Antwoord schriftelijke vragen : Antwoord op vragen van de leden Van der Molen, Pieter Heerma en Van den Berg over de last onder dwangsom werkgeversportaal UWV

Antwoord van Minister Koolmees (Sociale Zaken en Werkgelegenheid) mede namens de Minister
voor Medische Zorg en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
(ontvangen 7 maart 2019).

Vraag 1

Kunt u bevestigen dat de Unieke Zorgverlener Identificatie (UZI-pas) zal worden gecontinueerd
als apart sectoraal eID-middel voor beroepen in de gezondheidszorg?

Antwoord 1

Ja, de UZI-authenticatiemiddelen zullen vooralsnog gecontinueerd worden voor beroepen
in de gezondheidszorg. De UZI-pas is bedoeld voor patiëntherkenning door zorgprofessionals
en niet voor de uitwisseling van gegevens tussen UWV en bedrijven. Met de UZI-pas
kan het BSN van de patiënt worden opgehaald en vastgelegd in de eigen administratie.

Vraag 2

Bent u voornemens om gebruik te maken van de mogelijkheid in de aanstaande Wet digitale
overheid om voor een welbepaalde doelgroep (BIG-geregistreerden) af te wijken van
de acceptatieplicht van de generieke elektronische identificatiemiddelen?

Antwoord 2

De aanstaande Wet digitale overheid (WDO) biedt de mogelijkheid om in plaats van een
UZI-pas met een publiek identificatiemiddel (bijvoorbeeld DigiD) in te loggen en daarmee
de identiteit van de zorgprofessional vast te stellen. Op basis van artikel 8 derde
lid WDO kan bij ministeriële regeling worden bepaald dat een publiek identificatiemiddel
kan worden gebruikt voor de functie die de UZI-pas nu heeft. Het is nog te vroeg om
te zeggen of hier daadwerkelijk gebruik van zal worden gemaakt. Hiernaar is een eerste
verkenning gestart.

Vraag 3

Klopt het bericht, dat wanneer er sprake is van een apart sectoraal eID-stelsel voor
toegang tot gezondheidsgegevens, het Uitvoeringsinstituut Werknemersverzekeringen
(UWV) voor het vaststellen van het betrouwbaarheidsniveau, niet alleen naar de generieke
Handreiking «Betrouwbaarheidsniveaus voor digitale dienstverlening, een handreiking
voor overheidsorganisaties, versie 4» van Forum Standaardisatie moet kijken, maar
ook naar de sectorale norm van VWS als vastgelegd in het «Onderzoek betrouwbaarheidsniveau
patiëntauthenticatie bij elektronische gegevensuitwisseling in de zorg» (mei 2016,
bijlage bij Kamerstuk 26 643, nr. 419)?

Antwoord 3

Nee, het bericht klopt niet. Het onderzoek dat het Ministerie van Volksgezondheid,
Welzijn en Sport heeft laten uitvoeren gaat specifiek over patiëntauthenticatie, en
dus over het betrouwbaarheidsniveau (eIDAS Laag, Substantieel of Hoog) dat een patiënt
(burger) moet gebruiken om toegang te krijgen tot zijn of haar gezondheidsgegevens.
Het inloggen door de zorgverlener is daarbij buiten beschouwing gebleven.

Vraag 4

Kunt u bevestigen dat in dit onderzoek wordt gesteld dat, wanneer zonder twijfel vastgesteld
kan worden dat er sprake is van gezondheidsgegevens, inzage in het burgerservicenummer
(BSN) en toepasselijkheid van het medisch beroepsgeheim geldt: Betrouwbaarheidsniveau
Hoog eIDAS?

Antwoord 4

In het onderzoek – dat dus uitsluitend betrekking had op de patiëntauthenticatie (het
burgerdomein) – is inderdaad aangegeven dat voor de situatie waarbij toegang wordt
gegeven aan het medische dossier aan patiënten, het betrouwbaarheidsniveau eIDAS Hoog
passend is.

Vraag 5

Heeft het UWV nieuw onderzoek gedaan en is daarbij vastgesteld dat er sprake is van
het beschikbaar stellen, verwerken, muteren en of inzage van gezondheidsgegevens via
het werkgeversportaal?

Antwoord 5

Ja, UWV heeft de risicoanalyse van de verzuimmelder op het werkgeversportaal in 2018
herhaald op basis van versie 4 van de handreiking voor overheidsorganisaties van Forum
Standaardisatie. Een eerdere risicoanalyse was uitgevoerd in 2015. Uit beide analyses
blijkt dat het niveau substantieel het passende niveau is voor de gegevens die worden
verwerkt op het werkgeversportaal. Op het werkgeversportaal kan de werkgever ziekmeldingen
en betermeldingen, meldingen van zwangerschaps- en bevallingsverlof, meerlingenverlof
en adoptie- of pleegzorgverlof en meldingen van langdurige arbeidsongeschiktheid doorgeven.
Dit betreft gezondheidsgegevens die niet onder het medisch beroepsgeheim vallen. Ook
kan de werkgever onjuiste meldingen intrekken en een overzicht van de eigen meldingen
inzien.

