UWV voert informatiebeveiligingsmaatregelen door om boete te voorkomen

De Autoriteit Persoonsgegevens (AP) dwong de Uitvoeringsinstituut Werknemersverzekeringen (UWV) maatregelen te treffen om de informatiebeveiliging van het werkgeversportaal te verbeteren. Zou het UWV deze maatregelen niet doorvoeren dan kon de organisatie een boete van 150.000 euro per maand worden opgelegd met een maximum van 900.000 euro. Het UWV laat nu weten de nodige maatregelen te hebben doorgevoerd en ontloopt hierdoor de boete.

De AP stelde in 2017 vast dat het veel te eenvoudig is om het werkgeversportaal binnen te komen. Werkgevers en arbodiensten kunnen via dit portaal van het UWV persoonsgegevens zoals ziekteverzuim invoeren en bekijken. Omdat het UWV zowel aanbieder als beheerder van dit het werkgeversportaal is, is ze verplicht voldoende technische en organisatorische maatregelen te treffen, waaronder meerfactor-authenticatie. Dit was destijds niet het geval. Werkgevers en arbodiensten konden eenvoudig bij deze persoonsgevoelige informatie met alle risico’s van dien.

Het UWV heeft inmiddels meerfactor-authenticatie via eHerkenning geïmplementeerd. Inloggen middels eHerkenning kan met gebruikersnaam en wachtwoord, aangevuld met sms-code, via een app gegenereerde code of een One Time Password (OTP) dat via een token wordt gegenereerd.

In aanloop naar de deadline kreeg het UWV nog uitstel tot 1 maart 2020 om de noodzakelijke maatregelen te treffen omdat het risico ontstond dat werknemers hun ziekte- of zwangerschapsuitkering niet op tijd zouden ontvangen. De AP bevestigd nu op haar website dat het werkgeversportaal van het UWV nu voldoende is beveiligd.

#Aim2Community

#Aim2Incidents