UWV hoeft AP geen boete te betalen nu eHerkenning op werkgeversportaal is gezet

Het UWV hoeft geen boete te betalen aan de Autoriteit Persoonsgegevens voor het slecht beveiligen van het werkgeversportaal. Het uitkeringsinstituut heeft eHerkenning geïmplementeerd en voldoet daarmee volgens de toezichthouder aan de eisen.

De Autoriteit Persoonsgegevens had onderzoek gedaan naar de beveiliging bij het Uitvoeringsinstituut Werknemersverzekeringen. Dat begon eind 2017 al. Een jaar later concludeerde de privacytoezichthouder dat het UWV de beveiliging van het werkgeversportaal niet op orde had. Daarvoor kreeg het UWV een last onder dwangsom, oftewel een voorwaardelijke boete, van maximaal 900.000 euro. Die hoeft het instituut nu niet te betalen.

De AP gaf het UWV tot 31 oktober 2019 om de beveiliging op orde te krijgen. Het UWV vroeg later om uitstel en kreeg dat tot 1 maart 2020. De AP ging akkoord omdat er zonder het uitstel een kans bestond dat werknemers hun ziekte- of zwangerschapsuitkeringen niet op tijd zouden krijgen.

Het probleem zat vooral in het feit dat er geen tweestapsverificatie op de portal stond. Alleen een e-mailadres en wachtwoord vond de AP niet genoeg beveiliging. Juist bij de portal van het UWV was dat nodig. De portal wordt gebruikt door werkgevers die er ziekmeldingen mee doorgeven. In de portal staan naast naw-gegevens ook burgerservicenummers, financiële gegevens en gezondheidsgegevens, zoals data over zwangerschappen. Onder de AVG en de voorgaande Wet bescherming persoonsgegevens horen dat soort gegevens extra goed beveiligd te worden.

Inmiddels voldoet het UWV aan de eisen, schrijft de AP. Werkgevers en arbodiensten kunnen voortaan alleen nog op de portal inloggen via eHerkenning, het digitale identificatiemiddel van de overheid. Daarmee is de portal goed genoeg beveiligd en zal de AP de last onder dwangsom niet opeisen.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 04-06-2020 15:49 37

04-06-2020 • 15:49

37

Lees meer

Nederlandse uitkeringsinstantie moet opleidingssubsidie uitstellen door storing
Nederlandse uitkeringsinstantie moet opleidingssubsidie uitstellen door storing Nieuws van 28 februari 2023
Belastingdienst compenseert ondernemers die verplicht eHerkenning gebruiken
Belastingdienst compenseert ondernemers die verplicht eHerkenning gebruiken Nieuws van 30 augustus 2022
BKR krijgt boete van 830.000 euro wegens geld vragen voor inzage dossier
BKR krijgt boete van 830.000 euro wegens geld vragen voor inzage dossier Nieuws van 6 juli 2020
Autoriteit Persoonsgegevens ondernam vorig jaar 1180 keer actie tegen bedrijven
Autoriteit Persoonsgegevens ondernam vorig jaar 1180 keer actie tegen bedrijven Nieuws van 1 juli 2020
Privacywaakhond waarschuwt supermarkten die gezichtsherkenningscamera's inzetten
Privacywaakhond waarschuwt supermarkten die gezichtsherkenningscamera's inzetten Nieuws van 5 juni 2020
UWV maakte in 2019 606 keer melding van datalek
UWV maakte in 2019 606 keer melding van datalek Nieuws van 27 mei 2020
UWV gaat beleid rond verwerken ziekmeldingen aanpassen na klacht AP
UWV gaat beleid rond verwerken ziekmeldingen aanpassen na klacht AP Nieuws van 1 augustus 2019
Criminelen downloaden 117.000 cv's van UWV via werkgeversaccount - update
Criminelen downloaden 117.000 cv's van UWV via werkgeversaccount - update Nieuws van 3 mei 2019
UWV stelt pas eind 2019 meerfactorauthenticatie in voor online portaal - update
UWV stelt pas eind 2019 meerfactorauthenticatie in voor online portaal - update Nieuws van 30 oktober 2018
Meer producten en artikelen
Beveiliging en antivirus Politiek en recht Autoriteit Persoonsgegevens uwv

