De Autoriteit Persoonsgegevens (AP) geeft uitkeringsinstantie UWV een jaar de tijd om de beveiliging van haar systemen te verbeteren. Is de beveiliging van de gezondheidsgegevens van werknemers op 31 oktober volgend jaar nog niet op orde, dan volgt er een dwangsom. Volgens het UWV gaat dit gebeuren middels het gestandaardiseerde, overheidsbrede inlogsysteem eHerkenning. Het streven is om eHerkenning volledig gerealiseerd te hebben voor 1 november 2019.
De Autoriteit Persoonsgegevens (AP) roept het UWV tot de orde omdat gebleken is dat de beveiliging van gezondheidsgegevens onvoldoende is. Bij dergelijke gevoelige gegevens is het UWV verplicht de toegang hiertoe te beveiligen met een meerfactorauthenticatie, een vorm van (toegangs)beveiliging waarbij de gebruiker zich via minimaal twee factoren moet legitimeren (authentiseren). Behalve een toegangswachtwoord is bijvoorbeeld ook een pincode nodig.
Volgens het AP heeft het UWV eerder aangegeven de beveiliging te zullen verbeteren, maar is hier nog nauwelijks sprake van. Wel zijn maatregelen genomen om de toegang tot het werkgeversportaal voor onbevoegden tegen te gaan, zegt de autoriteit.
De hoogte van de dwangsom is vastgesteld op 150.000 euro per maand met een maximum van 900.000 euro.
Reactie UWV
Het UWV heeft hierop gereageerd door te melden dat de instantie al geruime tijd met de AP in overleg is over het verder verhogen van het beveiligingsniveau van het Werkgeversportaal. UWV werkt in lijn met de aanbeveling van de AP met hoge prioriteit aan de volledige implementatie van het gestandaardiseerde, overheidsbrede inlogsysteem eHerkenning. Dit inlogsysteem maakt het mogelijk tweefactor-authenticatie te gebruiken. Dat betekent dat werkgevers straks naast een gebruikersnaam en wachtwoord inloggen met bijvoorbeeld een cijfercode. Het streven is om eHerkenning volledig gerealiseerd te hebben voor 1 november 2019.
De tijd die UWV neemt voor de invoering van eHerkenning is nodig vanwege de technische implementatie, de zorgvuldigheid waarmee de ingebruikname moet gebeuren en de adoptie door werkgevers. UWV claimt de eerste grote uitvoeringsorganisatie te zijn die eHerkenning op dit hoge beveiligingsniveau invoert. Vanaf eind 2018 wordt er al gefaseerd overgegaan op eHerkenning. Werkgevers die willen inloggen moeten op het portaal naast het invoeren van een wachtwoord dan ook gebruikmaken van een cijfercode.
