Categorie op Overig

UWV vervangt SONAR-systeem wegens privacyproblemen na 2025

Het UWV zal het SONAR-systeem dat voor arbeidsbemiddeling wordt gebruikt wegens privacyproblemen pas na 2025 vervangen, zo heeft minister Koolmees van Sociale Zaken aan de Tweede Kamer laten weten. In de tussentijd worden maatregelen genomen om een aantal grote risico’s aan te pakken.

SONAR is een klantregistratiesysteem waar ruim 16.000 personen gebruik van maken voor de matching van klanten en potentiële werkgevers. Het gaat om adviseurs van het UWV en een deel van de adviseurs van de gemeenten en SW-bedrijven. Het systeem bevat gegevens als naam, adresgegevens, burgerservicenummer, nationaliteit, opleidingsniveau, c.v. en belastbaarheid.

SONAR is gekoppeld aan verschillende andere systemen die ondersteunen bij de arbeidsbemiddeling, zoals werk.nl, waar werkzoekenden en werkgevers elkaar kunnen vinden. Het systeem werd in 2005 geïmplementeerd en is zonder privacy by design ontwikkeld en ingericht, aldus Koolmees. SONAR is juist zo gemaakt om gegevens op een efficiënte manier tussen gebruikers te delen om arbeidsbemiddeling op een landelijke schaal mogelijk te maken.

“De afgelopen jaren is de aandacht voor informatiebeveiliging en privacy gegroeid. Waar de nadruk eerder juist lag op transparantie in het systeem, kwam er steeds meer aandacht voor de risico’s voor de privacy die hierbij kunnen ontstaan”, laat de minister weten. Om de privacyrisico’s en tekortkomingen van SONAR in kaart te brengen liet Koolmees een privacy-audit uitvoeren.

Naar aanleiding van de audit zijn verschillende maatregelen opgesteld die op de korte, middellange en lange termijn genomen zullen worden. De maatregelen voor de korte termijn worden hierbij versneld opgestart. Het gaat dan om het versneld invoeren van een systeem voor het automatisch loggen en monitoren, het resetten van wachtwoorden en het wijzen van medewerkers op het belang van privacy.

Voor de middellange termijn noemt Koolmees onder andere de implementatie van een fijnmaziger autorisatiemodel en het aanscherpen en beter documenteren van autorisaties in SONAR. “Belangrijk criterium hierbij is en blijft dat werkzoekenden van buiten de regio gevonden kunnen worden als er een voor hen geschikte vacature bekend wordt. Voor landelijke arbeidsbemiddeling blijft een brede, regio-overstijgende toegang noodzakelijk”, merkt de minister op.

Het uiteindelijke doel is echter om SONAR te vervangen. Dit zal echter nog een aantal jaren duren. “Deze vervanging kan realistisch gezien niet voor 2025 gerealiseerd worden, omdat anders de continuïteit van de dienstverlening van UWV in gevaar kan komen”, schrijft Koolmees. Het plan is om het systeem stapsgewijs uit te faseren, om zo risico’s die technisch gezien niet zijn te verhelpen al eerder te kunnen mitigeren. Eind dit jaar komt Koolmees met een update over de genomen maatregelen.

Lees hier verder. © Security.nl

De controller als functionaris gegevensbescherming: ‘Het is een ontdekkingsreis’

Sinds de invoering van de AVG in 2018 beschikken steeds meer organisaties over een functionaris gegevensbescherming of data protection officer. De FG houdt toezicht op de verwerking en beveiliging van persoonsgegevens. In een aantal organisaties worden controllers als FG aangewezen. Hoe bevalt die nieuwe rol? En welke controllerskills komen van pas? ‘In beide functies gebruik je dezelfde voelsprieten.’

Lees hier verder. © CM Web

Hoe bindend is een e-mail waarin iemand ontslag neemt?

Juridische vraag: Bij ons (redelijk groot) bedrijf gelden harde securityregels, waaronder de simpele eis je laptop te locken als je er van wegloopt. Als security officer zeg ik dan altijd, als ik een open laptop zie dan stuur ik vanuit jouw mailadres een ontslagmail naar je manager. Maar nu vroeg ik me af hoe bindend dat zou zijn op die persoon?

Antwoord: Een eis dat mensen hun laptop locken is een prima idee, en het is goed om met concrete voorbeelden te illustreren waarom. Het spreekt zeer tot de verbeelding dat iemand dan vanaf jouw mailadres iets raars naar je manager stuurt, dat geeft gedoe waar je géén zin in hebt.

