De Autoriteit Persoonsgegevens (AP) heeft het UWV een last onder dwangsom opgelegd van 15.000 euro per maand met een maximum van 900.000 euro, omdat het beveiligingsniveau van het werkgeversportaal niet voldoet.
Een organisatie die persoonsgegevens verwerkt, moet passende maatregelen nemen om deze gegevens goed te beveiligen. Aan de beveiliging van gezondheidsgegevens die online worden verwerkt, worden extra hoge eisen gesteld. De toegang daartoe moet worden beveiligd met behulp van meerfactorauthenticatie. Dit is een vorm van (toegangs)beveiliging waarbij de identiteit van de persoon die wil inloggen, op minstens twee manieren wordt gecontroleerd. Inloggen met alleen een gebruikersnaam en wachtwoord is dus niet genoeg.
Het UWV past geen meerfactorauthenticatie toe bij de toegangsverlening tot het online werkgeversportaal, waar werkgevers en arbodiensten ziekteverzuimgegevens van werknemers kunnen invoeren en bekijken. Omdat het hier om gezondheidsgegevens van werknemers gaat, is meerfactorauthenticatie vereist. De Autoriteit Persoonsgegevens constateerde een jaar geleden al dat het UWV de beveiliging van het portaal niet op orde had en legt nu dus een dwangsom op. Het UWV heeft tot 31 oktober 2019 de tijd om het het beveiligingsniveau op orde te krijgen. Als het UWV dit dan niet op orde heeft, moet zij de dwangsom betalen.
De online toegang tot gezondheidsgegevens dient altijd te zijn beveiligd met een meerfactorauthenticatie. Binnen een tandartspraktijk dus, maar ook het verzuimsysteem dat u als werkgever, arbodienst of re-integratiebedrijf gebruikt via internet, mag voor bevoegde medewerkers alleen via meerfactorauthenticatie toegankelijk zijn.
Als ondernemer bent u verplicht zich in bepaalde situaties bij te laten staan door een arbodienst of bedrijfsarts, bijvoorbeeld bij de begeleiding van zieke werknemers en het uitvoeren van arbeidsgezondheidskundig onderzoek. Deze taken staan beschreven in de Arbeidsomstandighedenwet (Arbowet).
Een verwerkersovereenkomst met een arbodienst is alleen verplicht wanneer de arbodienst taken uitvoert die niet in de Arbowet beschreven staan, maar die horen bij de eigen wettelijke taken van de werkgever. Denk daarbij aan het maken van een plan van aanpak samen met een zieke werknemer of het uitvoeren van evaluaties. In dat geval is een verwerkersovereenkomst met de arbodienst verplicht. Maak in de verwerkersovereenkomst dan ook duidelijke afspraken over de beveiliging van de gegevens!
Meer weten over beveiliging en authenticatie?
Gieljan Stevelmans
