Column


IT-jurist Peter van Schelven over...

AP over gebrekkige security bij UWV

De opdracht van de Autoriteit Persoonsgegevens (AP) aan de uitkeringsinstantie UWV om de toegang tot haar werkgeversportaal beter te beveiligen, heeft eind vorige maand de landelijke media uitgebreid gehaald. De toezichthouder vindt dat de beveiliging van gezondheidsgegevens van werknemers met alleen een wachtwoord onvoldoende is. 

De AP heeft het UWV één jaar de tijd gegeven om toepassing te geven aan een vorm van meerfactorauthenticatie. Lukt dat niet, dan stelt het UWV zich bloot aan het risico een financiële dwangsom te moeten ophoesten. Die kan oplopen tot 900.000 euro. ‘Peanuts’ voor een organisatie die op jaarbasis ruim 25 miljard euro aan baten heeft. 

Ik heb de goed en helder geschreven beslissing van de AP eens rustig bestudeerd. De beslissing is de moeite van het lezen waard, temeer omdat concrete beslissingen van de toezichthouder over informatiebeveiliging schaars zijn. Met de uitspraak zet de AP een toon, die volgens mij ook instructief kan zijn voor andere publieke of private organisaties die gezondheidsgegevens verwerken. De toezichthouder verdient een pluim voor het feit dat zij zich concreet durft uit te laten over de zwaar benedenmaatse security bij een publieke instantie zoals het UWV. 

Eisen aan risicoanalyse 
Wat leert de AP-beslissing ons? Om te beginnen het feit dat de AP de lat voor security erg hoog legt. Bij de vertaalslag van privacyrisico’s naar de betrouwbaarheidseisen waaraan het werkgeversportaal van het UWV dient te voldoen, zal de binnen het vakgebied informatiebeveiliging ‘meest recente en representatieve invulling’ moeten worden gevolgd. Algemeen gesproken betekent dit dat een organisatie zoals het UWV niet kan varen op het kompas van risicoanalyses die niet gebaseerd zijn op de meest recente inzichten. Een risicoanalyse van het UWV uit 2015 wordt door de AP als onvoldoende actueel van de hand gewezen. 

Voor de securitypraktijk is dat een zware eis. De insteek van de AP noopt bedrijven en organisaties tot een continu en hoogwaardig proces van risicoafweging, afgestemd op de meest actuele securitykennis in de wereld. In schoolboekjes over security wordt zo’n insteek niet zelden als een vanzelfsprekendheid bestempeld, maar voor veel organisatie blijkt dat in de praktijk toch een duur en moeilijk haalbaar doel te zijn. 

Planning UWV 
Een ander opmerkelijk punt uit de beslissing van de AP betreft de factor tijd. Uit de beslissing wordt duidelijk dat het UWV al sinds 2015 bezig is te onderzoeken hoe bij het stelsel van eHerkenning kan worden aangesloten. eHerkenning is het stelsel waarbinnen middelen worden aangeboden om eenvoudig en veilig zaken te regelen met de overheid, met name door middel van meerfactorauthenticatie. Ondernemers kunnen met een eHerkenningsmiddel momenteel al bij meer dan 350 organisaties inloggen. eHerkenning zou dus een beveiliging opleveren die aan de eis van de AP voldoet. 

Bij het UWV lopen die ontwikkelingen kennelijk niet zo snel. Het UWV heeft aangegeven in het vierde kwartaal van 2019 - dus pas over een jaar – eHerkenning te hebben geïmplementeerd. De AP blijkt in haar beslissing gevoelig te zijn voor de implementatieproblemen waar het UWV voor staat. Over de termijn waarbinnen het UWV een einde moet maken aan de wetsovertreding die het gevolg is van de ontoereikende security, schrijft de AP: “De termijn gedurende welke een last kan worden uitgevoerd zonder dat een dwangsom wordt verbeurd, moet zo kort mogelijk worden gesteld. De termijn moet wel lang genoeg zijn om de last te kunnen uitvoeren.” Dus: kort, maar realistisch. 

Het UWV kan volgens de beslissing van de AP daarom pas op 31 oktober 2019 met een dwangsom worden opgezadeld. De AP heeft zich bij het bepalen van die termijn laten leiden door de eigen planning van de uitkeringsinstantie ten aanzien van het implementeren van meerfactorauthenticatie. Dat is opmerkelijk. Dat wekt de indruk van een tamelijk lijdelijke rol van de AP. Is dat de rol die u van de AP op het vlak van security verwacht? 

Uitvoerbaarheid 
De beslissing van de AP wekt bovendien de suggestie dat hoe ingewikkelder de oplossing voor een securityprobleem is, hoe langer een wetsovertreding zonder risico’s van een dwangsom in stand kan blijven. Met haar beslissing zet de AP de deur open voor discussies over de haalbaarheid en uitvoerbaarheid van securityoplossingen. Ik vermoed dat over die insteek van de AP het laatste woord nog niet gezegd zal zijn.

IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com.    
  
Kijk hier voor de eerdere bijdragen van Peter van Schelven. 

Lees meer over