Antwoord op vragen van de leden Van der Molen, Pieter Heerma en Van den Berg over de last onder dwangsom werkgeversportaal UWV
Antwoord schriftelijke vragen
Nummer: 2019D09069, datum: 2019-03-07, bijgewerkt: 2024-02-19 10:56, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (ah-tk-20182019-1823).
Gerelateerde personen:- Eerste ondertekenaar: W. Koolmees, minister van Sociale Zaken en Werkgelegenheid (Ooit D66 kamerlid)
- Mede namens: R.W. Knops, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties (Ooit CDA kamerlid)
- Mede namens: B.J. Bruins, minister voor Medische Zorg
Onderdeel van zaak 2019Z02027:
- Gericht aan: W. Koolmees, minister van Sociale Zaken en Werkgelegenheid
- Gericht aan: R.W. Knops, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
- Gericht aan: H.M. de Jonge, minister van Volksgezondheid, Welzijn en Sport
- Indiener: H. van der Molen, Tweede Kamerlid
- Medeindiener: P.E. (Pieter) Heerma, Tweede Kamerlid
- Medeindiener: J.A.M.J. van den Berg, Tweede Kamerlid
- Voortouwcommissie: TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2018-2019 | Aanhangsel van de Handelingen |
Vragen gesteld door de leden der Kamer, met de daarop door de regering gegeven antwoorden |
1823
Vragen van de leden Van der Molen, PieterHeerma en Van den Berg (allen CDA) aan de Ministers van Sociale Zaken en Werkgelegenheid en van Volksgezondheid, Welzijn en Sport en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over de last onder dwangsom werkgeversportaal UWV (ingezonden 5 februari 2019).
Antwoord van Minister Koolmees (Sociale Zaken en Werkgelegenheid) mede namens de Minister voor Medische Zorg en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties (ontvangen 7 maart 2019).
Vraag 1
Kunt u bevestigen dat de Unieke Zorgverlener Identificatie (UZI-pas) zal worden gecontinueerd als apart sectoraal eID-middel voor beroepen in de gezondheidszorg?
Antwoord 1
Ja, de UZI-authenticatiemiddelen zullen vooralsnog gecontinueerd worden voor beroepen in de gezondheidszorg. De UZI-pas is bedoeld voor patiëntherkenning door zorgprofessionals en niet voor de uitwisseling van gegevens tussen UWV en bedrijven. Met de UZI-pas kan het BSN van de patiënt worden opgehaald en vastgelegd in de eigen administratie.
Vraag 2
Bent u voornemens om gebruik te maken van de mogelijkheid in de aanstaande Wet digitale overheid om voor een welbepaalde doelgroep (BIG-geregistreerden) af te wijken van de acceptatieplicht van de generieke elektronische identificatiemiddelen?
Antwoord 2
De aanstaande Wet digitale overheid (WDO) biedt de mogelijkheid om in plaats van een UZI-pas met een publiek identificatiemiddel (bijvoorbeeld DigiD) in te loggen en daarmee de identiteit van de zorgprofessional vast te stellen. Op basis van artikel 8 derde lid WDO kan bij ministeriële regeling worden bepaald dat een publiek identificatiemiddel kan worden gebruikt voor de functie die de UZI-pas nu heeft. Het is nog te vroeg om te zeggen of hier daadwerkelijk gebruik van zal worden gemaakt. Hiernaar is een eerste verkenning gestart.
Vraag 3
Klopt het bericht, dat wanneer er sprake is van een apart sectoraal eID-stelsel voor toegang tot gezondheidsgegevens, het Uitvoeringsinstituut Werknemersverzekeringen (UWV) voor het vaststellen van het betrouwbaarheidsniveau, niet alleen naar de generieke Handreiking «Betrouwbaarheidsniveaus voor digitale dienstverlening, een handreiking voor overheidsorganisaties, versie 4» van Forum Standaardisatie moet kijken, maar ook naar de sectorale norm van VWS als vastgelegd in het «Onderzoek betrouwbaarheidsniveau patiëntauthenticatie bij elektronische gegevensuitwisseling in de zorg» (mei 2016, bijlage bij Kamerstuk 26 643, nr. 419)?
