Onderzoeken Autoriteit Persoonsgegevens en Inspectie SZW 2016

De Autoriteit Persoonsgegevens (voorheen het College bescherming persoonsgegevens, CBP) en de Inspectie SZW hebben in 2014 en 2015 onderzoek gedaan naar de naleving van de eisen die de Wet bescherming persoonsgegevens (Wbp) en de Wet structuur uitvoeringsorganisatie werk en inkomen (SUWI‑)wet- en regelgeving stellen op het punt van de gegevensuitwisseling binnen het domein van werk en inkomen en aan niet‑SUWI‑partijen. Naar aanleiding van door de Autoriteit Persoonsgegevens en de Inspectie SZW opgestelde rapporten hebben de Suwinet‑partijen (Sociale Verzekeringsbank, Vereniging van Nederlandse Gemeenten en UWV) het programmaplan Borging veilige gegevensuitwisseling via Suwinet opgesteld. Daarin wordt uitvoering gegeven aan maatregelen ter verbetering van de beveiliging en privacy van (persoons)gegevens die worden uitgewisseld via Suwinet.

De Autoriteit Persoonsgegevens heeft ook specifieke tekortkomingen geconstateerd in de beveiliging en privacy van Suwinet‑Inlezen. Om deze tekortkomingen weg te nemen, zijn met de 4 afnemers die zijn aangesloten op Suwinet‑Inlezen via het Bureau Keteninformatisering Werk & Inkomen (BKWI) afspraken gemaakt over onder andere logging van en verantwoording over het gegevensgebruik via Suwinet. Eind 2016 zal UWV aan de Autoriteit Persoonsgegevens rapporteren over de uitgevoerde maatregelen. Op basis van de door UWV genomen aanvullende acties is de Autoriteit Persoonsgegevens inmiddels van oordeel dat er geen aanleiding meer is om een zogeheten last onder dwangsom op te leggen.

De Autoriteit Persoonsgegevens heeft UWV een brief gestuurd over het ontbreken van tweefactorauthenticatie in de beveiliging van ons werkgeversportaal. Het gaat hierbij om een beveiligde inlogprocedure waarbij inloggen alleen mogelijk is door zowel een wachtwoord als een aanvullende vorm van beveiliging te gebruiken zoals een per sms toegezonden code. UWV heeft aan de Autoriteit Persoonsgegevens laten weten tweefactorauthenticatie conform de wens van de rijksoverheid mogelijk te zullen maken door middel van e‑herkenning. Hierbij zijn we afhankelijk van de opname van het Rechtspersonen en Samenwerkingsverbanden Informatie Nummer (RSIN) in e‑herkenning. Wij verwachten dat e‑herkenning in 2018 in gebruik kan worden genomen. Om de huidige beveiliging te versterken, sturen we de directie van een bedrijf dat een werkgeversaccount aanmaakt een brief met een code waarmee het account kan worden geactiveerd. Daarnaast voeren we voortdurende controles uit op oneigenlijke toegang tot het werkgeversportaal en passen we risicomanagement toe op de beveiliging. Met deze maatregelen voorkomen we op verantwoorde wijze dat onbevoegden toegang kunnen krijgen tot aan UWV verstrekte gegevens.