Reacties (37)

-Moderatie-faq
37
32
18
2
1
10
Wijzig sortering
ocf81 4 juni 2020 16:00
Dit is één aspect van de digitale kant van het UWV. Helaas kom je er als werkzoekende niet zo goed vanaf. Sinds een jaar of twee worden alle emailadressen van werk.nl geschraapt en de activatie van je profiel werk.nl is bij aanvraag van een uitkering automatisch. Ik heb al een paar keer een ander (uniek) email adres ingegeven en telkens komen er na een paar weken spam mails op dat adres :r
tja @ocf814 juni 2020 16:10
ik herken dit wel, ik vraag me af of dit hier iets mee te maken zou kunnen hebben.
nieuws: UWV maakte in 2019 606 keer melding van datalek
sumac @ocf814 juni 2020 16:44
Dit kun je melden bij het UWV, bij de privacy-beheerder, via privacy@uwv.nl. Als zij naar jou mening geen oplossing bieden, of te lang wachten, dan kun je naar de AP stappen.
Cio @ocf815 juni 2020 09:12
Ik vraag me al bijna 2 jaar af waarom ik opeens 'Nederlandse' spam krijg op mijn primaire mailadres, wat ik alleen voor serieuze zaken gebruik. Zeker 5 jaar lang kunnen vermijden namelijk.

Blijkbaar had ik het UWV niet serieus moeten nemen....
quinn77 @Cio6 juni 2020 16:15
Ja, nu snap ik het zelf ook, best wel erg en ik sta nog maar 3 maand erop...
Ch4oZZzz @ocf815 juni 2020 13:40
Ook mooi is dat je je cv anoniem kan plaatsen wat het UWV je af zal raden omdat mogelijke werkgevers dan minder interesse hebben. Of je cv openbaar plaatsen waarbij dus ook je volledige adresgegevens openbaar staan. Waarom die volledige adresgegevens een Plaats is toch voldoende om te kijken of iemand in de buurt woont.
Kan je over klagen wat je wil doen ze niks mee, ook AP niet!
Tomtomgogo 4 juni 2020 16:02
Het klinkt wellicht raar maar dit komt op mij net over als de volgende situatie. Kind wil zijn bord niet leeg eten. Ouder waarschuwt. Kind eet zijn bordje toch niet leeg. Kind wordt naar boven gestuurd. Toch eet het kind snel zijn bord leeg. Nu hoeft hij niet meer naar boven.
stuiterveer @Tomtomgogo4 juni 2020 16:22
Het is een dwangsom, dus de volgende analogie is beter:

Kind eet zijn bord niet leeg, ouder waarschuwt. Kind wil nog steeds niet, ouder waarschuwt dat het op moet voor 18:00 en dat hij anders zonder eten direct naar boven wordt gestuurd. Kind eet geïrriteerd langzaam zijn eten op, maar is alsnog op tijd dus hoeft dan is aan de voorwaarde voldaan waardoor het met een sisser afloopt.
Zyppora @stuiterveer4 juni 2020 19:56
Het is alleen wel jammer dat de waarschuwing om 20:30 komt. Het equivalent de 18:00 in jouw verhaal is 25 mei 2018.
desp @Zyppora4 juni 2020 20:54
Kan iemand me duiden waarom pas sinds 25 mei 2018 (dus wrgens AVG) de gegevens "extra" goed beveiligd moesten zijn zoals in dit artikel wordt veronderstelt? Waar volgt dat uit?

Edit: zelf uitgezocht. Dat is niet zo. Voor 25 mei 2018 speelde hetzelfde verhaal. Het onderzoek van de AP begon zelfs ergens in 2017.