Antwoord 3
Nee, het bericht klopt niet. Het onderzoek dat het Ministerie van Volksgezondheid, Welzijn en Sport heeft laten uitvoeren gaat specifiek over patiëntauthenticatie, en dus over het betrouwbaarheidsniveau (eIDAS Laag, Substantieel of Hoog) dat een patiënt (burger) moet gebruiken om toegang te krijgen tot zijn of haar gezondheidsgegevens. Het inloggen door de zorgverlener is daarbij buiten beschouwing gebleven.
Vraag 4
Kunt u bevestigen dat in dit onderzoek wordt gesteld dat, wanneer zonder twijfel vastgesteld kan worden dat er sprake is van gezondheidsgegevens, inzage in het burgerservicenummer (BSN) en toepasselijkheid van het medisch beroepsgeheim geldt: Betrouwbaarheidsniveau Hoog eIDAS?
Antwoord 4
In het onderzoek – dat dus uitsluitend betrekking had op de patiëntauthenticatie (het burgerdomein) – is inderdaad aangegeven dat voor de situatie waarbij toegang wordt gegeven aan het medische dossier aan patiënten, het betrouwbaarheidsniveau eIDAS Hoog passend is.
Vraag 5
Heeft het UWV nieuw onderzoek gedaan en is daarbij vastgesteld dat er sprake is van het beschikbaar stellen, verwerken, muteren en of inzage van gezondheidsgegevens via het werkgeversportaal?
Antwoord 5
Ja, UWV heeft de risicoanalyse van de verzuimmelder op het werkgeversportaal in 2018 herhaald op basis van versie 4 van de handreiking voor overheidsorganisaties van Forum Standaardisatie. Een eerdere risicoanalyse was uitgevoerd in 2015. Uit beide analyses blijkt dat het niveau substantieel het passende niveau is voor de gegevens die worden verwerkt op het werkgeversportaal. Op het werkgeversportaal kan de werkgever ziekmeldingen en betermeldingen, meldingen van zwangerschaps- en bevallingsverlof, meerlingenverlof en adoptie- of pleegzorgverlof en meldingen van langdurige arbeidsongeschiktheid doorgeven. Dit betreft gezondheidsgegevens die niet onder het medisch beroepsgeheim vallen. Ook kan de werkgever onjuiste meldingen intrekken en een overzicht van de eigen meldingen inzien.
Vraag 6
Kunt u bevestigen dat het beschikbaar stellen, verwerken, muteren en of inzage van gezondheidsgegevens niet per se leidt tot een verschil in het vereiste betrouwbaarheidsniveau? Heeft het UWV hiermee rekening gehouden bij het vaststellen van het betrouwbaarheidsniveau?
Antwoord 6
UWV heeft bij het vaststellen van het betrouwbaarheidsniveau gebruik gemaakt van het classificatiemodel conform de eIDAS-verordening. Hierbij is zowel rekening gehouden met de aard van de gegevens als de wijze waarop met de gegevens om wordt gegaan. De weging is op basis van de zes criteria uit het classificatiemodel. Daarnaast is gekeken naar risicoverhogende en risicoverlagende factoren conform de handreiking van het Forum Standaardisatie. In de risicoanalyse is het noodzakelijke niveau bepaald op «substantieel».
Vraag 7
Klopt het dat het UWV na de risicoanalyse in 2015 geen nieuwe risicoanalyse heeft uitgevoerd en dat het werkgeversportaal nog altijd eHerkenning niveau 3 (Betrouwbaarheidsniveau Substantieel eIDAS) voorschrijft om de door de Autoriteit Persoonsgegevens opgelegde dwangsom te voorkomen?
Antwoord 7
Nee, UWV heeft in 2018 een nieuwe risicoanalyse uitgevoerd. De reden dat UWV eHerkenning niveau 3 (substantieel) heeft geïmplementeerd is omdat uit de analyse blijkt dat dit het passende betrouwbaarheidsniveau is voor het werkgeversportaal.
