UWV overtreedt privacywet bij verzuimbeheer en beveiliging

Volgens Autoriteit Persoonsgegevens handelt UWV met zijn verzuimbeheer en toegangsbeveiliging in strijd met de Wet bescherming Persoonsgegevens. Als UWV geen maatregelen treft, gaat de autoriteit over tot handhaving.

15 november 2017 | Door redactie

Uit onderzoeken door de Autoriteit Persoonsgegevens (AP) bij UWV blijkt dat UWV handelt in strijd met de Wet bescherming persoonsgegevens  waar het gaat om het beheren van verzuimgegevens en de toegangsbeveiliging van de website. Het blijkt dat de werknemers bij UWV die gezondheidsgegevens verwerken van mensen in het kader van een Ziektewetuitkering daartoe niet bevoegd zijn. Ook is de beveiliging van de toegang tot het werkgeversportaal onvoldoende. In beide gevallen zijn gevoelige persoonsgegevens in het geding.

Werkgeversportaal voor bekijken verzuimgegevens

Het verwerken van gegevens over iemands gezondheid om te beoordelen of iemand in aanmerking komt voor een Ziektewetuitkering mag alleen als dit onder verantwoordelijkheid van een arts gebeurt.  UWV laat dit over aan medewerkers verzuimbeheersing. Via het werkgeversportaal hebben arbodiensten en werkgevers toegang om gegevens over ziekteverzuim van werknemers te kunnen invoeren en bekijken. Omdat het om gevoelige gegevens gaat is UWV verplicht hier meerfactor-authenticatie toe te passen. De gebruiker moet zich dan op minimaal twee manieren aanmelden om toegang te krijgen (bijvoorbeeld met wachtwoord én pincode). Dat is nu niet het geval.

Beleidsregels voor registratie ziekmeldingen

In artikel 16 van de Wet bescherming persoonsgegevens is bepaald dat de verwerking van persoonsgegevens over iemands gezondheid verboden is. Gezondheid is hier een ruim begrip en omvat niet alleen de gegevens die een arts bij een medisch onderzoek verwerkt, maar álle gegevens die de lichamelijke of geestelijke gezondheid van een persoon betreffen. Dus ook een ziekmelding van een werknemer is een gegeven over de gezondheid. Voor de registratie van ziekmeldingen heeft de AP vorig jaar beleidsregels (pdf) beleidsregels opgesteld.