image

AP dwingt UWV om werkgeversportaal beter te beveiligen

dinsdag 30 oktober 2018, 11:31 door Redactie, 28 reacties

De Autoriteit Persoonsgegevens heeft het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een last onder dwangsom opgelegd om het werkgeversportaal beter te beveiligen. Als de overheidsinstantie de beveiliging niet verbetert moet het 150.000 euro per maand betalen, met een maximum van 900.000 euro.

Werkgevers en arbodiensten kunnen via het online werkgeversportaal van het UWV ziekteverzuimgegevens van werknemers invoeren en bekijken. Het gaat hier om gevoelige gegevens, waardoor het UWV als aanbieder én beheerder van dit verzuimsysteem verplicht is om minimaal meerfactorauthenticatie toe te passen. Al vorig jaar november concludeerde de toezichthouder dat dit niet zo is. Een jaar later blijkt dit nog steeds het geval te zijn.

Het UWV heeft wel aangegeven meerfactorauthenticatie te willen implementeren via eHerkenning. EHerkenning is een inlogmiddel voor ondernemers waarmee toegang tot de online dienstverlening van overheidsorganisaties kan worden verkregen. Het biedt onder andere meerfactorauthenticatie. De implementatie bij het UWV heeft echter nog niet plaatsgevonden. Wel zijn er andere maatregelen getroffen om toegang door onbevoegden tot het werkgeversportaal tegen te gaan, maar deze gaan niet over de authenticatie en zijn daardoor niet passend, aldus de Autoriteit Persoonsgegevens.

Het UWV heeft tot 31 oktober 2019 de tijd gekregen om het beveiligingsniveau van het werkgeversportaal te verbeteren, waarbij inloggen in het portaal alleen mogelijk moet zijn door middel van een passende vorm van meerfactorauthenticatie. Anders moet de instantie 150.000 euro per maand betalen met een maximum van 900.000 euro. "Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat", zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens.

Reacties (28)
30-10-2018, 11:34 door Anoniem
Het UWV moet tijd krijgen als het dit wilt implementeren en AP moet UWV niet laten haasten want dan wordt het haastwerk wat alleen maar duurder zal uitpakken en altijd onveiliger zal zijn.
30-10-2018, 11:37 door Anoniem
Als de overheidsinstantie de beveiliging niet verbetert moet het 150.000 euro per maand betalen, met een maximum van 900.000 euro.

Leuk dit soort boetes. Uiteindelijk betalen wij die immers met zijn allen.
30-10-2018, 11:37 door Korund
Vervolgens versturen medewerkers van UWV die o zo goed beveiligde persoonsgegevens in een e-mailbijlage mee naar een grote groep klanten.
https://www.security.nl/posting/573569
https://www.security.nl/posting/486878/
30-10-2018, 11:58 door Anoniem
Raar dat ze het zo publiek doen allemaal. Dit is gewoon vragen aan criminelen om zichzelf te spoeien.
30-10-2018, 12:05 door MathFox - Bijgewerkt: 30-10-2018, 12:06
Door Anoniem: Het UWV moet tijd krijgen als het dit wilt implementeren en AP moet UWV niet laten haasten want dan wordt het haastwerk wat alleen maar duurder zal uitpakken en altijd onveiliger zal zijn.
De deadline van 31 oktober 2019 (een jaar) klinkt haalbaar, ook in het tempo warin ambtenaren normaal werken.
En ze waren vorig jaar al gewaarschuwd!
30-10-2018, 12:12 door Anoniem
Door Anoniem: Leuk dit soort boetes. Uiteindelijk betalen wij die immers met zijn allen.
Dit zijn dwangsommen, geen boetes. Beide verdwijnen niet maar worden in de staatskas gestort.