Vraag 8
Kunt u bevestigen dat de Autoriteit Persoonsgegevens (AP) in alinea 57 van het rapport «Last onder dwangsom UWV werkgeversportaal»1 suggereert dat het UWV mogelijk bezig is met een implementatie van een middel met een te laag betrouwbaarheidsniveau («Het had dan ook op de weg van het UWV gelegen om de reeds in 2015 uitgevoerde risicoanalyse opnieuw uit te voeren aan de hand van de meest recente versie van de Handreiking. Door dit niet te doen ontstaat het risico dat aan het einde van de implementatietermijn van, in dit geval, eHerkenning, mogelijk geen sprake (meer) is van een passend beveiligingsniveau»)? Zo ja, deelt u de mening dat het voorsorteren van het UWV op de Wet digitale overheid door eHerkenningsmiddelen voor te schrijven op een verkeerd niveau voor werkgevers kan leiden tot een investering in de verkeerde middelen?
Antwoord 8
De Autoriteit Persoonsgegevens schrijft in alinea 57 dat de analyse van UWV uit 2015 is gebaseerd op versie 3 van de Handreiking. Daarnaast stelt de Autoriteit Persoonsgegevens dat de Algemene verordening gegevensbescherming voorschrijft dat rekening wordt gehouden met de stand van de techniek. Inmiddels is versie 4 van de Handreiking beschikbaar. In alinea 58 stelt de Autoriteit Persoonsgegevens dat Handreiking versie 4 een ander toetsingskader hanteert dan versie 3. Derhalve heeft de Autoriteit Persoonsgegevens geconcludeerd dat UWV de risicoanalyse uit 2015 opnieuw dient uit te voeren (alinea 65). UWV heeft deze risicoanalyse in 2018 opnieuw uitgevoerd. Uit deze nieuwe risicoanalyse blijkt dat niveau substantieel het juiste niveau is. Ik deel niet de mening dat sprake is van het voorschrijven van eHerkenningsmiddelen op een verkeerd niveau.
Vraag 9
Is in het geval dat het UWV het verkeerde betrouwbaarheidsniveau voorschrijft aan werkgevers de dienst aansprakelijk voor kosten van een herstelactie door werkgevers die eHerkenningsmiddelen moeten omruilen en/of upgraden? Zo ja, kunt u dan een inschatting maken van de hoogte van de kosten? Zo nee, waarom niet?
Antwoord 9
Ik deel niet de mening dat sprake is van het voorschrijven van eHerkenningsmiddelen op een verkeerd niveau. Van een herstelactie is daarom geen sprake.
Vraag 10
Hoeveel eHerkenningsmiddelen moeten er in totaal worden aangeschaft door werkgevers om de huidige geautoriseerde medewerkers toegang te geven tot het werkgeversportaal?
Antwoord 10
Zoals aangegeven in mijn brief aan uw Kamer van 26 november 2018 zijn er circa 157.000 werkgevers en circa 2.700 intermediairs (zoals arbodiensten, administratiekantoren of accountants), die geautoriseerd zijn voor ruim 25.000 werkgevers, die beschikken over een toegangsaccount voor het werkgeversportaal. Het is niet met zekerheid te zeggen of dit ook betekent dat hetzelfde aantal eHerkenningsmiddelen zal worden aangeschaft. In de huidige situatie hebben veel accounts voor het werkgeversportaal slechts één gemachtigde, maar in de praktijk wordt dat account vaak gedeeld en gebruikt als bedrijfsaccount. Een eHerkenningsmiddel is persoonsgebonden en op niveau «substantieel» worden aan identificatie en authenticatie meer eisen gesteld. Of dit invloed heeft op een toename van het aantal gebruikers moet blijken.
Vraag 11
Deelt u de mening dat deze casus aantoont dat er sprake is van een veel te lage inschatting van de financiële lasten voor bedrijven, zoals gesteld op bladzijde 49–50 van de memorie van toelichting van de Wet digitale overheid (Kamerstuk 34 972, nr. 3)? Zo ja, hoe groot moeten dan de financiële lasten voor de bedrijven worden ingeschat? Zo nee, waarom niet?
