Inloggen met slechts e-mailadres en wachtwoord, het gebeurt zo vaak. Maar wat als de portal waarop u inlogt gezondheidsgegevens bevat? Dan is deze vorm van beveiliging wel erg magertjes. Dat vindt de Autoriteit Persoonsgegevens (AP) ook. Het UWV heeft afgelopen week een sanctie ontvangen, omdat de werkgeversportal onvoldoende beveiligd is. Kunt u zo’n sanctie ook verwachten voor uw portal?
De sanctie voor het UWV
De AP heeft het UWV een last onder dwangsom opgelegd van € 150.000,00 per maand met een maximum van € 900.000,00. Uiterlijk 31 oktober 2019 moet de organisatie voldoen aan de eisen. Voldoet het UWV niet, dan is de dwangsom verschuldigd.
Maar waarom krijgt het UWV deze sanctie?
Inloggen op het werkgeversportal van het UWV gebeurt nu alleen met e-mailadres en wachtwoord. Dat is onvoldoende, aldus de AP.
UWV verwerkt immers zeer gevoelige gegevens. De portal stelt werkgevers onder meer in staat om ziekteverzuimgegevens van hun werknemers in te voeren en te bekijken. Dat zijn gezondheidsgegevens.
En dus….
….zijn het volgens de Algemene Verordening Gegevensbescherming (AVG) bijzondere persoonsgegevens. En daarvoor gelden hogere beveiligingseisen.
De oplossing: meerfactorauthenticatie
Het inloggen op de werkgeversportal van UWV vraagt om (minimaal) meerfactorauthenticatie. Oftewel inloggen op meer dan 1 manier. Bijvoorbeeld met wachtwoord en sms-code.
UWV gaat dit oplossen door aan te sluiten bij het stelsel van eHerkenning.
De grote vraag is:
hoe zit het met uw portal? Is deze goed genoeg beveiligd of kunt u ook een sanctie verwachten? We lichten de eisen van de AVG op dit gebied nog een keer toe.
Uw portal AVG-proof?!
De AVG eist dat bij de verwerking van persoonsgegevens passende technische en organisatorische maatregelen worden getroffen. Hiermee dient u een op het risico afgestemd beveiligingsniveau te waarborgen.
Passende maatregelen zijn afhankelijk van de risico’s die worden gelopen bij de verwerking van persoonsgegevens. Deze zijn per organisatie en per project anders te interpreteren en onderhevig aan veranderingen in de techniek.
Bij de beoordeling van het ‘juiste’ beveiligingsniveau, moet worden gekeken naar de verwerkingsrisico’s. Wat zijn de consequenties in geval van vernietiging, verlies, wijziging of ongeoorloofde toegang tot de verwerkte persoonsgegevens?
Nu even praktisch:
verwerkt u bijzondere persoonsgegevens waarop via een portal ingelogd kan worden? Denk aan gegevens over:
gezondheid
strafbare feiten
ras
politieke opvatting
geloofsovertuiging
Dan moet u beoordelen welke beveiligingseisen hiervoor gelden. Dat kan dus ook, zoals voor het werkgeversportal van UWV geldt, (minimaal) meerfactorauthenticatie zijn. Ook voor andere (bijzondere) persoonsgegevens zoals financiële gegevens gelden hogere beveiligingseisen.
PIA biedt uitkomst
Zorg dat u uw risico’s goed in kaart brengt, zodat u zeker weet dat u voldoet aan de eisen van de AVG. Een Privacy Impact Assessment (PIA) vormt hiervoor een uitstekend uitgangspunt.
U vindt een handreiking voor de uitvoering van een PIA op de website van de beroepsorganisatie voor IT-auditors (NOREA).
Zeker weten dat u voldoet aan de AVG?
Wilt u weten of uw organisatie en/of uw portal voldoen aan de AVG? Onze ICT-juristen kunnen de juridische beoordeling voor uw organisatie doen. Neem vandaag nog contact op met een van onze ICT-juristen via 010 2290 646 en wij gaan voor u aan de slag.
Ontvang onze blogs in uw mailbox
Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.