Vandaag heeft de Autoriteit Persoonsgegevens (AP) bekend gemaakt dat zij een last onder dwangsom heeft opgelegd aan het UWV.

Deze last onder dwangsom is opgelegd omdat het werkgeversportaal dat UWV gebruikt, een onvoldoende beveiligingsniveau heeft. Vanwege het feit dat er bijzondere persoonsgegevens worden verwerkt, namelijk gezondheidsgegevens, dient de beveiliging van een hoger niveau te zijn dan nu het geval is.

Aan de beveiliging van gezondheidsgegevens die online worden verwerkt worden extra hoge eisen gesteld. De verwerking van gezondheidsgegevens via internet mag volgens de AP alleen met behulp van (minimaal) meerfactorauthenticatie. Daaraan heeft UWV niet voldaan.

Het onderzoek naar het werkgeversportaal is door de AP al gestart in maart 2017. In november 2015 heeft de AP het beveiligingsniveau al aan de orde gesteld bij UWV. In de last onder dwangsom is bepaald dat uiterlijk op 31 oktober 2019 het verlenen van toegang tot het werkgeversportaal van een passend beveiligingsniveau moet zijn voorzien. UWV krijgt dus na 3 jaar van meldingen van de AP, nu ook nog een jaar om de inlogprocedure aan te passen. Bij het niet naleven van de last onder dwangsom is UWV vanaf 31 oktober 2019 een dwangsom van EUR 150.000 verschuldigd voor iedere maand dat de last niet (geheel) is uitgevoerd, met een maximum van EUR 900.000.

Net als ten aanzien van de Belastingdienst zien we dus dat de AP genoegen neemt met beloftes om aan te passen op de lange termijn. Of de AP ook zo coulant is ten aanzien van commerciële organisaties betwijfelen wij.

Oktober 2018