Antwoord 11
Nee, de kosten zijn niet te laag ingeschat. In de memorie van toelichting van de Wet digitale overheid wordt uitgegaan van een prijs van € 30 per jaar bij het afsluiten van een driejarig contract voor een eHerkenningsmiddel niveau substantieel. De schatting gaat uit van een volwassen markt met optimale concurrentie over ongeveer 5 jaar. Dat wil zeggen een situatie waarin vrijwel alle overheidsorganisaties zijn aangesloten en vrijwel alle bedrijven een middel hebben. Die situatie hebben we nog niet bereikt, maar de prijs van een driejarig contract ligt momenteel al rond de € 100 ofwel € 33 per jaar. Zie ook het leveranciersoverzicht: https://www.eherkenning.nl/inloggen-met-eherkenning/leveranciers/leveranciersoverzicht/.
Hierbij moet worden opgemerkt dat in de memorie van toelichting geen kosten voor machtigingen zijn opgenomen. Reden is dat 96% van het bedrijfsleven uit ZZP’ers en microbedrijven bestaat en aangenomen is dat deze bedrijven geen extra middelen of machtigingen zullen aanschaffen, omdat ze geen of weinig personeel hebben. Daarin verschilt de casus van UWV. De relatie met UWV bestaat juist, omdat er personeel in dienst is. In de praktijk zullen klanten van UWV vaak hun medewerkers of intermediairs machtigen om namens hen meldingen te doen. De prijs van het koppelen van een (extra) machtiging aan een eHerkenningsmiddel substantieel ligt momenteel op rond de € 8 per machtiging per jaar bij een driejarig contract.
Vraag 12
Is het waar dat medewerkers verzuimbeheersing van het UWV zelf voor de verwerking van de persoons- en gezondheidsgegevens, UZI-passen moeten gebruiken om te voldoen aan de bevindingen uit het onderzoek van de Autoriteit Persoonsgegevens inzake de verwerking persoonsgegevens door UWV?2
Antwoord 12
Nee, dat is niet waar. Het UZI-authenticatiemiddel dient voor het vaststellen van het BSN van de patiënt door de zorgprofessional (zie vraag 1). De medewerkers verzuimbeheersing bij UWV werken sinds 1 januari 2019 onder de verantwoordelijkheid van de arts. De Autoriteit Persoonsgegevens heeft aangegeven dat deze werkwijze voldoet aan de Algemene verordening gegevensbescherming.
Vraag 13
Kunt u bevestigen dat in de Wet-BIG wordt geregeld, dat ook bij het UWV voor de verwerking van gezondheidsgegevens de UZI-pas gebruikt moet worden nu dit sectorale eID-middel door de Minister van Volksgezondheid, Welzijn en Sport gecontinueerd zal worden?
Antwoord 13
De Minister voor Medische Zorg en Sport is verantwoordelijk voor de uitgifte van de UZI-authenticatiemiddel, en zal daarom deze vraag beantwoorden.
Nee, de UZI-pas is alleen bedoeld voor het vaststellen van het BSN van de patiënt door de zorgprofessional.
Vraag 14
Zouden arbo en bedrijfsartsen en/of verzuimmedewerkers van werkgevers daardoor niet eHerkenning maar de UZI-pas dienen te gebruiken voor online toegang tot het werkgeversportaal?
Antwoord 14
Nee, het UZI-middel wordt gebruikt om het BSN te verkrijgen van de patiënt. Arbo en bedrijfsartsen en verzuimmedewerkers van werkgevers dienen eHerkenning te gebruiken voor de online toegang tot het werkgeversportaal.
Vraag 15
Kunt u deze vragen beantwoorden voor het algemeen overleg over SUWI op 20 februari 2019?
Antwoord 15
De beantwoording van deze vragen heeft vanwege zorgvuldige afstemming meer tijd gevergd.