En UWV heeft een jaar om zijn zaken op orde te krijgen, ze moeten pas gaan betalen als ze dat niet doen. Ze kunnen dat bedrag beter besteden aan het vlot trekken van het project (ze zijn er op zich al mee bezig) dan aan het betalen van dwangsommen, waarna ze nog steeds verplicht zijn het op orde te krijgen. Zo'n dwangsom is niet bedoeld om dat geld ook echt te gaan innen (al gaat men dat wel doen als UWV blijft treuzelen) maar om UWV in beweging te krijgen.
30-10-2018, 12:31 door Anoniem
Raar bericht. UWV heeft de implementatie van eHerkenning aangekondigd. Per 1 november 2018 kan ook ingelogd worden met eHerkenning en vanaf 1 november 2019 alleen nog maar via eHerkenning. Dwangsom lijkt dus een wassen neus.
30-10-2018, 13:09 door User2048
Door Anoniem: Het UWV moet tijd krijgen als het dit wilt implementeren en AP moet UWV niet laten haasten want dan wordt het haastwerk wat alleen maar duurder zal uitpakken en altijd onveiliger zal zijn.
De AVG bestaat al sinds 2016, dus ze hebben ruim genoeg tijd gehad om zich voor te bereiden. Dat ze nu nog een jaar extra de tijd krijgen is heel coulant.
30-10-2018, 13:29 door Anoniem
Door User2048:
Door Anoniem:
Dat ze nu nog een jaar extra de tijd krijgen is heel coulant.

Inderdaad. Eigenlijk had dit het einde van het jaar moeten zijn. Er is immers al een jaar verstreken sinds de eerste waarschuwing van AP. Dat had er voor moeten zorgen dat ze hier al bovenop zaten. Overheidsinstanties en hun veiligheid anno 2018.....
30-10-2018, 14:39 door -karma4 - Bijgewerkt: 30-10-2018, 14:39
Door Korund: Vervolgens versturen medewerkers van UWV die o zo goed beveiligde persoonsgegevens in een e-mailbijlage mee naar een grote groep klanten.
https://www.security.nl/posting/573569
https://www.security.nl/posting/486878

Ja en? Dat er af en toe domme dingen worden gedaan waarbij persoonsgegevens in een e-mailbijlage belanden, dat doet niets af aan dat zaken als het UWV Werkgeversportaal zo goed mogelijk beveiligd dienen te worden!
30-10-2018, 14:44 door Briolet
Door Anoniem: Raar bericht. UWV heeft de implementatie van eHerkenning aangekondigd. Per 1 november 2018 kan ook ingelogd worden met eHerkenning ….

Je vergeet dat er bij het AP ook ambtenaren werken. Dit bericht is misschien nu naar buiten gebracht, maar die ambtenaren zijn vast al vorig jaar begonnen met het voorbereiden van de dreiging met een dwangsom. Het is een log apparaat dat maanden werk niet weggooit als ze doorhebben dat het dreigen inmiddels niet meer nodig is.

Verder willen ze in hun jaarverslag pochen met succes. Nu kunnen ze daarin schrijven dat ze het UWV op het rechte pad gebracht via het dreigen met een dwangsom.
30-10-2018, 14:59 door karma4
Het is een typisch raar bericht.
Het AP heeft de rol voor toezicht bij de GDPR
Ze hebben niet d dd rol van CISO voor de overheid noch voor de zorg noch voor de financials.

Bij de zorg en financials is er best het nodige niet op orde op ict gebied. Slotervaart dan die andere die nu failliet zijn hadden een negatieve beoordeling van een toezichtshouder op dat ict vlak. Met iot weten we dat het helemaal niet goed zit.

Het AP lijkt voor het leuke aandacht trekkende eigen ict gebeuren te gaan ipv van wat hun taak zou zijn.
30-10-2018, 16:26 door Anoniem
Door karma4: Het is een typisch raar bericht.
Het AP heeft de rol voor toezicht bij de GDPR
Ze hebben niet d dd rol van CISO voor de overheid noch voor de zorg noch voor de financials.
Je kan in het rapport van AP gewoon lezen waar ze zich op gebaseerd hebben, en ze passen de AVG, de eIDAS-verordening en een handreiking van het Forum voor Standaardisatie toe die daar een concrete invulling aan geeft. Daar rolt uit dat tweefactorauthenticatie vereist is voor wat UWV doet.

