Portal? Denk aan meerfactorauthenticatie – UWV krijgt een sanctie!
Het UWV heeft een portal waar werkgevers online gegevens over hun werknemers kunnen inzien. Een werkgever kan met een gebruikersnaam en wachtwoord inloggen in dat werkgeversportaal. De Autoriteit Persoonsgegevens oordeelt dat deze toegangsverlening niet veilig genoeg is en legt een sanctie op aan het UWV. De Algemene Verordening Gegevensbescherming (AVG) eist passende beveiliging van persoonsgegevens. Dat vereiste heeft het UWV geschonden. Wanneer voldoet een online portal eigenlijk aan de AVG?
Beveiliging persoonsgegevens
Persoonsgegevens moeten op grond van de AVG passend worden beveiligd. In artikel 32 AVG staat dat iedere organisatie technische en organisatorische maatregelen moet treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Dus welke maatregelen passend zijn hangt af van de risico’s voor de persoon van wie gegevens worden verwerkt. De AVG vereist ook dat bij de beoordeling van het beveiligingsniveau rekening wordt gehouden met de risico’s in geval van vernietiging, verlies, wijziging of ongeoorloofde toegang tot de gegevens. Als in een portal alleen de namen van klanten staan zonder andere gegevens, dan is het risico voor de klant bij ongeoorloofde toegang tot die portal niet zo groot. Staan alle financiële gegevens van de klant daarin, dan is het risico een stuk groter en zullen hogere beveiligingsmaatregelen nodig zijn om een passend beveiligingsniveau te waarborgen.
Overtreding UWV
In het werkgeversportaal van het UWV staan niet alleen namen en adresgegevens, maar ook BSN, financiële gegevens, gegevens over arbeidsongeschiktheid en ontslag en bevalling. Het UWV past geen meerfactorauthenticatie toe bij de toegangsverlening tot dit portaal. Werkgevers en arbodiensten kunnen met een gebruikersnaam en wachtwoord in het portaal ziekteverzuimgegevens van werknemers invoeren en bekijken. De Autoriteit Persoonsgegevens (AP) heeft onderzocht of het UWV passende maatregelen heeft getroffen ten aanzien van authenticatie bij het inloggen op het werkgeversportaal. Daarbij heeft de AP het onderzoek beperkt tot de aard van de te beschermen persoonsgegevens. Volgens de AP vertaalt de aard van de persoonsgegevens zich naar een minimaal te hanteren beveiligingsniveau. De reden van deze keuze is dat de AP niet voor of in de plaats van het UWV alle relevante factoren kan beoordelen. Het is aan het UWV zelf om deze factoren te betrekken in een risicoanalyse om het juiste beveiligingsniveau te bepalen. De AP oordeelt dat de huidige wijze van toegangsverlening tot het portaal van het UWV niet veilig genoeg is, omdat er ook gegevens over de gezondheid van werknemers in dat portaal staan. Het UWV zal daarom als aanbieder én beheerder van dit portaal moeten zorgen voor (minimaal) meerfactorauthenticatie.
Sanctie UWV
Het UWV had al eerder meerfactorauthenticatie willen implementeren, maar dit is nog niet geïmplementeerd. Gelet op deze overtreding legt de AP het UWV een zogenaamde last onder dwangsom op van 150.000 euro per maand met een maximum van 900.000 euro. De last houdt in dat het UWV uiterlijk op 31 oktober 2019 het beveiligingsniveau van het werkgeversportaal op orde hebben in overeenstemming met de laatste stand van de techniek. Als het UWV dit dan niet op orde heeft, moet zij de dwangsom van 150.000 euro per maand betalen.
Wanneer voldoet een online portal aan de AVG?
Veel bedrijven maken gebruik van een online portal. Bijvoorbeeld om thuiswerken mogelijk te maken of om klanten toegang te geven tot hun eigen gegevens. Verplicht de AVG dan altijd tot meerfactorauthenticatie? Dat hangt af van de risico’s. Zoals ik hiervoor schreef moet ieder bedrijf die persoonsgegevens verwerkt passende maatregelen treffen om die gegevens voldoende te beveiligen. Wat passend is voor een portal hangt af van het risico voor de personen van wie persoonsgegevens toegankelijk zijn via die portal. Er zal dus een risicoanalyse moeten worden uitgevoerd. De voorganger van de AP heeft in 2013 Richtsnoerenbeveiliging persoonsgegevens gepubliceerd waarin wordt aangegeven hoe een dergelijke risicoanalyse moet worden uitgevoerd. De aard van de persoonsgegevens spelen daarbij een grote rol. Indien bijzondere persoonsgegevens worden verwerkt, zoals gegevens over iemands gezondheid, strafrechtelijke gegevens, biometrische gegevens, gegevens over politieke of religieuze overtuigingen of seksueel gedrag, dan is het risico hoog. Dat is ook zo bij gegevens van gevoelige aard, zoals bijvoorbeeld inloggegevens, financiële gegevens of prestatiegegevens (denk aan functioneringsverslagen). Dan is meerfactorauthenticatie in ieder geval verplicht.
Wat is meerfactorauthenticatie?
Meerfactorauthenticatie is een vorm van (toegangs)beveiliging waarbij de gebruiker zich met een combinatie van minimaal twee verschillende typen authenticatiefactoren moet authentiseren om toegang te krijgen tot een computer, (besturings)systeem of applicatie. Denk aan de combinatie van het gebruik van een wachtwoord én een eenmalig te gebruiken paswoord of wachtwoord (token) per sms. Het Nationaal Cybersecurity Center heeft een factsheet over het gebruik van tweefactorauthenticatie.