anoniem: Toch lijkt het mij vrij simpel: als mensen gegevens zien die ze niet mogen zien, dan ben je fout bezig en moet je het proces aanpassen. Medische gegevens mogen alleen door artsen ingezien. Dat is niet een heel vage bepaling, dat is heel erg duidelijk.
Maar dan haalt UWV er de wetten bij die zij uitvoeren en de besluiten die over de invulling daarvan in Den Haag zijn genomen en voeren aan dat ze vanuit dat perspectief de juiste beslissingen hebben genomen. Als je leest wat AP geschreven heeft dan halen ze die wetten erbij, relateren wat daarin staat met wat in de WbP staat, ze maken dus een analyse van hoe die wetten op elkaar inwetten en hoe ze samen geïnterpreteerd moeten worden. Hun conclusie lijkt misschien een open deur, maar hij is wel dramatisch veel beter onderbouwd dan jouw "het lijkt me vrij simpel"-oordeel. En dat maakt uit. Als je met jouw simpele oordeel naar de rechter stapt maken de advokaten van UWV gehakt van je omdat je geen weerwoord hebt tegen wat ze aanvoeren. Met zo'n uitgewerkte onderbouwing komt ligt dat heel anders. Dáárom is het niet simpel.

Dat men graag zo omzichtig mogelijk te werk gaat, wellicht omdat het het UWV betreft of omdat men van langszaam werken houdt, is leuk, maar ik vind dat geen geldige reden voor deze vertraging, waarbij ondertussen de privacyschending gewoon doorgaat en mensen hier eigenlijk een vette schadevergoeding voor zouden moeten ontvangen.
Ik zei niet dat dat bevredigend is, het is alleen wel de realiteit. Een realiteit die denk ik helemaal niet zo eenvoudig te verbeteren is.

Zachte heelmeesters maken misschien stinkende wonden, maar bij hun tegenhangers slaagt de operatie misschien maar wil de patiënt nog wel eens overlijden. Als je stinkende lijken prefereert boven stinkende wonden is dat natuurlijk een prima aanpak.
15-11-2017, 10:58 door Anoniem
Door Anoniem:
Toch lijkt het mij vrij simpel: als mensen gegevens zien die ze niet mogen zien, dan ben je fout bezig en moet je het proces aanpassen. Medische gegevens mogen alleen door artsen ingezien. Dat is niet een heel vage bepaling, dat is heel erg duidelijk.
Ja heel erg duidelijk, maar ook heel erg onwerkbaar.
Je moet je wel bedenken dat het UWV een administratiekantoor is waar talloze gewone meldingen voorbij komen en je
gaat echt niet voldoende motivatieloze artsen vinden om daar de hele dag die meldingen te lezen en JA of NEE aan te
klikken voor al of niet voor een bepaalde periode een uitkering.
Je verwacht toch ook niet dat de 1e lijns helpdesk van je provider bemand wordt door ICT professionals met 20 jaar
ervaring en alle certificaten op zak?
Dat is niet alleen veel te duur, het is ook geen fijn werk voor die mensen dus ze zijn zo weer weg naar een uitdagender
klus.
15-11-2017, 12:18 door Anoniem
Door Anoniem:

Heerlijk simpel "alleen door artsen". Als u over uw uitkering wilt procederen, dan mag uw advocaat dus uw medische gegevens niet zien? En de rechter ook niet? Want geen arts, toch? c4&@p7y
Ja, klopt. Tenzij met je toestemming.

Een advocaat noch een rechter kunnen dit beoordelen, ze kunnen allebei wel een medicus inschakelen als deskundige om te beoordelen.

Ik dacht altijd dat ik wel aardig wat medische kennis had, maar als ik wat meelees op "medisch contact" bij de interessante gevallen dan haak ik toch echt al heel snel af.

Een rechter die pretendeert dat allemaal wel even te snappen, zou ik niet vertrouwen.

Het verstrekken van medische gegevens aan een niet-medicus ter beoordeling heeft dus weinig zin, naast dat het een schending is van de privacy omdat niet-medici niet aan het beroepsgeheim van artsen gebonden zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.