AP gaat niet op de stoel van een CISO of wie dan ook zitten. Ze kijken naar de GDPR en naar hoe de overheid zelf heeft uitgewerkt hoe die door de overheid toegepast dient te worden. Precies wat AP als toezichthouder moet doen. Het is de keuze van UWV zelf om dat via eHerkenning op te zetten.

Het AP lijkt voor het leuke aandacht trekkende eigen ict gebeuren te gaan ipv van wat hun taak zou zijn.
Dat AP de publiciteit opzoekt klopt, ze hebben al jaren in de gaten dat organisaties gevoelig zijn voor negatieve publiciteit en dat gebruiken ze. Maar dat is geen aandacht voor een "eigen ict gebeuren" van AP, dat is er namelijk niet, de invulling die AP eist staat gewoon in wetten, verordeningen en de standaards die de overheid voor zichzelf stelt in de invulling daarvan. AP handhaaft dus, en dat is precies zijn taak.
30-10-2018, 16:55 door karma4 - Bijgewerkt: 30-10-2018, 17:05
Door Anoniem:
Je kan in het rapport van AP gewoon lezen waar ze zich op gebaseerd hebben, en ze passen de AVG, de eIDAS-verordening en een handreiking van het Forum voor Standaardisatie toe die daar een concrete invulling aan geeft. Daar rolt uit dat tweefactorauthenticatie vereist is voor wat UWV doet.
......
Ja ik heb het gelezen en juist daarom heb ik het voorgaande commentaar gegeven.
Nergens in de gdpr staat dat 2fa verplicht is enkel dat de beveiliging adequaat ingericht moet zijn.
Nergens staat in de gdpr of uavg dat het AP de rol heeft van een auditor op ict inrichting.
De Nora site is duidelijk met een handreiking naar de ciso waar een iso27k bio (bir-tnk) uitrolt als basis voor het beleid van de ciso welke met operationele (gesloten) instructies voor de operatie als resultaat heeft.
Dat het AP niet op de hoogte van dat proces is schokkend.
Ze hadden kunnen constateren dat dat niet ingevuld was. Dan wet ik nog niet wie daar dd handhavend taak daarover heeft.

Wou je zeggen dat het AP ook de ICT van banken en ziekenhuizen nagaat? Het cbs krijgt ook veel ongevalueerde data.

Een tijdje terug hier op security als reactie op het Facebook pixel gebeuren dat elke website vol met meerdere tracker staat. Geen enkele reactie bijvoorbeeld van het AP en daar zou ik wel wat van ze verwachten.

Ik ben er van overtuigd dat met alle uitbesteding bij het uwv er veel meer niet op orde is wat security betreft. Dan is het wel heel makkelijk om op enkel een eenvoudige zichtbare web interface te focussen.

Wat ik mis... i
- is er een wettelijke task keenelijk wel.
- is het geoseudonimiseerd dan wel geanonimiseerd
-etc....
30-10-2018, 17:03 door Anoniem
Door karma4:
Door Anoniem:
Je kan in het rapport van AP gewoon lezen waar ze zich op gebaseerd hebben, en ze passen de AVG, de eIDAS-verordening en een handreiking van het Forum voor Standaardisatie toe die daar een concrete invulling aan geeft. Daar rolt uit dat tweefactorauthenticatie vereist is voor wat UWV doet.
......
Ja ik heb het gelezen en juist daarom heb ik het voorgaande commentaar gegeven.
Nergens in de gdpr staat dat 2fa verplicht is enkel dat de beveiliging adequaat ingericht moet zijn.
Nergens staat in de gdpr of uavg dat het AP de rol heeft van een auditor op ict inrichting.
De Nora site is duidelijk met een handreiking naar de ciso waar een iso27k bio (bir-tnk) uitrolt als basis voor het beleid van de ciso welke met operationele (gesloten) instructies voor de operatie als resultaat heeft.
Dat het AP niet op de hoogte van dat proces is us schokkend.

