Nieuws
image

UWV verbetert beveiliging werkgeversportaal via eHerkenning

donderdag 4 juni 2020, 15:57 door Redactie, 11 reacties

Het Uitvoeringsinstituut Werknemersverzekeringen (UWV) heeft de beveiliging van het eigen werkgeversportaal verbeterd door ervoor te zorgen dat werkgevers en arbodiensten alleen nog via eHerkenning kunnen inloggen. Hiermee ontloopt de instantie een dwangsom van de Autoriteit Persoonsgegevens die tot 900.000 euro had kunnen oplopen.

De privacytoezichthouder stelde in 2017 vast dat het werkgeversportaal onvoldoende was beveiligd. Werkgevers en arbodiensten kunnen via het online werkgeversportaal van het UWV ziekteverzuimgegevens van werknemers invoeren en bekijken. Het gaat hier om gevoelige gegevens, waardoor het UWV als aanbieder én beheerder van dit verzuimsysteem verplicht is om minimaal meerfactorauthenticatie toe te passen. Dat werd echter niet gedaan. Werkgevers konden via een e-mailadres en wachtwoord op het portaal inloggen.

Eind 2018 legde de Autoriteit Persoonsgegevens het UWV een last onder dwangsom op om de beveiliging te verbeteren. Het ging om een bedrag van 150.000 euro voor elke maand dat er met alleen een wachtwoord kon worden ingelogd, met een maximum van 900.000 euro. Het UWV kreeg tot 31 oktober 2019 de tijd om het beveiligingsniveau van het werkgeversportaal te verbeteren. De instantie liet weten dat het meerfactorauthenticatie via eHerkenning zou gaan implementeren. EHerkenning is een inlogmiddel voor ondernemers waarmee toegang tot de online dienstverlening van overheidsorganisaties kan worden verkregen. Het biedt onder andere meerfactorauthenticatie.

In aanloop naar de deadline liet het UWV aan de Autoriteit Persoonsgegevens weten dat veel werkgevers de stap naar eHerkenning nog niet hadden gemaakt. Hierdoor ontstond het risico dat werknemers hun ziekte- of zwangerschapsuitkering niet op tijd zouden ontvangen. Daarop kreeg het UWV onder voorwaarden eenmalig uitstel tot 1 maart 2020. Vandaag meldt de AP dat het werkgeversportaal voldoende door het UWV is beveiligd en er alleen nog via eHerkenning kan worden ingelogd.

Reacties (11)
04-06-2020, 16:38 door Anoniem
Dus nu moeten alle werkgevers maar geld geven aan een derde partij om nog bij die faalfabriek UWV te kunnen inloggen?

Wel weer een mooi staaltje probleem over de schutting gooien. Zo kennen we onze overheid weer.
04-06-2020, 17:11 door Anoniem
Door Anoniem: Dus nu moeten alle werkgevers maar geld geven aan een derde partij om nog bij die faalfabriek UWV te kunnen inloggen?

Wel weer een mooi staaltje probleem over de schutting gooien. Zo kennen we onze overheid weer.

Stop met klagen,en ga stemmen tijdens de verkiezingen,
en stem op jou partij die voor jou vecht.

Burgers die "nog vechten"

Hongkong,de groningers en de boeren als voorbeeld.
Black Lives Matter.

NL-NU2020
04-06-2020, 18:38 door Anoniem
Door Anoniem: Dus nu moeten alle werkgevers maar geld geven aan een derde partij om nog bij die faalfabriek UWV te kunnen inloggen?

Wel weer een mooi staaltje probleem over de schutting gooien. Zo kennen we onze overheid weer.
En zeuren om te zeuren. Zo kennen we onze zeikers weer.
04-06-2020, 18:50 door [Account Verwijderd] - Bijgewerkt: 04-06-2020, 18:52
Als het UWV eerder gebruik had gemaakt van degelijke authenticatiemiddelen, het datalek vorig jaar van al die CV's niet had hoeven plaatsvinden. In dat geval leek ging het immers te gaan om hergebruik van inloggegevens, wat met vrij simpele vormen van 2FA voorkomen had kunnen worden. Persoonsgegevens bescherming heeft dus, zonder handhaving, geen prioriteit bij overheidsinstanties. Dat geeft maar weer eens aan dat stevige handhaving noodzakelijk is voor het beschermen van persoonsgegevens. (Let wel, de last onder dwangsom lag er al toen het datalek plaatsvond.) Alleen maar informeren of dwangsommen uitschrijven (pappen en nat houden) zoals de strategie van de AP was/is, is dus niet voldoende om de overheid bij de les te houden en toekomstige datalekken te voorkomen. Hardere handhaving in de vorm van direct boetes uitdelen is dus nodig.

