You are here:
31 oktober 2018 / artikel

UWV krijgt een last onder dwangsom voor het onvoldoende beveiligen van gezondheidsgegevens

Gisteren maakte de Autoriteit Persoonsgegevens (AP) bekend dat zij op 31 juli 2018 aan het UWV een last onder dwangsom heeft opgelegd in verband met een overtreding van artikel 32 van de Algemene Verordening Gegevensbescherming (AVG).

Out with the old, in with the new: Belgian Privacy Commission becomes “Belgian Data Protection Authority”

Artikel 32 AVG vereist dat de verwerkingsverantwoordelijke, in dit geval het UWV, passende technische en organisatorische beveiligingsmaatregelen treft om de persoonsgegevens die zij verwerkt te beveiligen. Het UWV heeft het werkgeversportaal onvoldoende beveiligd door slechts éénfactorauthenticatie toe te passen, waar meerfactorauthenticatie is vereist.

Beveiliging van gezondheidsgegevens

De last onder dwangsom ziet op de beveiligingsmaatregelen van het werkgeversportaal dat het UWV gebruikt. Dit is een online omgeving waarin (onder meer) meldingen kunnen worden gedaan van zwangerschappen en ziekten. In dit portaal staan (dus) onder andere gezondheidsgegevens. Gezondheidsgegevens zijn bijzondere persoonsgegevens in de zin van de AVG en genieten, gelet op hun aard, extra bescherming. Toegang tot het werkgeversportaal wordt nu verkregen door het gebruik van een e-mailadres en wachtwoord. Dit is een vorm van éénfactorauthenticatie. De AP is van mening dat bij de verwerking van gezondheidsgegevens meerfactorauthenticatie vereist is, gelet op de stand van de techniek en de risico's voor de betrokkenen. De AP baseert zich op de Handreiking Betrouwbaarheidsniveaus voor digitale dienstverlening, versie 4, Forum Standaardisatie. Die handreiking geeft invulling aan de betrouwbaarheidsniveaus op basis van de eIDAS-verordening voor digitale identificatie- en vertrouwensdiensten. Hiermee geeft de AP een nadere invulling aan het begrip ‘passende beveiligingsmaatregelen’ voor het verwerken van gezondheidsgegevens. Doordat het UWV geen meerfactorauthenticatie toepast, noch op een andere manier passende beveiligingsmaatregelen heeft getroffen ten aanzien van het verkrijgen van toegang tot de gegevens in het werkgeversportaal, handelt het UWV in strijd met artikel 32 AVG.

Last onder dwangsom

De AP heeft de overtreding geconstateerd en onderzocht door gebruik te maken van haar (voorheen geldende) bevoegdheden op grond van artikel 60 van de Wet bescherming persoonsgegevens (Wbp). Onder de AVG (en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG)) heeft de AP vergelijkbare onderzoeksbevoegdheden. De AP heeft op grond van artikel 16 eerste lid van de UAVG en artikel 5:32 eerste lid van de Algemene wet bestuursrecht (Awb) een last onder dwangsom opgelegd. Tot op heden heeft de AP bij haar handhavingsacties telkens gebruikgemaakt van de last onder dwangsom en nog nooit van haar bevoegdheid om een bestuurlijke boete op te leggen. De last onder dwangsom heeft het doel ervoor te zorgen dat aan de geconstateerde overtreding een einde wordt gemaakt  en is daarmee een effectief middel om geconstateerde overtredingen te corrigeren. In dit geval krijgt het UWV daarvoor ruim een jaar de tijd. In de last onder dwangsom is namelijk bepaald dat uiterlijk op 31 oktober 2019 het verlenen van toegang tot het werkgeversportaal van een passend beveiligingsniveau dient te zijn voorzien, waarbij inloggen in het portaal alleen mogelijk is door middel van een passende vorm van meerfactorauthenticatie. Bij het vaststellen van deze begunstigingstermijn heeft de AP rekening gehouden met de tijd die het UWV zelf stelt nodig te hebben om het werkgeversportaal van een passend beveiligingsniveau te voorzien. Uit het besluit tot oplegging van de last onder dwangsom volgt dat het UWV voornemens is in de toekomst eHerkenning te gaan gebruiken om daarmee toegang door middel van meerfactorauthenticate te realiseren. Het UWV verwacht dit op 1 november 2019 te hebben geïmplementeerd. Bij het niet naleven van de last na het verstrijken van de begunstigingstermijn tot 31 oktober 2019 is het UWV een dwangsom van EUR 150.000 verschuldigd voor iedere maand dat de last niet (geheel) is uitgevoerd, met een maximum van EUR 900.0000. Dat kan dus behoorlijk in de papieren gaan lopen.

Contact

Heeft u vragen over de handhavingsbevoegdheden van de Autoriteit Persoonsgegevens of de stappen die uw organisatie tegen handhavingsmaatregelen kan nemen, neem dan gerust contact op met Anke Holtland of Jacobine van Beijeren van ons Data Protection & Privacy Team.



CO2 heffing komt er (toch) aan

De CO2-heffing is ondanks ‘de huidige omstandigheden’ niet uitgesteld, het ontwerpwetsvoorstel ‘ter publieke consultatie’ werd in april gepubliceerd. lees meer

Persoonsgegevens wijzigen in de Basisregistratie Personen

Op 5 februari 2020 deed de Afdeling Bestuursrechtspraak van de Raad van State een uitspraak over het recht op correctie van persoonsgegevens. lees meer

De NS volgt het juiste spoor

Een reiziger van de NS heeft een handhavingsverzoek ingediend bij de AP omdat hij meende dat de NS de privacy van reizigers schendt. lees meer