Ik ben er van overtuigd dat met alle uitbesteding bij het uwv er veel meer niet op orde is wat security betreft. Dan is het wel heel makkelijk om op enkel een eenvoudige zichtbare web interface te focussen.

De AP heeft vorig jaar aangegeven dat onder ¨adequate beveiliging¨ bij verzuimgegevens 2FA het minimum is.

Naast toezichthouder zijn zij ook degenen die de GDPR naar de dagelijkse praktijk moeten vertalen. Want niemand heeft iets aan ¨adequate beveiliging¨ als vervolgens iedere organisatie daar zelf een uitleg aan kan geven.

Peter
30-10-2018, 17:35 door Anoniem
Rekensommetje
900.000 euro / "gezondheidsgegevens van ontzettend veel mensen" = plusminus 2 a drie euro per persoon.

Dat is wat je waard bent voor de overheid, het uwv en de ap.
De marktwaarde zal aanmerkelijk hoger liggen.
Tel uit de winst na een jaar niet optreden.
30-10-2018, 21:45 door karma4
Door Anoniem: ...
De AP heeft vorig jaar aangegeven dat onder ¨adequate beveiliging¨ bij verzuimgegevens 2FA het minimum is.

Naast toezichthouder zijn zij ook degenen die de GDPR naar de dagelijkse praktijk moeten vertalen. Want niemand heeft iets aan ¨adequate beveiliging¨ als vervolgens iedere organisatie daar zelf een uitleg aan kan geven.

Peter
Kan zijn Peter. De gdpr heeft als doel een universele benadering voor de hele EU. Een van de problemen met de voorgaande situatie was namelijk al dat gedoe met de eigen Ideeën van lokale instanties. Dat is nu net waar men vanaf wilde.

Waar staat in de gdpr dat een AP zelf richtlijnen moet gaan opstellen? Als het om richtlijnen gaat Denk ik aan het ncsc.
Als het om ict invulling gaat aan de dnb nza etc. Intern overheid ADR en rekenkamers. Als daaruit komt dat het voldoet dan zij dat zo.

.
30-10-2018, 22:44 door karma4
Door Anoniem:
De AP heeft vorig jaar aangegeven dat onder ¨adequate beveiliging¨ bij verzuimgegevens 2FA het minimum is.

Naast toezichthouder zijn zij ook degenen die de GDPR naar de dagelijkse praktijk moeten vertalen. Want niemand heeft iets aan ¨adequate beveiliging¨ als vervolgens iedere organisatie daar zelf een uitleg aan kan geven.

Peter
Laten we het eens over het AP en privacy - persoonsgegevens hebben. Het AP geeft geen thuis bij:
- https://www.werf-en.nl/stop-theater-werkloze-ouderen/
- scheefwoners of beter gezegd huurbazen krijgen inkomensgegevens van huurders via de belastingdienst
- De participatiewet https://zoek.officielebekendmakingen.nl/gmb-2017-101128.html vooral werkervaringstrajecten gaan eisen bij mensen met 30 jaar ervaring die hun eigen werk mogen gaan doen,
- https://www.plusonline.nl/special-artikelen/tandenborsteltellen-toegestaan
- https://www.rendement.nl/nieuws/id19124-geen-melding-van-ziekte-boete-van-uwv.html is de verplicjting ivm aanspraken. Het meeste kun je niet geheim houden.