Vraag 6

Kunt u bevestigen dat het beschikbaar stellen, verwerken, muteren en of inzage van
gezondheidsgegevens niet per se leidt tot een verschil in het vereiste betrouwbaarheidsniveau?
Heeft het UWV hiermee rekening gehouden bij het vaststellen van het betrouwbaarheidsniveau?

Antwoord 6

UWV heeft bij het vaststellen van het betrouwbaarheidsniveau gebruik gemaakt van het
classificatiemodel conform de eIDAS-verordening. Hierbij is zowel rekening gehouden
met de aard van de gegevens als de wijze waarop met de gegevens om wordt gegaan. De
weging is op basis van de zes criteria uit het classificatiemodel. Daarnaast is gekeken
naar risicoverhogende en risicoverlagende factoren conform de handreiking van het
Forum Standaardisatie. In de risicoanalyse is het noodzakelijke niveau bepaald op
«substantieel».

Vraag 7

Klopt het dat het UWV na de risicoanalyse in 2015 geen nieuwe risicoanalyse heeft
uitgevoerd en dat het werkgeversportaal nog altijd eHerkenning niveau 3 (Betrouwbaarheidsniveau
Substantieel eIDAS) voorschrijft om de door de Autoriteit Persoonsgegevens opgelegde
dwangsom te voorkomen?

Antwoord 7

Nee, UWV heeft in 2018 een nieuwe risicoanalyse uitgevoerd. De reden dat UWV eHerkenning
niveau 3 (substantieel) heeft geïmplementeerd is omdat uit de analyse blijkt dat dit
het passende betrouwbaarheidsniveau is voor het werkgeversportaal.

Vraag 8

Kunt u bevestigen dat de Autoriteit Persoonsgegevens (AP) in alinea 57 van het rapport
«Last onder dwangsom UWV werkgeversportaal»1 suggereert dat het UWV mogelijk bezig is met een implementatie van een middel met
een te laag betrouwbaarheidsniveau («Het had dan ook op de weg van het UWV gelegen
om de reeds in 2015 uitgevoerde risicoanalyse opnieuw uit te voeren aan de hand van
de meest recente versie van de Handreiking. Door dit niet te doen ontstaat het risico
dat aan het einde van de implementatietermijn van, in dit geval, eHerkenning, mogelijk
geen sprake (meer) is van een passend beveiligingsniveau»)? Zo ja, deelt u de mening
dat het voorsorteren van het UWV op de Wet digitale overheid door eHerkenningsmiddelen
voor te schrijven op een verkeerd niveau voor werkgevers kan leiden tot een investering
in de verkeerde middelen?

Antwoord 8

De Autoriteit Persoonsgegevens schrijft in alinea 57 dat de analyse van UWV uit 2015
is gebaseerd op versie 3 van de Handreiking. Daarnaast stelt de Autoriteit Persoonsgegevens
dat de Algemene verordening gegevensbescherming voorschrijft dat rekening wordt gehouden
met de stand van de techniek. Inmiddels is versie 4 van de Handreiking beschikbaar.
In alinea 58 stelt de Autoriteit Persoonsgegevens dat Handreiking versie 4 een ander
toetsingskader hanteert dan versie 3. Derhalve heeft de Autoriteit Persoonsgegevens
geconcludeerd dat UWV de risicoanalyse uit 2015 opnieuw dient uit te voeren (alinea
65). UWV heeft deze risicoanalyse in 2018 opnieuw uitgevoerd. Uit deze nieuwe risicoanalyse
blijkt dat niveau substantieel het juiste niveau is. Ik deel niet de mening dat sprake
is van het voorschrijven van eHerkenningsmiddelen op een verkeerd niveau.

Vraag 9

Is in het geval dat het UWV het verkeerde betrouwbaarheidsniveau voorschrijft aan
werkgevers de dienst aansprakelijk voor kosten van een herstelactie door werkgevers
die eHerkenningsmiddelen moeten omruilen en/of upgraden? Zo ja, kunt u dan een inschatting
maken van de hoogte van de kosten? Zo nee, waarom niet?

Antwoord 9

Ik deel niet de mening dat sprake is van het voorschrijven van eHerkenningsmiddelen
op een verkeerd niveau. Van een herstelactie is daarom geen sprake.

Vraag 10

Hoeveel eHerkenningsmiddelen moeten er in totaal worden aangeschaft door werkgevers
om de huidige geautoriseerde medewerkers toegang te geven tot het werkgeversportaal?