Door Anoniem: Dus nu moeten alle werkgevers maar geld geven aan een derde partij om nog bij die faalfabriek UWV te kunnen inloggen?
Laten we het niet overdrijven, het kost je ongeveer 35 euro per jaar (als je Niveau 3 gebruikt en voor 3 jaar afsluit). Je bent dan vrij om te kiezen uit een van de 6 partijen die overheid heeft gezegend met deze extra inkomsten.
04-06-2020, 18:50 door Anoniem
Wat een rare kop. UWV had geen mfa. En ze verplichten hun ‘klanten’ hun probleem op te lossen door bij een externe idp een account te kopen. Google heeft ook mfa. Als het UWV inloggen via Google verplicht had gesteld, was de kop dan hetzelfde geweest?
04-06-2020, 19:36 door Anoniem
Door iatomory: Dat geeft maar weer eens aan dat stevige handhaving noodzakelijk is voor het beschermen van persoonsgegevens.
Dit is wat bij de overheid doorgaat voor "stevige handhaving". Dus pas op waar je om vraagt.

Door Anoniem: Dus nu moeten alle werkgevers maar geld geven aan een derde partij om nog bij die faalfabriek UWV te kunnen inloggen?
Laten we het niet overdrijven, het kost je ongeveer 35 euro per jaar (als je Niveau 3 gebruikt en voor 3 jaar afsluit). Je bent dan vrij om te kiezen uit een van de 6 partijen die overheid heeft gezegend met deze extra inkomsten.
Ik zie geen overdrijven in wat je aanhaalt. Ik zie wel dat je een half dozijn commerciële olichargen verdedigt. Waarom doe je dat?
04-06-2020, 21:31 door [Account Verwijderd] - Bijgewerkt: 04-06-2020, 21:34
Door Anoniem: Ik zie geen overdrijven in wat je aanhaalt. Ik zie wel dat je een half dozijn commerciële olichargen verdedigt. Waarom doe je dat?
Ik sta vooraan om te roepen dat de overheid moet investeren in een betaalbaar en veilig(er) inlogmiddel gebaseerd op open standaarden (lees: WebAuthn). Het is belachelijk dat er een commerciële partij tussen de burger (of ondernemer) en de overheid in moet staan die, met goedkeuren van dezelfde overheid, zonder problemen zijn zakken kan vullen omdat zijn dienst nu eenmaal verplicht gesteld is.
Ik schat echter in dat 35 euro per jaar nu niet het bedrag is waar je als werkgever van wakker hoeft te liggen. Dat je het er principieel mee oneens kan zijn - betalen om je belastingaangifte in te vullen - kan ik zeker begrijpen. Maar we moeten niet overdrijven alsof dit nu opeens een zo'n grote kostenpost is.
05-06-2020, 09:10 door karma4
Het uwv heeft wettelijke verplichtingen opgelegd door de politiek. Je ziet:
- de politieke doelen van mensen aan het werk helpen niet gehaald worden
- De grootste hoeveelheid aan tijdbesteding van het UWV is om arbeidsongeschikte te keuren en herkeuren om maar zo min mogelijk geld vanuit de overheid naar dat soort mensen foor te sluizen.
Het is een ernstige vorm van discriminatie wat vaak plaats vindt. Denk eens aan het toeslagen verhaal.