Wat je ziet als grote lijn is ontbreken van actie van het AP om persoonsgegevens in de basis te beschermen door het minimaliseren (data minimalisatie) van de gevallen waar privacy aan de orde is.
31-10-2018, 01:25 door Anoniem
Lijkt me voor het UWV geen probleem. Die betalen aan iedereen blindelings uit zonder te controleren. Dus ik vermoed dat ze niet eens de brief gaan lezen.
31-10-2018, 07:58 door Anoniem
Door karma4:
Door Anoniem:
Je kan in het rapport van AP gewoon lezen waar ze zich op gebaseerd hebben, en ze passen de AVG, de eIDAS-verordening en een handreiking van het Forum voor Standaardisatie toe die daar een concrete invulling aan geeft. Daar rolt uit dat tweefactorauthenticatie vereist is voor wat UWV doet.
......
Ja ik heb het gelezen en juist daarom heb ik het voorgaande commentaar gegeven.
Nergens in de gdpr staat dat 2fa verplicht is enkel dat de beveiliging adequaat ingericht moet zijn.
Nee, dat is de invulling die het Forum voor Standaardisatie aan de Europese eIDAS-verordening geeft. Het punt is dat AVG voorschrijft dat de beveiliging een op het risico afgestemd moet zijn en dat zowel op Europees als Nederlands niveau beslissingen zijn genomen en beschreven waarmee de overheid zelf invult wat overheden daaronder moeten verstaan. De AP houdt een overheidsorganisatie aan de invulling van de AVG die overheid aan zichzelf heeft opgelegd.

Daarmee maakt AP geen keuzes maakt die organisaties voor zichzelf moeten maken, zuigt niet zelf dingen uit zijn duim en legt geen eigen voorkeuren op. AP houdt het UWV als overheidsorganisatie aan wat door de Nederlandse en Europese overheid voor overheidsorganisaties is gedefinieerd als minimumverteiste voor adequate beveiliging.

Je lijkt te denken dat AP verplicht is alles te negeren wat buiten de AVG is bepaald en opgeschreven, zelfs als het een concrete invulling geeft aan wat het AVG in veel algemenere termen voorschrijft, en je hebt al verschillende keren de indruk gewekt dat je denkt dat AP zelf van alles bij de AVG fantaseert.

Maar karma4, wetten als de AVG worden bewust niet al te concreet ingevuld waar het specifieke technieken betreft omdat ze anders in een vloek en een zucht achter zou lopen op de werkelijkheid, die ontwikkelt zich nogal snel. Ondertussen heeft een toezichthouder wel degelijk iets concreets nodig om concrete gevallen te beoordelen. Als AP niet zou kijken wat er aan verordeningen en richtsnoeren op dat gebied is opgesteld, juist dan zou het aan het fantaseren slaan. Het is dus goed dat AP wel kijkt naar wat overheden zichzelf aan concrete invullingen hebben opgelegd en ze daaraan te houden. Als toezichthouder functioneren ze juist heel correct door het op die manier te doen.
31-10-2018, 09:06 door Kreoz - Bijgewerkt: 31-10-2018, 09:17
Door Anoniem: Raar bericht. UWV heeft de implementatie van eHerkenning aangekondigd. Per 1 november 2018 kan ook ingelogd worden met eHerkenning en vanaf 1 november 2019 alleen nog maar via eHerkenning. Dwangsom lijkt dus een wassen neus.
De timing is inderdaad opvallend, maar dit bericht verklaart (waarschijnlijk) inderdaad wel de aangekondigde stappen van het UWV. Bij ons op kantoor kwam de brief die we ontvingen erg vreemd over (ik had meteen onze boekhouding aan mijn bureau staan die dacht dat dit niet kon kloppen). Het eHerkenning systeem is namelijk geen gratis systeem, maar de gebruiker moet hiervoor betalen. Het is dus vanaf volgend jaar verplicht te betalen om in te kunnen loggen bij de UWV, wat mijns inziens vreemd is voor een overheidsinstantie. De opgelegde dwangsom kan er echter voor gezorgd hebben dat deze optie als enige mogelijkheid gekozen is. Eerder (afgelopen jaar) is door UWV, samen met o.a. de Belastingdienst en andere overheidsorganisaties, namelijk een gezamenlijk statement gepubliceerd waarin zij aankondigen meerdere inlogmogelijkheden te blijven bieden, dus niet alleen eHerkenning. Binnen een jaar zijn ze hier op teruggekomen, mogelijk dat dit bericht dus de achterliggende reden voor deze stap is.
31-10-2018, 09:32 door Anoniem
Door Anoniem: Raar bericht. UWV heeft de implementatie van eHerkenning aangekondigd. Per 1 november 2018 kan ook ingelogd worden met eHerkenning en vanaf 1 november 2019 alleen nog maar via eHerkenning. Dwangsom lijkt dus een wassen neus.
Die dwangsom kan de de hele reden zijn dát UWV die datum als deadline hanteert. Geld dat nu niet ingezet wordt om het tempo wat op te voeren zijn ze straks kwijt zonder er iets voor terug te krijgen. Als er geen reden was geweest om te vermoeden dat UWV dit wel eens niet zou kunnen halen dan was die hele last onder dwangsom vermoedelijk nooit opgelegd.

