Het UWV hoeft toch geen dwangsom te betalen voor de slechte beveiliging van een werkgeversportaal, meldt de Autoriteit Persoonsgegevens (AP) donderdag. De toezichthouder dreigde het UWV in 2018 te beboeten als de beveiliging van het portaal onder de maat bleef. Volgens de AP is de beveiliging nu op orde.

Het werkgeversportaal wordt door werkgevers en arbodiensten onder meer gebruikt voor het invoeren en inzien van gegevens over ziekteverzuim van werknemers. Daarbij worden diverse gegevens van medewerkers verwerkt, zoals naw-gegevens, burgerservicenummers, financiële gegevens en gegevens over arbeidsongeschiktheid, ontslag en bevalling.

Werkgevers konden via internet op het portaal inloggen door een e-mailadres en wachtwoord in te voeren. De AP concludeerde dat het portaal daarmee onvoldoende beveiligd was. De AP wilde dat gebruikers voortaan met tweestapsverificatie zouden inloggen.

Het UWV heeft er nu voor gezorgd dat werkgevers en arbodiensten alleen nog via eHerkenning kunnen inloggen bij het portaal. Dit systeem is een soort DigiD voor bedrijven. De gegevens over de gezondheid van werknemers die in het systeem staan, zijn daarmee voldoende beveiligd, oordeelt de AP.

AP dreigde met dwangsom

Op uiterlijk 31 oktober 2019 moest het UWV de beveiliging van het portaal op orde hebben. Als dat niet het geval was, zou de AP een dwangsom van 150.000 euro per maand, die kon oplopen tot 900.000 euro, opleggen.

Het UWV heeft de AP voor de deadline laten weten dat veel werkgevers de stap naar eHerkenning nog niet hadden gemaakt. Hierdoor ontstond het risico dat werknemers hun ziekte- of zwangerschapsuitkering niet op tijd zouden ontvangen.

Vanwege deze mogelijke negatieve gevolgen gaf de AP het UWV uitstel tot 1 maart 2020.