Eenvoudige oplossing UWV geheel opheffen de sociale vraagstukken beter en andere oplossen.
Grootste voordeel daarbij is dat het hele ICT drama van UWV en werk.nl dan ook verdwenen is.
Valt me tegen van het AP dat ze de privacy van de slachtoffers van het UWV zo slecht oppakken en dan maar iets over techniek gaan zeggen. Je zou haast aan de veldwachter houding van een paar honderd jaar terug denken.
05-06-2020, 09:26 door Anoniem
Door Anoniem: Wat een rare kop. UWV had geen mfa. En ze verplichten hun ‘klanten’ hun probleem op te lossen door bij een externe idp een account te kopen. Google heeft ook mfa. Als het UWV inloggen via Google verplicht had gesteld, was de kop dan hetzelfde geweest?
eHerkenning is echt iets anders dan MFA van Google. Het gaat om gevoelige gegevens dus wil ik als werkgever precies kunnen regelen wie toegang mag hebben, bijvoorbeeld in dit geval de medewerker van personeelszaken. Met eHerkenning kan dat. Als een werknemer dan vertrekt kan ik binnen enkele minuten regelen dat zijn eHerkenning (gekoppeld aan mijn organisatie) wordt ingetrokken. Ik ben als werkgever volledig in control, en zo hoort het ook!!
05-06-2020, 10:28 door Anoniem
Door iatomory: Maar we moeten niet overdrijven alsof dit nu opeens een zo'n grote kostenpost is.
Dat staat er ook niet. Er staat dat er betaald moet worden, en ook nog eens aan een van de zes gezegende commerciële vrindjes van de overheid, en dat is dus inderdaad precies het probleem. Dat, en de luiheid (of liever het fabrieksmatige falen) van UWV die dus maar weer het probleem over de schutting gooit. Op zich helemaal te begrijpen want zo heeft de overheid "eHerkenning" precies bedoeld: Iedereen aan dat ding want dan wordt alles meer digitaal en dus meer beter, maar je ziet dus gelijk dat de overheid, waaronder UWV, hier zeer bevraaglijk bezig is.
05-06-2020, 11:20 door Anoniem
Door iatomory:
Door Anoniem: Ik zie geen overdrijven in wat je aanhaalt. Ik zie wel dat je een half dozijn commerciële olichargen verdedigt. Waarom doe je dat?
Ik sta vooraan om te roepen dat de overheid moet investeren in een betaalbaar en veilig(er) inlogmiddel gebaseerd op open standaarden (lees: WebAuthn). Het is belachelijk dat er een commerciële partij tussen de burger (of ondernemer) en de overheid in moet staan die, met goedkeuren van dezelfde overheid, zonder problemen zijn zakken kan vullen omdat zijn dienst nu eenmaal verplicht gesteld is.
Ik schat echter in dat 35 euro per jaar nu niet het bedrag is waar je als werkgever van wakker hoeft te liggen. Dat je het er principieel mee oneens kan zijn - betalen om je belastingaangifte in te vullen - kan ik zeker begrijpen. Maar we moeten niet overdrijven alsof dit nu opeens een zo'n grote kostenpost is.

Het probleem is dat het steeds weer gebeurt. De regeldruk in Nederland was al zo hoog dat we alweer jaren terug besloten hebben dat er echt iets aan moet gebeuren. Ondernemers moeten kunnen ondernemen, in plaats van alleen maar met regels bezig zijn. Sommige regels zijn nodig, het gros is veel minder nodig en een lapmiddel voor een ander lapmiddel.

Een voorbeeld is het VOG. Omdat de meeste misdaden na vier jaar niet meer terugkomen op het VOG en lang niet alles gemeld wordt is het nut nogal beperkt, maar levert het wel een enorme papiermolen en vertragingen op. Je kunt er als werkgever niet aan meedoen, maar zodra klanten (mede onder druk vanuit de overheid) dat vanuit hun eigen positie gaan verlangen moet je wel. Het is een papiermolen en bezigheidstherapie van tientallen miljoenen euro's en de concrete toegevoegde waarde is onduidelijk, maar naar alle waarschijnlijkheid nihil.

Het zijn allemaal druppels, maar bij elkaar tellen ze wel op. De concurrentiepositie van Nederland is door onze hoge lone vaak al lastig en dan kan die stroom druppels erbovenop het verschil maken. Nederland kent 1,2 miljoen ambenaren. Eén op de 15(!) mensen is ambtenaar en moet overeind gehouden worden door de rest. Met alle omslachtige regelgevingen die we hebben kunnen we niet anders dan vaststellen dat een goed deel van die 1,2 miljoen dus eigenlijk verkapte werklozen zijn, die nu aan het werk gehouden worden door de complexe regelgeving en -druk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search