UWV moet beveiliging systemen verbeteren op straffe van dwangsom
Uitkeringsinstantie UWV krijgt een jaar de tijd om de beveiliging van zijn systemen te verbeteren. Als de beveiliging van de gezondheidsgegevens van werknemers op 31 oktober volgend jaar niet is verbeterd, volgt er een dwangsom.
De Autoriteit Persoonsgegevens (AP) legt het UWV deze verplichting op omdat gebleken is dat de beveiliging onvoldoende is. Werkgevers en arbodiensten kunnen de ziekteverzuimgegevens van werknemers invoeren en bekijken.
Omdat het gaat om gezondheidsgegevens, is het UWV verplicht de toegang hiertoe te beveiligen met minimaal meerfactorauthenticatie. Dat houdt in dat alleen een wachtwoord niet genoeg is om toegang te krijgen, maar dat daarnaast bijvoorbeeld ook een pincode nodig is.
Dwangsom
Als de beveiliging over een jaar niet is verbeterd, legt de AP het UWV een dwangsom op van 150.000 euro per maand met een maximum van 900.000 euro.
Het UWV heeft volgens de Autoriteit Persoonsgegevens eerder gezegd dat het de beveiliging wil verbeteren, maar dat is nog niet gebeurd. Er zijn wel maatregelen genomen om de toegang tot het werkgeversportaal voor onbevoegden tegen te gaan, maar die gaan niet over de authenticatie en zijn daardoor niet geschikt, zegt de AP.
Het UWV kwam vorige maand negatief in het nieuws toen Nieuwsuur berichtte over de aanpak van fraude met WW-uitkeringen. Medewerkers vertelden dat ze permanent onder tijdsdruk staan om een bepaald aantal WW-aanvragen per week af te handelen. De tijd die nodig is om een vermoeden van fraude te onderzoeken, krijgen ze niet. Grootschalige fraude met uitkeringen wordt daardoor niet aangepakt.