Antwoord 10

Zoals aangegeven in mijn brief aan uw Kamer van 26 november 2018 zijn er circa 157.000
werkgevers en circa 2.700 intermediairs (zoals arbodiensten, administratiekantoren
of accountants), die geautoriseerd zijn voor ruim 25.000 werkgevers, die beschikken
over een toegangsaccount voor het werkgeversportaal. Het is niet met zekerheid te
zeggen of dit ook betekent dat hetzelfde aantal eHerkenningsmiddelen zal worden aangeschaft.
In de huidige situatie hebben veel accounts voor het werkgeversportaal slechts één
gemachtigde, maar in de praktijk wordt dat account vaak gedeeld en gebruikt als bedrijfsaccount.
Een eHerkenningsmiddel is persoonsgebonden en op niveau «substantieel» worden aan
identificatie en authenticatie meer eisen gesteld. Of dit invloed heeft op een toename
van het aantal gebruikers moet blijken.

Vraag 11

Deelt u de mening dat deze casus aantoont dat er sprake is van een veel te lage inschatting
van de financiële lasten voor bedrijven, zoals gesteld op bladzijde 49–50 van de memorie
van toelichting van de Wet digitale overheid (Kamerstuk 34 972, nr. 3)? Zo ja, hoe groot moeten dan de financiële lasten voor de bedrijven worden ingeschat?
Zo nee, waarom niet?

Antwoord 11

Nee, de kosten zijn niet te laag ingeschat. In de memorie van toelichting van de Wet
digitale overheid wordt uitgegaan van een prijs van € 30 per jaar bij het afsluiten
van een driejarig contract voor een eHerkenningsmiddel niveau substantieel. De schatting
gaat uit van een volwassen markt met optimale concurrentie over ongeveer 5 jaar. Dat
wil zeggen een situatie waarin vrijwel alle overheidsorganisaties zijn aangesloten
en vrijwel alle bedrijven een middel hebben. Die situatie hebben we nog niet bereikt,
maar de prijs van een driejarig contract ligt momenteel al rond de € 100 ofwel € 33
per jaar. Zie ook het leveranciersoverzicht: https://www.eherkenning.nl/inloggen-met-eherkenning/leveranciers/levera….

Hierbij moet worden opgemerkt dat in de memorie van toelichting geen kosten voor machtigingen
zijn opgenomen. Reden is dat 96% van het bedrijfsleven uit ZZP’ers en microbedrijven
bestaat en aangenomen is dat deze bedrijven geen extra middelen of machtigingen zullen
aanschaffen, omdat ze geen of weinig personeel hebben. Daarin verschilt de casus van
UWV. De relatie met UWV bestaat juist, omdat er personeel in dienst is. In de praktijk
zullen klanten van UWV vaak hun medewerkers of intermediairs machtigen om namens hen
meldingen te doen. De prijs van het koppelen van een (extra) machtiging aan een eHerkenningsmiddel
substantieel ligt momenteel op rond de € 8 per machtiging per jaar bij een driejarig
contract.

Vraag 12

Is het waar dat medewerkers verzuimbeheersing van het UWV zelf voor de verwerking
van de persoons- en gezondheidsgegevens, UZI-passen moeten gebruiken om te voldoen
aan de bevindingen uit het onderzoek van de Autoriteit Persoonsgegevens inzake de
verwerking persoonsgegevens door UWV?2

Antwoord 12

Nee, dat is niet waar. Het UZI-authenticatiemiddel dient voor het vaststellen van
het BSN van de patiënt door de zorgprofessional (zie vraag 1). De medewerkers verzuimbeheersing
bij UWV werken sinds 1 januari 2019 onder de verantwoordelijkheid van de arts. De
Autoriteit Persoonsgegevens heeft aangegeven dat deze werkwijze voldoet aan de Algemene
verordening gegevensbescherming.

Vraag 13

Kunt u bevestigen dat in de Wet-BIG wordt geregeld, dat ook bij het UWV voor de verwerking
van gezondheidsgegevens de UZI-pas gebruikt moet worden nu dit sectorale eID-middel
door de Minister van Volksgezondheid, Welzijn en Sport gecontinueerd zal worden?

Antwoord 13

De Minister voor Medische Zorg en Sport is verantwoordelijk voor de uitgifte van de
UZI-authenticatiemiddel, en zal daarom deze vraag beantwoorden.

Nee, de UZI-pas is alleen bedoeld voor het vaststellen van het BSN van de patiënt
door de zorgprofessional.

Vraag 14

Zouden arbo en bedrijfsartsen en/of verzuimmedewerkers van werkgevers daardoor niet
eHerkenning maar de UZI-pas dienen te gebruiken voor online toegang tot het werkgeversportaal?

Antwoord 14

Nee, het UZI-middel wordt gebruikt om het BSN te verkrijgen van de patiënt. Arbo en
bedrijfsartsen en verzuimmedewerkers van werkgevers dienen eHerkenning te gebruiken
voor de online toegang tot het werkgeversportaal.

Vraag 15

Kunt u deze vragen beantwoorden voor het algemeen overleg over SUWI op 20 februari
2019?

Antwoord 15

De beantwoording van deze vragen heeft vanwege zorgvuldige afstemming meer tijd gevergd.