De Nederlandse privacywaakhond, de Autoriteit Persoonsgegevens, heeft op 31 juli 2018 een dwangsom die kan oplopen tot €900.000,- opgelegd aan het UWV. Dit komt doordat het UWV gebruik maakt van een werkgeversportaal waarin de werkgever kan aangeven of een werknemer ziek of zwanger is. In dit portaal kon worden ingelogd met een e-mailadres en wachtwoord.
Beveiligingsmaatregelen
Volgens de Autoriteit voldeed het UWV hiermee niet aan de in artikel 32 van de AVG genoemde verplichting om de persoonsgegevens adequaat te beveiligen. Het UWV is op grond van dit artikel verplicht om alle passende technische en organisatorische beveiligingsmaatregelen te treffen persoonsgegevens in het portaal te beveiligen.
Dergelijke medische informatie valt onder de categorie van ‘bijzondere persoonsgegevens’ op grond van artikel 9 AVG en moeten daarom extra worden beschermd. De Autoriteit geeft aan dat bij de verwerking van bijzondere persoonsgegevens meerfactorauthenticatie moet worden gebruikt. Dit is een vorm van toegangsbeveiliging waarbij de gebruiker zich moet identificeren met minimaal twee factoren voordat hij toegang krijgt tot het portaal. Denk hierbij aan het inloggen met een pincode op de telefoon of een toegangspas. Het enkel inloggen met e-mailadres en wachtwoord – zoals het portaal nu functioneert – is dus onvoldoende om de medische gegevens te beveiligen.
De dwangsom
De Autoriteit Persoonsgegevens heeft om de overtreding van de beveiligingsplicht door het UWV te beëindigen een last onder dwangsom opgelegd. Het UWV heeft tot uiterlijk 31 oktober 2019 om de toegang tot het werkgeversportaal te beveiligen door middel van een passende vorm van meerfactorauthenticatie. Als het UWV deze dwangsom niet opvolgt moet zij – na het verstrijken van de termijn – maandelijks een bedrag van €150.000 betalen, tot de last onder dwangsom volledig is uitgevoerd (met een maximumdwangsom van €900.000).
Bron: link
De Functionaris
Ligusterbaan 16a
2908 LW Capelle aan den IJssel
KvK-nummer: 69175829
btw-nummer: NL 8577.68.190.B01