Ik adviseer zelf om krokettenbeleid te voeren (in het Zuiden des lands ook wel vlaaienbeleid): je mailt alle collega’s “Mijn laptop stond open dus ik regel morgen kroketten”. En dat is dan soort van sociaal verplicht dat je dat doet.

Juridisch kun je een werknemer natuurlijk niet verplichten om kroketten (of vlaaien) te gaan kopen. En ik heb al een OR-lid in de mail gehad die dit potentieel pesten/bullying vond van de zwakkere werknemer, die zo legaal te grazen genomen kan worden door collega’s. Je daartegen wapenen vind ik wel een serieuze randvoorwaarde voor je bedrijf.

Deze constructie (je baas mailen “ik neem ontslag”) gaat voor mij nog een stapje verder. Afhankelijk van de werkrelatie, die je niet kent als langslopende security officer, kan het zijn dat deze persoon geloofd wordt (“Ha, eindelijk!”) en dan komen er processen op gang waar het héél lastig weer uit te komen is. Ik zou dit dus dringend afraden.

Formeel-juridisch is het niet bindend want die persoon heeft het niet gezegd, en daar is bewijs van want als goed werknemer ga jij natuurlijk een getuigenverklaring afleggen dat jij die mail hebt gestuurd. Maar je komt er pas achter als het ontslagproces al op gang is, en misschien is er dan al een arbeidsconflict ontstaan waardoor het hoe dan ook doorgezet wordt.

Dus misschien moeten we maar gewoon zeggen, de SO stuurt alleen mails naar de persoon zelf “Volgende keer je laptop afsluiten” of de laptop meenemen en een geel briefje achterlaten. Geen ontslagbrieven sturen, en geen kroketten aankondigen. Dan laat je iemand lopen in plaats van vettigheid eten, is nog beter voor de gezondheid ook.

Lees hier verder. © Security.nl

Vragen over thuiswerken? Deze 7 zaken moet je weten!

Door corona werken we met zijn allen zo veel mogelijk thuis. Maar hoe langer dit duurt, hoe meer vragen we hebben. Want wie betaalt eigenlijk je thuiswerkplek? Ben je verplicht om thuis te werken of naar kantoor te komen, ook al wil je dat niet? En mag je baas je output en werkplek zomaar controleren? De FNV geeft antwoord op de 7 meest prangende vragen over thuiswerken.

1.    Mag mijn werkgever mij verplichten thuis of juist op kantoor te werken? 

2.    Heb ik na de coronacrisis nog recht op thuiswerken?

3.    Wie is er verantwoordelijk voor een veilige en gezonde thuiswerkplek?

4.    Mag mijn werkgever mijn thuiswerkplek zomaar controleren?

5.    Mag mijn werkgever mijn productiviteit controleren?

6.    Heb ik recht op een thuiswerkvergoeding?

7.    Hoe houd ik grip op mijn werktijden en voorkom ik vervaging van werk en privé?

Lees hier verder. ©

DigiD officieel erkend als Europees inlogmiddel

DigiD is officieel erkend als Europees inlogmiddel, wat inhoudt dat Nederlandse burgers straks online zaken kunnen regelen met overheidsorganisaties in de Europese Unie. Dat heeft Logius, de automatiseringsdienst van de Rijksoverheid, vandaag bekendgemaakt.

Elke lidstaat heeft zijn eigen methode om burgers te authenticeren. De EU-verordening elektronische identiteiten en vertrouwensdiensten (eIDAS), die sinds 29 september 2018 van kracht is, verbindt deze nationale eID-systemen. DigiD voldoet nu aan de eisen van eIDAS. Daardoor kunnen Nederlandse burgers zich via DigiD bij de diensten van een buitenlandse overheid authenticeren.

Nu DigiD officieel is erkend hebben publieke organisaties en private organisaties met een publieke taak in de EU-lidstaten twaalf maanden de tijd om ervoor te zorgen dat hun systemen met DigiD overweg kunnen. “Dit is handig wanneer je bijvoorbeeld als student je wilt aanmelden voor een studie in Barcelona. Of wanneer iemand verhuist naar België en zich bij de gemeente online wil inschrijven”, laat Logius weten. Vorig jaar september werd eHerkenning al als officieel Europees inlogmiddel erkend.

Lees hier verder. © Security.nl