Alweer iets meer dan anderhalf jaar geleden werd het Uitvoeringsinstituut Werknemersverzekeringen (UWV) op de vingers getikt door de Autoriteit Persoonsgegevens (AP). De reden? Er waren niet voldoende beveiligingsmaatregelen getroffen om het werkgeversportaal te beschermen. Het UWV kreeg destijds tot 31 oktober 2019 de tijd om het beveiligingsniveau op orde te brengen. Inmiddels is deze deadline verstreken en kijken we hoe het UWV er nu voor staat.
Hoe zat het ook alweer?
In oktober 2018 legde de AP aan het UWV een dwangsom op van maar liefst 150.000 euro per maand met een maximum van 900.000 euro. Dit omdat er onvoldoende beveiligingsmaatregelen getroffen waren om het online werkgeversportaal te beschermen tegen toegang door onbevoegden. In dit portaal kunnen werkgevers en arbodiensten ziekteverzuimgegevens van werknemers bijhouden. Er worden dus gezondheidsgegevens van werknemers verwerkt en deze gegevens vallen onder de definitie van bijzondere persoonsgegevens onder de Algemene verordening gegevensbescherming (AVG). Het is natuurlijk altijd belangrijk om persoonsgegevens op de juiste manier te beschermen, maar zeker in dit geval, nu het ging om gezondheidsgegevens, had het UWV passende maatregelen moeten treffen om de persoonsgegevens te beveiligen. Hieronder viel volgens de AP in ieder geval het gebruik van meerfactorauthenticatie. Omdat het UWV geen gebruik maakte van een dergelijke beveiligingstechniek en werkgevers met slechts een e-mailadres en wachtwoord konden inloggen in het portaal, werd een dwangsom opgelegd. Het UWV kreeg een jaar de tijd om maatregelen te nemen. Zou de beveiliging voor 31 oktober 2019 niet op orde zijn, dan moest zij deze dwangsom betalen. Het was dus zaak voor het UWV om zo snel mogelijk het beveiligingsniveau op te krikken.
De stand van zaken op dit moment
En dat heeft het UWV, met een kleine vertraging, gedaan. Uit recent onderzoek van de AP blijkt dat het UWV de beveiliging van het online werkgeversportaal heeft verbeterd. Werkgevers en arbodiensten kunnen, in tegenstelling tot hoe het in 2018 nog geregeld was, inmiddels alleen nog maar inloggen in het werkgeversportaal middels eHerkenning. Dit beveiligingssysteem wordt beschouwd als de opvolger van DigiD voor bedrijven: waar je als burger met je DigiD veilig kunt inloggen bij verschillende overheidsinstanties, biedt eHerkenning dezelfde optie, maar dan voor bedrijven. Een passend beveiligingsniveau is dus gewaarborgd.
Maar de weg hier naartoe ging niet zonder slag of stoot. Kort voordat de deadline verliep, die de AP aan het UWV gesteld had, vroeg het UWV om uitstel. Dit omdat het veel werkgevers en arbodiensten niet gelukt was om voor 31 oktober 2019 over te gaan tot het gebruik van eHerkenning, waardoor werknemers mogelijk hun ziekte- of zwangerschapsuitkering niet op tijd zouden kunnen ontvangen. Dit was reden genoeg voor de AP om de deadline te verschuiven naar 1 maart 2020. Gelukkig haalde het UWV deze deadline wel en zijn inmiddels alle werkgevers en arbodiensten overgeschakeld op eHerkenning. De gezondheidsgegevens van werknemers die in dit portaal staan, zijn nu dus voldoende beveiligd en de dwangsom, die in 2018 werd opgelegd, hoeft daarom niet meer betaald te worden. Eind goed, al goed.