Autoriteit Persoonsgegevens legt hoge dwangsom op aan UWV

De Autoriteit Persoonsgegevens (AP) heeft het UWV op de vingers getikt ten aanzien van de verwerking van gezondheidsgegevens. Het UWV heeft onvoldoende beveiligingsmaatregelen getroffen om het online werkgeversportaal te beschermen tegen toegang door onbevoegden. Op dit moment wordt er geen gebruik gemaakt van een meerfactorauthenticatie. Dat wil zeggen dat er bij het inloggen geen dubbele controle plaatsvindt om de identiteit van een gebruiker te controleren.

Bijzondere persoonsgegevens

Op het platform kunnen door werkgevers en arbodiensten ziekteverzuimgegevens van werknemers worden ingevoerd. Dit betekent in de praktijk dat hier veel bijzondere persoonsgegevens worden verwerkt, namelijk gezondheidsgegevens. Het UWV is als (verwerkings)verantwoordelijke verplicht om de juiste beveiligingsmaatregelen te treffen om deze persoonsgegevens te beschermen.

Last onder dwangsom

De last onder dwangsom is aan het UWV opgelegd onder het oude regime van de Wbp. Hierdoor laat de eerste boete op basis van de AVG nog even op zich wachten. Op basis van het oude artikel 13 Wbp (tegenwoordig artikel 32 AVG) moet een verantwoordelijke passende maatregelen treffen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Al op 25 november 2015 werd door de autoriteit geconstateerd dat het UWV hierin tekortschoot.

Het UWV heeft weliswaar meermaals aangegeven over te willen stappen op een meerfactorauthenticatie, maar de concrete invulling hiervan laat tot op heden op zich wachten. Hierdoor voelde de AP zich genoodzaakt om het UWV een dwangsom op te leggen van € 150.000,- per maand met een maximum van € 900.000,-. Het feit dat het UWV zelf van mening was dat het risico op inbreuk op de gezondheidsgegevens in het werkgeversportaal laag was, maakt niet dat de norm voor de verwerking van dergelijke gegevens niet meer van toepassing is.

Meerfactorauthenticatie in deze situatie noodzakelijk

De door de AP gestelde norm houdt in dat voor de beveiliging van gegevens waarop het medische beroepsgeheim en/of een ander wettelijke geheimhoudingsplicht van toepassing is, in ieder geval sprake moet zijn van een meerfactorauthenticatie wanneer toegang kan worden verkregen tot het systeem via internet. De AP baseert zich hierbij onder meer op de Code voor Informatiebeveiliging en de NEN-7510 certificering.

Voor het verwerken van gezondheidsgegevens blijkt eens te meer dat extra zorgvuldigheid moet worden geboden. Het is van belang dat je goed weet welke wet- en regelgeving van toepassing is op de (bijzondere) persoonsgegevens die jij als organisatie verwerkt. Hoe eerder je in de ontwikkelfase van software of een platform hiermee rekening houdt, des te beter.

Terug naar overzicht