Gisteren maakte de Autoriteit Persoonsgegevens (AP) bekend dat zij op 31 juli 2018 aan het UWV een last onder dwangsom heeft opgelegd in verband met een overtreding van artikel 32 van de Algemene Verordening Gegevensbescherming (AVG). Artikel 32 AVG vereist dat de verwerkingsverantwoordelijke, in dit geval het UWV, passende technische en organisatorische beveiligingsmaatregelen treft om de persoonsgegevens die zij verwerkt te beveiligen. Het UWV heeft het werkgeversportaal onvoldoende beveiligd door slechts éénfactorauthenticatie toe te passen, waar meerfactorauthenticatie is vereist.

Beveiliging van gezondheidsgegevens

De last onder dwangsom ziet op de beveiligingsmaatregelen van het werkgeversportaal dat het UWV gebruikt. Dit is een online omgeving waarin (onder meer) meldingen kunnen worden gedaan van zwangerschappen en ziekten. In dit portaal staan (dus) onder andere gezondheidsgegevens. Gezondheidsgegevens zijn bijzondere persoonsgegevens in de zin van de AVG en genieten, gelet op hun aard, extra bescherming. Toegang tot het werkgeversportaal wordt nu verkregen door het gebruik van een e-mailadres en wachtwoord. Dit is een vorm van éénfactorauthenticatie. De AP is van mening dat bij de verwerking van gezondheidsgegevens meerfactorauthenticatie vereist is, gelet op de stand van de techniek en de risico's voor de betrokkenen. De AP baseert zich op de Handreiking Betrouwbaarheidsniveaus voor digitale dienstverlening, versie 4, Forum Standaardisatie. Die handreiking geeft invulling aan de betrouwbaarheidsniveaus op basis van de eIDAS-verordening voor digitale identificatie- en vertrouwensdiensten. Hiermee geeft de AP een nadere invulling aan het begrip ‘passende beveiligingsmaatregelen’ voor het verwerken van gezondheidsgegevens. Doordat het UWV geen meerfactorauthenticatie toepast, noch op een andere manier passende beveiligingsmaatregelen heeft getroffen ten aanzien van het verkrijgen van toegang tot de gegevens in het werkgeversportaal, handelt het UWV in strijd met artikel 32 AVG.

Last onder dwangsom

De AP heeft de overtreding geconstateerd en onderzocht door gebruik te maken van haar (voorheen geldende) bevoegdheden op grond van artikel 60 van de Wet bescherming persoonsgegevens (Wbp). Onder de AVG (en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG)) heeft de AP vergelijkbare onderzoeksbevoegdheden. De AP heeft op grond van artikel 16 eerste lid van de UAVG en artikel 5:32 eerste lid van de Algemene wet bestuursrecht (Awb) een last onder dwangsom opgelegd. Tot op heden heeft de AP bij haar handhavingsacties telkens gebruikgemaakt van de last onder dwangsom en nog nooit van haar bevoegdheid om een bestuurlijke boete op te leggen. De last onder dwangsom heeft het doel ervoor te zorgen dat aan de geconstateerde overtreding een einde wordt gemaakt en is daarmee een effectief middel om geconstateerde overtredingen te corrigeren. In dit geval krijgt het UWV daarvoor ruim een jaar de tijd. In de last onder dwangsom is namelijk bepaald dat uiterlijk op 31 oktober 2019 het verlenen van toegang tot het werkgeversportaal van een passend beveiligingsniveau dient te zijn voorzien, waarbij inloggen in het portaal alleen mogelijk is door middel van een passende vorm van meerfactorauthenticatie. Bij het vaststellen van deze begunstigingstermijn heeft de AP rekening gehouden met de tijd die het UWV zelf stelt nodig te hebben om het werkgeversportaal van een passend beveiligingsniveau te voorzien. Uit het besluit tot oplegging van de last onder dwangsom volgt dat het UWV voornemens is in de toekomst eHerkenning te gaan gebruiken om daarmee toegang door middel van meerfactorauthenticate te realiseren. Het UWV verwacht dit op 1 november 2019 te hebben geïmplementeerd. Bij het niet naleven van de last na het verstrijken van de begunstigingstermijn tot 31 oktober 2019 is het UWV een dwangsom van EUR 150.000 verschuldigd voor iedere maand dat de last niet (geheel) is uitgevoerd, met een maximum van EUR 900.0000. Dat kan dus behoorlijk in de papieren gaan lopen.