UWV verbetert beveiliging werkgeversportaal na onderzoek AP

Thema's:
Beveiliging van persoonsgegevens
Uitkering en sociale zekerheid
Zieke werknemers
Personeelsgegevens

De Autoriteit Persoonsgegevens (AP) heeft na onderzoek vastgesteld dat het Uitvoeringsinstituut Werknemersverzekeringen (UWV) de beveiliging van het online werkgeversportaal heeft verbeterd. Het UWV heeft ervoor gezorgd dat werkgevers en arbodiensten alleen nog via eHerkenning kunnen inloggen in het portaal. De gezondheidsgegevens van werknemers die in dit systeem staan, zijn hiermee voldoende beveiligd. Het UWV hoeft daarom geen dwangsom te betalen.

Wat ging vooraf?

De AP concludeerde in 2017 dat de beveiliging onvoldoende was en legde het UWV in 2018 een last onder dwangsom op van 150.000 euro per maand, met een maximum van 900.000 euro. Dit was omdat het beveiligingsniveau van het werkgeversportaal niet voldeed. Het UWV paste namelijk geen meerfactorauthenticatie toe bij de toegangsverlening tot het werkgeversportaal. Werkgevers en arbodiensten kunnen in dit portaal onder andere ziekteverzuimgegevens van werknemers invoeren en bekijken.

Het UWV heeft bij de naderende deadline aan de AP aangegeven dat veel werkgevers de stap naar eHerkenning nog niet hadden gemaakt. Hierdoor ontstond het risico dat werknemers hun ziekte- of zwangerschapsuitkering niet op tijd zouden ontvangen. Vanwege deze mogelijke negatieve gevolgen gaf de AP het UWV onder voorwaarden eenmalig uitstel tot 1 maart 2020.

Verzuimgegevens

Werkgevers maken onder andere gebruik van het werkgeversportaal om werknemers ziek en beter te melden. Het UWV verstrekt ziektewetuitkeringen op grond van deze meldingen. In het werkgeversportaal worden diverse gegevens van medewerkers verwerkt, zoals NAW-gegevens, het BSN, financiële gegevens en gegevens over arbeidsongeschiktheid, ontslag en bevalling.

Werkgevers konden via internet op het portaal inloggen door een e-mailadres en wachtwoord in te voeren. De AP concludeerde dat daarmee de beveiliging van het portaal onvoldoende was.

Meerfactorauthenticatie

Een organisatie die persoonsgegevens verwerkt, moet passende maatregelen nemen om deze goed te beveiligen. Verwerkt de organisatie gezondheidsgegevens via internet, dan gelden er extra strenge eisen. Dit mag alleen als gebruikers pas toegang kunnen krijgen als zij minimaal 2 authenticatiemethoden moeten gebruiken. Bijvoorbeeld met een wachtwoord en een sms-code.

""

Lees ook

Bekijk alle actualiteit