AVG-dwangsom van 150.000 Euro per maand voor UWV als werkgeversportal op 31 oktober niet beter beveiligd is

Het UWV moet van de Autoriteit Persoonsgegevens (AP) op 31 oktober 2019 het beveiligingsniveau van het werkgeversportaal op orde hebben. Als dat niet lukt moet het UWV een dwangsom van 150.000 euro per maand betalen. De boete kan oplopen tot 900.000 Euro.

Het UWV werkgeversportaal wordt door werkgevers en arbodiensten onder meer gebruikt voor het invoeren en inzien van gegevens over ziekteverzuim van werknemers. Het portaal voldoet volgens de AP niet aan de Algemene Verordening Gegevensbescherming (AVG).

De AP eist dat voortaan alleen ingelogd kan worden met minimaal een dubbele authenticatie. Momenteel volstaat een enkel wachtwoord. Het UWV werkgeversplatform wordt maandelijks gebruikt door ongeveer 130.000 ondernemers.

”Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat”, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens.

Het UWV werd een jaar geleden al door de Autoriteit Persoonsgegevens gewaarschuwd dat de beveiliging van het werkgeversportaal moest worden beveiligd. De dwangsom legt nu extra druk bij het UWV. Een woordvoerder zegt dat het UWV de deadline zeker gaat halen.

Meer actueel awareness nieuws

AVG-awareness humor: Met de AVG-kennis van nu was Michael Jackson dus niet okay…

“Michael Jackson understood the requirements for continuous monitoring…”, tweet @malwarejake. Malware specialist Jake Williams krijgt in korte tijd ruim 1400 likes en fantastische awareness reacties voor deze grappige tweet met muzikale AVG-doordenker.

Annie, are you ok?

So, Annie are you ok

Are you ok, Annie

Annie, are you ok?

So, Annie are you ok

Are you ok, Annie

Annie, are you ok?

 

De tekst komt uit het nummer Smooth Criminel. Heel toepasselijk ook.

“If Annie fails to respond, there’s a problem; a smooth criminal perhaps”, reageert privacyspecialist Gareth Nibblett uit Estland.

 

Risk Management Consultant Rebecca Harness antwoordt via haar Twitteraccount @rebeccaharness ludiek met het nummer Breed van Nirvana.

I don’t care, I don’t care, I don’t care

….don’t care if it’s old

I don’t mind, I don’t mind, I don’t mind

I don’t mind…

Get away, get away, get away

Get away…

I’m afraid, I’m afraid, I’m afraid

I’m afraid, afraid, ghost!

 

Heb jij ook nog leuke songteksten die een AVG Awareness associatie te weeg brengen kunnen? Meldt jouw suggestie in de reacties.

Meer actueel awareness nieuws

AVG bewijsdilemma: “Ik heb me nooit aangemeld voor uw nieuwsbrief” Echt niet?

“Voor de lunch de nieuwsbrief verstuurd. Vervolgens belt er iemand boos en gefrustreerd op. Ze wil die nieuwsbrief niet.”

Je denkt dat je je zorgvuldig aan de AVG houdt, maar toch klopt er iets niet. Heel herkenbaar en frustrerend. Wie heeft er een fout gemaakt? Of laat de techniek je in de steek?

Het citaat in de inleiding is afkomstig uit een tweet van juriste Charlotte Meindersma. Zij blogt, vlogt en tweet onder de titel Charlottes Law regelmatig over dillemmas en vraagstukken die te maken hebben met de Algemene Verordening Gegevensbescherming.

Meindersma noemt zich ‘de social media jurist van Nederland’. Terecht. Haar online bijdragen zijn interessant, helder en professioneel. Een aanrader voor iedereen die meer wil weten over de AVG.

 

De tweet van Charlotte over de woedende vrouw die belt omdat ze zegt zich nooit te hebben ingeschreven voor de nieuwsbrief van Charlottes Law is herkenbaar voor beide partijen in soortgelijke situaties.