Verder doet AP al jaren aan 'naming & shaming' door dit soort dingen te publiceren. Organisaties zijn over het algemeen gevoelig voor negatieve publiciteit. Dat is naast boetes en dwangsommen ook een drukmiddel, AP maakt voortdurend duidelijk dat je als organisatie niet alleen risico op gedoe en kosten loopt maar dat je risico op openbaar gedoe en openbare kosten loopt. Dat zal denk ik de reden zijn dat AP dit ondanks afspraken toch publiceert.
31-10-2018, 09:43 door Anoniem
Ik blijf het onverantwoordelijk vinden dat de UWV door de AP gedwongen wordt om met spoed maatregelen te nemen. Het UWV heeft tijd nodig om wijzigingen door te voeren en een jaar lijkt mij te kort voor een overheidsproject.
31-10-2018, 09:54 door User2048
Door karma4:
Door Anoniem: ...
De AP heeft vorig jaar aangegeven dat onder ¨adequate beveiliging¨ bij verzuimgegevens 2FA het minimum is.

Naast toezichthouder zijn zij ook degenen die de GDPR naar de dagelijkse praktijk moeten vertalen. Want niemand heeft iets aan ¨adequate beveiliging¨ als vervolgens iedere organisatie daar zelf een uitleg aan kan geven.

Peter
Kan zijn Peter. De gdpr heeft als doel een universele benadering voor de hele EU. Een van de problemen met de voorgaande situatie was namelijk al dat gedoe met de eigen Ideeën van lokale instanties. Dat is nu net waar men vanaf wilde.

Waar staat in de gdpr dat een AP zelf richtlijnen moet gaan opstellen? Als het om richtlijnen gaat Denk ik aan het ncsc.
Als het om ict invulling gaat aan de dnb nza etc. Intern overheid ADR en rekenkamers. Als daaruit komt dat het voldoet dan zij dat zo.

.
Wel, karma4, dat staat in overweging 10 van de GDPR:
AVG overweging 10: ... Met het oog op de verwerking van persoonsgegevens voor het vervullen van een wettelijke verplichting, voor het vervullen van een taak van algemeen belang of bij de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, moet de lidstaten worden toegestaan nationale bepalingen te handhaven of in te voeren ter nadere precisering van de wijze waarop de regels van deze verordening moeten worden toegepast. ...
31-10-2018, 10:44 door Anoniem
Dit zijn dwangsommen, geen boetes. Beide verdwijnen niet maar worden in de staatskas gestort. En UWV heeft een jaar om zijn zaken op orde te krijgen, ze moeten pas gaan betalen als ze dat niet doen