[Reactie gewijzigd door desp op 23 juli 2024 07:51]

Tintel
@Zyppora5 juni 2020 16:51
Idd. Het blijft bizar hoe bepaalde instanties worden ontzien terwijl een burger vaak per direct een boete moet betalen.
The Realone @Tomtomgogo4 juni 2020 16:08
Dit is toch precies wat je wil? Wat heeft het voor nut om de boete met publiek geld te laten betalen? Het doel is toch betere beveiliging en dat is nu bereikt.
paulmes @The Realone4 juni 2020 16:14
Reageren ze dan alleen op overheid, nee toch, denk dat je als bedrijf gewoon de klos bent.
sumac @paulmes4 juni 2020 16:49
Als bedrijf krijg je ook een dergelijke kans.
Tha_Butcha @The Realone4 juni 2020 16:22
Dus publiek gefundeerde instellingen hoef je defacto (financieel) niet te straffen?
The Realone @Tha_Butcha4 juni 2020 21:04
Straffen zeker wel, alleen heeft een financiële straf meestal erg weinig nut. De dienst moet doordraaien en als een boete er uiteindelijk voor zorgt dat deze in moeilijkheden komt dan is dat natuurlijk erg dom. Vindt je niet? Leidinggevenden moeten tot de verantwoordelijkheid geroepen worden en de consequenties voelen, niet de burger.

En nogmaals, het doel is bereikt en daar gaat het uiteindelijk om. Ze hadden het ook niet op kunnen lossen en een geldboete kunnen krijgen. Welke situatie heb je dan? Publiek geld wordt in een ander potje geduwd en de beveiligingslekken waren nog steeds aanwezig geweest. Klinkt dat goed?
Lodd @Tha_Butcha4 juni 2020 18:56
Je zou kunnen betogen dat een financiële straf niet passend is. De verantwoordelijke individuen merken daar in de praktijk weinig van (het is niet hun geld) en het stimuleert ook niet om de verantwoordelijkheid bij de juiste functionarissen te leggen. Er is simpelweg minder budget en de burger wordt nog het meest geraakt.

In plaats daarvan zou je de verantwoordelijke bestuurders bijvoorbeeld (straf)rechtelijk aan kunnen pakken of sancties in de arbeidsverhouding opleggen danwel uit hun functie zetten. Dat soort sancties worden nu zelden tot nooit ingezet en dat zou best wat meer kunnen.
latka @The Realone4 juni 2020 16:40
Als ik 2 jaar ga doen over het doen van mijn belastingaangifte dan gaat de fiscus door het lint. Deze mensen worden betaald om iets te regelen en hebben er wel heel erg lang voor nodig. Leg mij maar uit hoe dat komt?
The Realone @latka4 juni 2020 21:08
Jouw belastingaangifte stelt niks voor, zeker niet vergeleken met dit. Als alle miljoenen burgers die aangifte moeten doen er jaren over mogen doen kun je de hele belastingdienst wel opdoeken.

De wereld is niet altijd "eerlijk", ik hoop dat je dat kunt accepteren.
latka @The Realone4 juni 2020 22:33
Het is denk imho niet zozeer een wereld die niet eerlijk is, maar incompetente pipos op verkeerde plaatsen.
mjz2cool @Tomtomgogo4 juni 2020 16:05
Dan is het doel toch bereikt? Dat kind zal de volgende keer gelijk het bord leegeten. Maar dat werkt voor het UWV natuurlijk niet, tenzij ze bewust de boel slecht hadden beveiligd.

[Reactie gewijzigd door mjz2cool op 23 juli 2024 07:51]

