Onderzoeken Autoriteit Persoonsgegevens en Inspectie SZW 2017

Naar aanleiding van rapporten van de Autoriteit Persoonsgegevens en de Inspectie Sociale Zaken en Werkgelegenheid (SZW) hebben de Suwinet‑partijen – Sociale Verzekeringsbank (SVB), UWV en de gemeentelijke sociale diensten, vertegenwoordigd door de Vereniging van Nederlandse Gemeenten (VNG) – het programmaplan Borging veilige gegevensuitwisseling via Suwinet opgesteld. Daarin is samengewerkt aan verbeterde beveiliging en privacy van (persoons)gegevens die worden uitgewisseld via Suwinet.

De Autoriteit Persoonsgegevens heeft specifieke tekortkomingen geconstateerd in de controle, monitoring en verantwoording over het gebruik van persoonsgegevens door partijen die gebruikmaken van Suwinet‑Inlezen. Om deze tekortkomingen weg te nemen, zijn met de afnemers die zijn aangesloten op Suwinet‑Inlezen via het Bureau Keteninformatisering Werk & Inkomen (BKWI) afspraken gemaakt over onder andere logging van en verantwoording over het gegevensgebruik via Suwinet. Hierover heeft UWV eind 2016 gerapporteerd aan de Autoriteit Persoonsgegevens. Naar aanleiding van het onderzoek van de Autoriteit Persoonsgegevens zijn er specifieke kortetermijnherstelacties uitgevoerd om de tekortkomingen zo snel mogelijk te herstellen. Daarnaast is UWV, samen met de ketenpartners, bezig om de afspraken over de verantwoording over gegevensgebruik, inclusief de punten uit het onderzoek van de Autoriteit Persoonsgegevens, structureel te borgen in een herijkt SUWI‑normenkader. Voor gemeenten is het Suwinet‑normenkader voor afnemers versneld in werking getreden; dit wordt al toegepast voor het verantwoordingsjaar 2017. De herijking gebeurt in samenhang met het traject ENSIA (Eenduidige Normatiek Single Information Audit), een verantwoordingssystematiek die helpt om gemeenten in een keer verantwoording af te laten leggen over informatieveiligheidseisen vanuit verschillende sectoren. Dit traject start in 2018. In de verantwoording via ENSIA zullen gemeenten dus ook de geactualiseerde normen met betrekking tot Suwinet meenemen. De SVB en UWV zullen vanaf 2018 ook gaan werken met het geactualiseerde Suwinet‑normenkader voor afnemers.

De Autoriteit Persoonsgegevens heeft de beveiliging van de toegang tot het werkgeversportaal van UWV onderzocht. In haar rapport (eind augustus 2017) concludeert ze dat UWV geen meerfactorauthenticatie toepast (een beveiligde, dubbele inlogprocedure met zowel een wachtwoord als bijvoorbeeld een per sms toegezonden code) bij het verlenen van toegang tot het werkgeversportaal en daarmee de wet overtreedt. UWV is volgens het voorstel voor de Wet generieke digitale infrastructuur verplicht zich aan te sluiten op eHerkenning. UWV heeft aan de Autoriteit Persoonsgegevens laten weten meerfactorauthenticatie in 2018 via deze rijksbrede generieke voorziening te zullen realiseren. Door aan te sluiten op de rijksbrede generieke voorziening en geen eigen middel te ontwikkelen, voorkomen we een dubbel implementatietraject (naast eHerkenning nog een andere oplossing) dat zou leiden tot extra administratieve lasten voor werkgevers en ondoelmatige inzet van publieke middelen. Dit heeft de conclusie van de Autoriteit Persoonsgegevens niet veranderd. UWV voert momenteel vooronderzoek uit naar de implementatie van eHerkenning. Tot die tijd acht UWV het huidige beveiligingsniveau acceptabel. Zo sturen we onder meer activerings‑ en inlogcodes van het werkgeversportaal naar de directie van een bedrijf. Daarnaast voert UWV voortdurende controles uit op oneigenlijke toegang tot het werkgeversportaal en passen we risicomanagement toe op de beveiliging.