Op NU.NL van 14 november:

 

Het UWV overtreedt de wet door onzorgvuldig om te springen met gezondheidsgegevens. De instantie krijgt een tik op de vingers van de Autoriteit Persoonsgegevens (AP), de Nederlandse privacywaakhond.

De AP meldt dinsdag na onderzoek dat gezondheidsdata bij de afdeling verzuimbeheersing van het UWV worden verwerkt door medewerkers die daar niet voor bevoegd zijn.

Het UWV vraagt om gegevens over de gezondheid van burgers die een Ziektewetuitkering aanvragen. Gevoelige medische gegevens mogen alleen worden verwerkt onder het toeziend oog van een arts, maar dat gebeurt bij het UWV niet.

De AP bekritiseert ook de beveiliging van de website die werkgevers gebruiken om in te loggen bij het UWV. Hier wordt geen zogenoemde tweestapsauthenticatie gebruikt; alleen een gebruikersnaam en wachtwoord zijn voldoende om binnen te komen. Dat is volgens de AP onvoldoende: er zou ook nog een sms-code of andere tweede beveiligingsfactor aanwezig moeten zijn.

Verbeteren

Naar aanleiding van de bevindingen gaat het UWV zijn beveiliging verbeteren, meldt de uitkeringsinstantie dinsdag. Ook start de organisatie een traject om de werkwijze bij de verwerking van gezondheidsdata te veranderen. Het UWV wil op 1 januari 2019 helemaal over zijn op de nieuwe werkwijze.

Als het UWV de wetsovertredingen niet stopt, zegt de AP “tot handhaving over te gaan”. De toezichthouder kan onder meer boetes opleggen aan organisaties die zich niet aan de privacywet houden, maar heeft geen harde deadline opgelegd.