En mochten ze het niet op orde krijgen, wie denk je dan dat er last hebben van minder budget, bij de desbetreffende UWV vestiging ? Mensen die van hen afhankelijk zijn ?
31-10-2018, 14:41 door Anoniem
Door Anoniem:
Dit zijn dwangsommen, geen boetes. Beide verdwijnen niet maar worden in de staatskas gestort. En UWV heeft een jaar om zijn zaken op orde te krijgen, ze moeten pas gaan betalen als ze dat niet doen

En mochten ze het niet op orde krijgen, wie denk je dan dat er last hebben van minder budget, bij de desbetreffende UWV vestiging ? Mensen die van hen afhankelijk zijn ?
"Uiteindelijk betalen wij die [boetes] met zijn allen" was waarop ik reageerde. Als het in de schatkist komt is het voor "wij met zijn allen" neutraal. Dat UWV er last van heeft is duidelijk. Dat is zelfs expliciet de bedoeling van boetes en dwangsommen, als die geen pijn doen hebben ze geen effect. Die dwangsommen dienen om de prioriteit en urgentie van het project een duw in de goede richting te geven, ze zijn er niet om per se geïnd te worden.
31-10-2018, 17:59 door karma4
Door User2048:
Wel, karma4, dat staat in overweging 10 van de GDPR:
AVG overweging 10: ... Met het oog op de verwerking van persoonsgegevens voor het vervullen van een wettelijke verplichting, voor het vervullen van een taak van algemeen belang of bij de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, moet de lidstaten worden toegestaan nationale bepalingen te handhaven of in te voeren ter nadere precisering van de wijze waarop de regels van deze verordening moeten worden toegepast. ...
Lees even de hele gdpr met toelichting waarom het een directive ofwel verordening is geworden.
De chaos door vele eigen lokale interpretaties was te groot geworden. Bepaalde zaken zoals een identificatienummer bsn lukte niet meer om op 1 lijn te krijgen.

Nu ga jij die speelruimte uitleggen als de basis voor het beleid? Niet goed. Zo ken ik er nog wel een. Voor security invulling moet je de aanwijzingen van de leverancier opvegen. (DTAST In ISO27K En Bij het ncsc). De leverancier vind dat gedegen security niet nodig is. IBM is de de dienstverlener en leverancier bij het uwv voor zover ik weet.
01-11-2018, 10:06 door Anoniem
Door karma4: Lees even de hele gdpr met toelichting waarom het een directive ofwel verordening is geworden.
De chaos door vele eigen lokale interpretaties was te groot geworden.
[...]
Nu ga jij die speelruimte uitleggen als de basis voor het beleid?
Er staat expliciet in overweging 10 dat een coherente en homogene toepassing van de regels het doel is maar dat dit niet in de weg staat dat lidstaten specifieke situaties op het gebied van gegevensverwerking nader omschrijven, meer bepaald door nauwkeuriger te bepalen in welke gevallen verwerking van persoonsgegevens rechtmatig geschiedt.

Wat deze situatie complexer maakt is dat er nog een Europese richtlijn aan de situatie raakt: eIDAS, en daarvoor heeft het Forum voor Standaardisatie een nationale invulling opgesteld. Die definieert een aantal risiconiveau's en verplicht maatregelen om die af te dekken. Daaruit volgt dat UWV verplicht is om tweefactorauthenticatie toe te passen.

De toezichthouder op eIDAS is het Agentschap Telecom. Gaat de AP zijn boekje te buiten door naar (de nationale invulling van) eIDAS te kijken? Stel dat dat niet kan. Dan is het consequente antwoord of andersom het AT naar de AVG mag kijken ook nee, en dat impliceert dat geen enkele toezichthouder deze situatie kan beoordelen. Oeps. Misschien is het handiger als een toezichthouder die moet beoordelen of een situatie waar hij wel degelijk zeggenschap over heeft naar alle wetten en verordeningen die van toepassing zijn mag kijken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.