Onderzoeken Autoriteit Persoonsgegevens en Inspectie SZW 2017

Naar aanleiding van rapporten van de Autoriteit Persoonsgegevens en de Inspectie Sociale Zaken en Werkgelegenheid (SZW) hebben de Suwinet‑partijen – Sociale Verzekeringsbank (SVB), Vereniging van Nederlandse Gemeenten (VNG) en UWV – het programmaplan Borging veilige gegevensuitwisseling via Suwinet opgesteld. Daarin is samengewerkt aan verbeterde beveiliging en privacy van (persoons)gegevens die worden uitgewisseld via Suwinet.

De Autoriteit Persoonsgegevens heeft ook specifieke tekortkomingen geconstateerd in de controle, monitoring en verantwoording bij het gebruik van persoonsgegevens door partijen die gebruikmaken van Suwinet‑Inlezen. Om deze tekortkomingen weg te nemen, zijn met de afnemers die zijn aangesloten op Suwinet‑Inlezen via het Bureau Keteninformatisering Werk & Inkomen (BKWI) afspraken gemaakt over onder andere logging van en verantwoording over het gegevensgebruik via Suwinet. Hierover heeft UWV eind 2016 gerapporteerd aan de Autoriteit Persoonsgegevens. Er zijn specifieke kortetermijnherstelacties uitgevoerd naar aanleiding van het onderzoek van de Autoriteit Persoonsgegevens om de tekortkomingen zo snel mogelijk te herstellen. Daarnaast is UWV, samen met de ketenpartners, bezig om de afspraken over de verantwoording over gegevensgebruik, inclusief de punten uit het onderzoek van de Autoriteit Persoonsgegevens, structureel te borgen in een herijkt Suwi‑normenkader. Dit gebeurt in samenhang met het traject ENSIA (Eenduidige Normatiek Single Information Audit), een verantwoordingssystematiek die helpt om gemeenten in een keer verantwoording af te laten leggen over informatieveiligheidseisen vanuit verschillende sectoren. Hierin worden ook de normen met betrekking tot Suwinet meegenomen.

De Autoriteit Persoonsgegevens heeft UWV een brief gestuurd over het ontbreken van tweefactorauthenticatie in de beveiliging van de Verzuimmelder in ons werkgeversportaal. Dat is een beveiligde, dubbele inlogprocedure met zowel een wachtwoord als bijvoorbeeld een per sms toegezonden code. De Autoriteit Persoonsgegevens vindt dit een noodzakelijke beveiligingsmaatregel. UWV heeft aan de Autoriteit Persoonsgegevens laten weten tweefactorauthenticatie in 2018 via de rijksbrede generieke voorziening e‑herkenning te willen realiseren. Tot die tijd acht UWV het huidige beveiligingsniveau acceptabel. Zo sturen we onder meer activerings- en inlogcodes van het werkgeversportaal altijd naar de directie van een bedrijf. Daarnaast voert UWV voortdurende controles uit op oneigenlijke toegang tot het werkgeversportaal en passen we risicomanagement toe op de beveiliging. Naar aanleiding van het signaal van de Autoriteit Persoonsgegevens doet UWV vooronderzoek naar de implementatie van e‑herkenning. De Autoriteit Persoonsgegevens heeft in maart 2017 aangegeven onderzoek te starten naar het gebruik van meerfactorauthenticatie bij de toegang tot het werkgeversportaal van UWV.