Het geduld van de Autoriteit Persoonsgegevens met uitkeringsinstantie UWV begint op te raken. UWV heeft de beveiliging van gegevens niet op orde en werd daar een jaar geleden al voor gewaarschuwd. Als het binnen een jaar nog niet geregeld is, volgt een boete van 900.000 euro.
De AP legt het UWV een zogeheten last onder dwangsom op, van 150.000 euro per maand. Die kan wettelijk oplopen tot 900.000 euro, omgerekend 6 maanden dus. Dat hoeft de instantie overigens pas te betalen als het systeem op 31 oktober volgend jaar nog niet gemaakt is.
De AP heeft het UWV vorig jaar 14 november al gemeld dat de beveiliging 'onvoldoende' was.
Tweestapsverificatie
Het probleem zit hem in de beveiliging van het werkgeversportaal, waar bedrijven en arbodiensten gegevens over zieke werknemers doorgeven. Omdat het om gezondheidsgegevens gaat moet die beveiligd zijn met zogeheten tweestapsverificatie.
Die methode zorgt ervoor dat de inlogger na het invullen van zijn gebruikersnaam en wachtwoord ook nog een pincode invullen. Die wordt vaak toegestuurd per sms of gegenereerd met een speciaal daarvoor bedoelde app, de zogeheten authenticator.
Op dit moment heeft het portaal alleen een inlog met gebruikersnaam en wachtwoord.
Nieuw systeem
In een reactie laat het UWV weten dat het 'de beveiliging van persoonsgegevens zeer serieus' neemt. De instantie gaat over op een nieuw inlogsysteem, eHerkenning genaamd, waar inloggen alleen kan met tweestapsverificatie.
Het UWV streeft ernaar om dit systeem voor 1 november volgend jaar 'volledig gerealiseerd te hebben', precies de deadline die de AP gesteld heeft.
Met deze dubbele beveiliging zijn je online accounts pas echt veilig:
