De Autoriteit Persoonsgegevens (AP) heeft op 31 juli 2018 aan het UWV een last onder dwangsom opgelegd waarmee implementatie van meerfactorauthenticatie wordt afgedwongen. Dit blijkt uit het persbericht van 30 oktober 2018. Opmerkelijk is dat de afgedwongen beveiliging toch al gepland was.
Werkgeversportaal UWV
De kwestie gaat over het werkgeversportaal van het UWV. In het werkgeversportaal worden o.m. NAW-gegevens, financiele gegevens en gegevens over arbeidsongeschiktheid, ontslag en bevalling verwerkt. Werkgevers kunnen inloggen op dit portaal met (slechts) een gebruikersnaam en wachtwoord.
Betere inlogprocedure vereist
De AP vindt dat - gelet op de aard van de verwerkte gegevens - een dergelijke eenvoudige manier van inloggen (eenfactorauthenticatie) onvoldoende is. Er worden bijzondere persoonsgegevens (namelijk gezondheidsgegevens) verwerkt en dat zijn gegevens met een hoger of hoger risico. Op grond van onder meer handreikingen van de overheid en de (op ISO 2700x gebaseerde) NEN7510-norm moet dan meerfactorautenticatie worden toegepast.
Langlopend onderzoek
De discussie tussen het UWV en de AP loopt al lang. Al op 25 januari 2016 heeft het UWV bij brief onderkend dat de beveiliging tekortschoot en dat de (toenmalige) Wet bescherming persoonsgegevens werd overtreden.
Aansluiting op eHerkenning vertragende factor
Het UWV geeft aan aansluiting op het stelsel van eHerkenning als beste oplossing te zien. Deze techniek wordt namelijk ook gebruikt om te voldoen aan de Europese eIDAS-verordening, waarmee (kort gezegd) binnen de EU bij overheidsinstanties met erkende inlogmiddelen moet kunnen worden ingelogd.
Uit de last blijkt dat aansluiting op eHerkenning in praktische zin alleen enige tijd niet mogelijk was, omdat de RSIN- en BSN-nummers daarmee niet beschikbaar waren. Het UWV wilde daar op wachten. In afwachting daarop zelf een eigen inlogmethode programmeren zou geen zinvolle inzet van publiek geld zijn en de gebruikers onnodig belasten.
Planning is gericht op uitrol per 1 november 2019
Uit het laatste projectplan van het UWV blijkt dat zij koerst op 1 november 2018 als implementatiedatum, met een uitrolperiode van een jaar waarin de gebruikers kunnen overstappen op de nieuwe wijze van inloggen. Later heeft zij in een hoorzitting gezegd dat implementatie in het 4e kwartaal van 2018 is gepland. Of daarmee iets anders bedoeld is dan 1 november is uit de last niet op te maken. Bij de huidige stand van zaken zou een groep van 0,7% van de gebruikers niet kunnen inloggen middels eHerkenning.
AP duldt verdere vertraging kennelijk niet
De door de AP opgelegde last sluit precies aan op die bestaande planning van het UWV. Het UWV moet uiterlijk 31 oktober 2019 het werkgeversportaal zo aanpassen dat inloggen alleen mogelijk is met meerfactorauthenticatie. Doet het UWV dit niet, dan verbeurt zij een dwangsom van € 150.000,-- per maand.
Relatief milde AP
Opmerkelijk is dat de AP geen kortere termijn stelt of niet anderszins strenger optreedt. Er is immers sprake van een werkgeversportaal dat kennelijk willens en wetens met een heel lichte vorm van beveiliging is ontworpen. En het argument dat de beveiliging niet sneller is op te schroeven wordt kennelijk ook vrij snel aanvaard.
Het is op zijn minst opmerkelijk dat de AP zo mild omspringt met een van de grootste portalen in Nederland waarin zeer veel gevoelige gegevens worden verwerkt. Het valt dan toch lastig vol te houden dat kleinschaliger overtredingen een (relatief) zwaardere sanctie verdienen. Dat is in het verleden echter wel gebeurd.
AVG voortzetting Wbp
Het is verder interessant om te zien dat de AP in het rapport herhaaldelijk stelt dat de AVG gewoon een voortzetting is van de Wbp. En in de kern is dat natuurlijk ook juist. We hebben niet opeens sinds 25 mei 2018 privacyrecht, zoals sommige media willen doen geloven.
Vragen?
Heeft u vragen over het privacyrecht? Neem dan contact op.
