Dwangsom dreigt voor UWV om beveiliging internetportaal

Het UWV krijgt van de Autoriteit Persoonsgegevens nog een jaar om de beveiliging van gevoelige gegevens op orde te krijgen.

Het kantoor van de Autoriteit Persoonsgegeven in Den Haag. Foto Tweede Kamer

Het UWV krijgt nog een jaar om de beveiliging van een van zijn internetportalen op orde te krijgen. Anders legt de Autoriteit Persoonsgegevens (AP) een dwangsom op van 150.000 euro per maand. Dat besloot de toezichthouder dinsdag.

Als het UWV op 31 oktober 2019 de beveiliging van het werkgeversportaal niet op orde heeft wordt de maandelijkse dwangsom van kracht. In het portaal wordt privacygevoelige informatie over onder meer ziekteverzuim van werknemers verwerkt, maar het is alleen met een wachtwoord beveiligd. Dat is onvoldoende, stelt de Autoriteit. Daarom moet het UWV meerstapsauthenticatie invoeren.

De dwangsom kan oplopen tot maximaal 900.000 euro, aldus de toezichthouder in een toelichting op het besluit.

Het UWV heeft al plannen om aan te sluiten bij eHerkenning, een gestandaardiseerd systeem waardoor ondernemers veilig kunnen inloggen bij diverse overheidsinstanties. De dwangsom moet ervoor zorgen dat dit op tijd klaar is. Het UWV laat weten dat het systeem al gefaseerd ingezet wordt en dat het instituut er “alle vertrouwen” in heeft dat de beveiliging op orde is voor het verstrijken van de termijn.

Lees ook: Europese dataregels Veel bedrijven niet klaar voor nieuwe privacywet

Eénfactorauthenticatie

De AP constateerde in november dat er problemen waren met de beveiliging van het werkgeversportaal van het UWV. Volgens de toezichthouder schendt het UWV privacywetgeving door dergelijke gevoelige gegevens te beschermen via éénfactorauthenticatie (inloggen met alleen een wachtwoord).

“Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat”, aldus Aleid Wolfsen, voorzitter van de AP.

Bij meerstapsauthenticatie loggen gebruikers in door een wachtwoord te combineren met bijvoorbeeld een code die per sms naar de telefoon van de gebruiker gestuurd wordt. Kwaadwillenden kunnen daardoor minder makkelijk bij de gevoelige gegevens. Naast het wachtwoord, moet dan ook de telefoon van de gebruiker buit gemaakt zijn.

    • Rik Wassens