dec0de @mjz2cool4 juni 2020 17:05
Nee, dat kind leert dat hij gewoon kan wachten tot er een conseqentie komt, en dat hij er dan nóg onderuit kan komen
Verwijderd1 @dec0de4 juni 2020 23:25
Dat is toch de bedoeling? Die dwangsom is immers ingevoerd door de Nederlandse wetgever als aanvulling op de AVG in de Uitvoeringswet AVG. Het NJB zegt erover:
In Nederland zijn de Autoriteit persoonsgegevens en het veld vertrouwd met de toepassing van de last onder dwangsom en de last onder bestuursdwang. Dit is een meer laagdrempelige manier voor de toezichthouder om handhaving te bewerkstelligen, zonder dat er onmiddellijk een boete hoeft te worden opgelegd. Deze bevoegdheden worden onder de uitvoeringswet gehandhaafd. Een belangrijke nieuwe bevoegdheid is het opleggen van administratieve geldboetes tot € 20 miljoen of 4% van de jaaromzet indien dit een hoger bedrag oplevert. De verordening bevat geen minimale hoogte voor de administratieve boete. Het besluit tot oplegging van een boete is een besluit in de zin van de Awb.
https://www.njb.nl/wetgev...laden/uitvoeringswet-avg/
Fenna @Tomtomgogo4 juni 2020 17:05
Zie het als een business case: het kost geld om deze verandering te maken. Maar het levert verder niets op (even kort door de bocht gezien). Dus waarom zou je er dan tijd en geld insteken om dit te verbeteren. Totdat er echter een boete boven je hoofd hangt. Dan kan je het afwegen: is de boete duurder dan het implementeren van de oplossing, ja of nee?
adje123 @Tomtomgogo4 juni 2020 16:06
maar het doel is bereikt toch?
Overheidsinstanties beboeten heeft geen zin want de rekening komt toch wel bij de burger te liggen. Dat is nou eenmaal de keiharde realiteit en dat is (bijna) alleen maar te accepteren.
Jemboy @adje1234 juni 2020 18:25
Ik zie het toch anders. Stel UWV krijgt € 100 miljoen/jaar om het bedrijf te runnen.
Op het moment dat ze een boete krijgen van € 900.000 ,dan is dat geld, dat ze dit jaar niet meer kunnen uitgeven.
Dit kan bv. inhouden dat ze het meubilair later moeten vervangen, de top tijdelijk economy ipv business moet vliegen, de wekelijkse vrijdagmiddag borrels niet meer doorgaan, de UWV sportdag niet meer doorgaat of dat er ergens anders moet worden bezuinigd.

Ik kan me indenken dat het uitvoeren van 1 of meerdere van dit soort bezuinigingen tot onvrede kan leiden bij het personeel wat nooit leuk is als leidinggevende.

Bovenstaande voorbeelden niet echt, maar zijn uit mijn duim gezogen!!!

[Reactie gewijzigd door Jemboy op 23 juli 2024 07:51]

Prinzie 4 juni 2020 16:15
Dus, je wordt op de vingers getikt door AP. Maar je hebt vervolgens jaren lang de tijd om dit probleem op te lossen? Wat klopt hier niet?
PdeBie @Prinzie4 juni 2020 16:22
Het UWV is zo'n complex geheel, dat is niet met een paar maandjes geregeld.
theduke1989 @PdeBie4 juni 2020 16:32
Dus is geen reden om niet te betalen. Het complex maken is dan een menselijke fout. Geen genade. Hadden gewoon moeten betalen.
latka @PdeBie4 juni 2020 16:41
Het UWV heeft het zichzelf complex laten maken. Alles ligt buiten de deur (beheer en bouw) en als je beweegt binnen het UWV ben je al verdacht. Dat is niet een complexe organisatie, maar een zieke organisatie.
TWyk @Prinzie5 juni 2020 10:14
Dit is wat makkelijk gedacht.
De methode die de overheid bedacht heeft voor werkgever, E-herkenning, kost die werkgevers geld.
Er is dus veel verzet van werkgevers tegen deze methodiek die hen gewoon veel geld kost en voor veel zaken niet echt voordelen biedt.

Dus ondanks dat het UWV meermaals heeft uitgesteld en een campagne heeft gevoerd om werkgevers voor te lichten waren nog steeds veel werkgever niet gereed voor E-herkenning.

Als E-herkenning was ingevoerd direct na de melding van het AP had het een gigantisch puinhoop geworden omdat toen het merendeel van de werkgevers niet klaar er voor waren.

Veel beter was het geweest als de overheid een gratis systeem had ingevoerd.
Dat had veel sneller uitgerold kunnen worden onder de werkgevers.
theduke1989 4 juni 2020 16:31
Maar dit is aangepast pas nadat.

Dus gewoon laten betalen, geen medelijden.

[Reactie gewijzigd door theduke1989 op 23 juli 2024 07:51]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq