De Autoriteit Persoonsgegevens heeft het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een last onder dwangsom opgelegd om het werkgeversportaal beter te beveiligen. Als de overheidsinstantie de beveiliging niet verbetert moet het 150.000 euro per maand betalen, met een maximum van 900.000 euro.
Werkgevers en arbodiensten kunnen via het online werkgeversportaal van het UWV ziekteverzuimgegevens van werknemers invoeren en bekijken. Het gaat hier om gevoelige gegevens, waardoor het UWV als aanbieder én beheerder van dit verzuimsysteem verplicht is om minimaal meerfactorauthenticatie toe te passen. Al vorig jaar november concludeerde de toezichthouder dat dit niet zo is. Een jaar later blijkt dit nog steeds het geval te zijn.
Het UWV heeft wel aangegeven meerfactorauthenticatie te willen implementeren via eHerkenning. EHerkenning is een inlogmiddel voor ondernemers waarmee toegang tot de online dienstverlening van overheidsorganisaties kan worden verkregen. Het biedt onder andere meerfactorauthenticatie. De implementatie bij het UWV heeft echter nog niet plaatsgevonden. Wel zijn er andere maatregelen getroffen om toegang door onbevoegden tot het werkgeversportaal tegen te gaan, maar deze gaan niet over de authenticatie en zijn daardoor niet passend, aldus de Autoriteit Persoonsgegevens.
Het UWV heeft tot 31 oktober 2019 de tijd gekregen om het beveiligingsniveau van het werkgeversportaal te verbeteren, waarbij inloggen in het portaal alleen mogelijk moet zijn door middel van een passende vorm van meerfactorauthenticatie. Anders moet de instantie 150.000 euro per maand betalen met een maximum van 900.000 euro. "Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat", zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens.
Deze posting is gelocked. Reageren is niet meer mogelijk.