Uitvoeringsinstituut Werknemersverzekeringen (UWV) handelt niet conform de privacywetgeving. De overtredingen vinden plaats bij verzuimbeheer en de toegang tot het werkgeversportaal. De Autoriteit Persoonsgegevens (AP) concludeert dit op basis van eigen onderzoek.
Het personeel dat bij het UWV ziekmeldingen verwerkt, is daartoe volgens de autoriteit niet bevoegd. De betreffende personeelsleden van het UWV stellen allerlei vragen over de gezondheid van de mensen die zich ziekmelden. Dit gebeurt echter zonder tussenkomst van een arts.
Ziektewetuitkering
“Het verwerken van gegevens over iemands gezondheid om te beoordelen of iemand in aanmerking komt voor een ziektewetuitkering mag alleen als dit onder verantwoordelijkheid van een arts gebeurt, bijvoorbeeld een verzekeringsarts. Dit is bij het UWV niet het geval,” aldus de AP.
Meerfactorauthenticatie
Ook de beveiliging van het werkgeversportaal voldoet niet aan de voorschriften. Werkgevers en arbodiensten hebben via dit webportaal toegang tot ziekteverzuimgegevens van werknemers. Dergelijke gevoelige persoonsgegevens dienen door de aanbieder én beheerder (beiden het UWV) beveiligd te zijn met meerfactorauthenticatie, wat nu niet het geval is.