Onderzoeken Autoriteit Persoonsgegevens en Inspectie SZW

De Autoriteit Persoonsgegevens (voorheen het College bescherming persoonsgegevens, het CBP) en de Inspectie SZW hebben in 2014 en 2015 onderzoek gedaan naar de naleving van de eisen die de Wet bescherming persoonsgegevens en de SUWI‑wet- en -regelgeving stellen aan de levering van gegevens aan SUWI- en niet‑SUWI‑partijen. Naar aanleiding van de uitkomsten van het onderzoek hebben de Suwinet‑partijen (SVB, VNG en UWV) het programmaplan Borging veilige gegevensuitwisseling via Suwinet opgesteld. Daarin hebben de 3 partijen samen gewerkt aan verbeterde beveiliging en privacy van (persoons)gegevens die worden uitgewisseld via Suwinet.

De Autoriteit Persoonsgegevens heeft ook specifieke tekortkomingen geconstateerd in de controle en monitoring van en de verantwoording over het gebruik van persoonsgegevens door partijen die gebruikmaken van Suwinet‑Inlezen. Om deze tekortkomingen weg te nemen, zijn met de afnemers die zijn aangesloten op Suwinet‑Inlezen via BKWI afspraken gemaakt over onder andere logging van en verantwoording over het gegevensgebruik via Suwinet. Hierover heeft UWV eind 2016 gerapporteerd aan de Autoriteit Persoonsgegevens. Er zijn specifieke kortetermijnherstelacties uitgevoerd om de tekortkomingen zo snel mogelijk te herstellen. Daarnaast is UWV, samen met de ketenpartners, bezig om de afspraken over de verantwoording over gegevensgebruik, inclusief de punten uit het onderzoek van de Autoriteit Persoonsgegevens, structureel te borgen in een herijkt Suwi‑normenkader.

De Autoriteit Persoonsgegevens heeft UWV een brief gestuurd over het ontbreken van tweefactorauthenticatie in de beveiliging van de Verzuimmelder in ons werkgeversportaal. Dat is een beveiligde, dubbele inlogprocedure met zowel een wachtwoord als bijvoorbeeld een per sms toegezonden code. De Autoriteit Persoonsgegevens vindt dit een noodzakelijke beveiligingsmaatregel. UWV heeft aan de Autoriteit Persoonsgegevens laten weten tweefactorauthenticatie in 2018 via de rijksbrede generieke voorziening e‑herkenning te willen realiseren. Tot die tijd acht UWV het huidige beveiligingsniveau acceptabel. Zo worden onder meer activerings- en inlogcodes van het werkgeversportaal gestuurd naar de directie van een bedrijf. Daarnaast voert UWV voortdurende controles uit op oneigenlijke toegang tot het werkgeversportaal en wordt risicomanagement toegepast op de beveiliging.