Privacywaakhond laat UWV tanden zien

Wat is er aan de hand?

“De Autoriteit Persoonsgegevens (AP) legt het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een last onder dwangsom op van 150.000 euro per maand met een maximum van 900.000 euro omdat het beveiligingsniveau van het werkgeversportaal niet voldoet. Op uiterlijk 31 oktober 2019 moet het UWV het beveiligingsniveau van dit portaal op orde hebben. Als het UWV dit dan niet op orde heeft, moet zij de dwangsom betalen. Aleid Wolfsen, voorzitter van de AP: “Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat””.

Wat is precies het probleem?

De verwerking van gezondheidsgegevens via internet mag alleen met behulp van (minimaal) meerfactorauthenticatie. Dit is een vorm van (toegangs)beveiliging waarbij de gebruiker zich op minimaal twee manieren moet authentiseren om toegang te krijgen tot een computer of applicatie. Bijvoorbeeld met een wachtwoord in combinatie met een sms-code.

UWV past geen meerfactor authenticatie toe terwijl dit als het om gezondheidsgegevens gaat een passende maatregel is en passende maatregelen verplicht zijn als je persoonsgegevens verwerkt. UWV krijgt een jaar de tijd om het op te lossen. Als het niet lukt kost dat €150.000,– euro. Per maand.

Wat nemen we ervan mee?

Voor sommige cynici levert een bijtende waakhond een verwarrende vorm van genoegdoening op. Volgens mij is het evenwel goed dat AP zich primair richt op een organisatie als UWV. Vertrouwen in publieke organisaties is belangrijk. De Autoriteit toont aan onderbouwing van dit vertrouwen desnoods af te dwingen. Dit maakt mijn over het algemeen uitstekende nachtrust weer net ietsje beter. Dat we de boete, als ie valt, uiteindelijk met zijn allen betalen doet daar weinig aan af. Voor nu resteert eenieder de tip om niet werkloos te worden voor 31 oktober 2019.

 

Geef een reactie

2 Comments