De AVG is heel duidelijk wat betreft de adressenlijst van nieuwsbrieven. De eigenaar van de site moet kunnen aantonen dat de ontvanger ooit expliciet heeft aangegeven de nieuwsbrief te willen ontvangen. Dat kan via een dubbele optin.

Na de aanmelding krijgt de aanmelder een mail waarin om bevestiging van de aanmelding wordt gevraagd. Als de aanmelder op de link in deze bevestigingsmail klikt wordt dat vastgelegd in de database van het systeem dat gebruikt wordt om de nieuwsbrieven te versturen.

Als iemand een klacht indient en zegt zich niet te hebben aangemeld kun je in deze database controleren of de klacht terecht is.

Charlotte liet naar aanleiding van de klacht van de vrouw meteen uitzoeken wat er aan de hand kon zijn.

“Wij uitzoeken”, tweet ze. “Heeft zich inmiddels zelf uitgeschreven. Afton spreekt voicemail in om uitleg te geven excuses aan te bieden. Mevrouw belt terug >”

Netjes afgehandeld, denk je dan. Maar er blijft een dilemma. Hoe kwam het mailadres van mevrouw in de database voor de nieuwsbrief van Charlottes Law terecht? Als er gebruik is gemaakt van dubbele optin kan het niet anders dan dat er ooit een aanmelding is gedaan via het mailadres van mevrouw. Immers, de aanmelding moet altijd worden bevestigd via datzelfde mailadres.

Kan het zijn dat de site van Charlotte is gehackt?

Zit er een fout in het systeem?

Frustrerende vragen waar je in het kader van de AVG onderzoek naar zult moeten doen. Je moet in je verwerkingsregister melding maken van het incident. Je moet aangeven welke maatregelen je hebt genomen.

Maar stel nou dat de fout gemaakt is door degene die klaagt? Hoe bewijs je dat dan? Het is jouw woord tegen het woord van de klager.

Charlotte had inmiddels gecontroleerd dat het mailadres inderdaad in haar database stond. Ze vermeldt het niet in haar tweet, maar waarschijnlijk was er een dubbele optin bevestiging.

Maar daarmee is ze nog geen stap verder. Zoeken naar een speld in een hooiberg. Een speld die er misschien helemaal niet is.

Charlotte had dit keer geluk. Mevrouw reageerde op de excuses die waren aangeboden via haar voicemail. Ze erkende heel netjes dat ze zelf fout zat.

“Het was haar man die zich had ingeschreven ‘omdat (ik) zo leuk schrijf(t)’. Dus hij heeft zich weer ingeschreven, meteen voor alle lijsten 🙂 Ze wenst ons een zonnige dag. 🙂 Een vrolijke is het in elk geval.”

 

Maar stel nu dat de klager niet ruiterlijk aangeeft dat ze fout zit? Wat dan?

Waarschijnlijk zal de Autoriteit Persoonsgegevens er geen halszaak van maken als het een enkel incident is.

Maar het ligt natuurlijk anders als er regelmatig soortgelijke klachten binnenkomen over dezelfde website.

En stel dat dan blijkt dat je site is geinfecteerd, gehackt? Dan moet je uitleggen waarom je na de eerste klacht geen maatregelen hebt genomen. Het is dus zaak om iedere klacht serieus te nemen. En vooral ook beleefd te communiceren met de klager. Hoe gefrustreerd die ook reageert.

En de verklaring van de klaagster legt ook een ander praktisch probleem bloot bij de omgekeerde bewijslast voor ondernemers die een AVG-klacht aan hun broek krijgen. Hoe bewijs je dat sommige privépersonen computers of mailadressen delen? Dat dergelijke online partners tegenstrijdige interesses hebben? Zoals in dit geval.

Charlottes Law:

Blog: https://www.charlotteslaw.nl
Twitter: @charlotteslaw
YouTube: https://www.youtube.nl/charlotteslawnl

Meer actueel awareness nieuws