1 imd^h IK V

Gemeente Woerden

Registratiedatum: Behandelend afdeling Afgehandeld door/op:

13.029832

vniG

14/11/2013

Vereniging van Nederlandse Gemeenten

Brief aan de leden T.a.v. het college en de raad

informatiecentrum tel.

uw kenmerk

(070) 3 7 3 8 3 9 3

bijlage(n)

1

betreft

ons kenmerk

datum

V e i l i g gebruik v a n S U W I - n e t :

BAWI/U201301372

12 n o v e m b e r 2 0 1 3

reactie o p inspectierapportage

Lbr. 13/097

e n verbetertraject voor gemeenten

Samenvatting E i n d oktober / begin n o v e m b e r z a l d e rapportage v a n d e S Z W - I n s p e c t i e ' D e burger bediend 2 0 1 3 ' a a n d e T w e e d e K a m e r w o r d e n v e r z o n d e n . Daaruit naar voren komt dat g e m e e n t e n niet zorgvuldig o m g a a n met g e g e v e n s v a n burgers w a n n e e r zij gebruik m a k e n v a n S U W I - n e t (gegevensuitwisseling s y s t e e m v o o r W e r k e n Inkomen). Dat is e e n onwenselijke situatie g e z i e n het feit dat d e doorontwikkeling v a n g e g e v e n s u i t w i s s e l i n g v a n groot b e l a n g voor het g o e d k u n n e n uitvoeren v a n d e taken g e k o p p e l d a a n d e decentralisaties.

D a a r o m zetten w e in o p e e n t w e e l e d i g e aanpak: •

G e n e r i e k g e m e e n t e b r e e d : d e ontwikkeling v a n d e B a s e l i n e Informatieveiligheid G e m e e n t e n d i e v i a d e B A L V o p 2 9 n o v e m b e r a a n s t a a n d e o n d e r d e a a n d a c h t wordt gebracht. In d e z e ledenbrief wordt dit traject kort s a m e n g e v a t .

•

S p e c i f i e k voor W e r k e n Inkomen: e e n d a a r o p a a n v u l l e n d e o p d e kortere termijn gerichte verbetertraject specifiek met betrekking tot veilig gebruik v a n S U W I - n e t . In d e z e ledenbrief wordt dit traject n a d e r toegelicht.

In d e z e brief roepen w e u o p o m gericht in te zetten o p verbeteracties D e bestuurlijke reactie v a n d e V N G o p d e inspectierapportage is a l s bijlage bijgevoegd.

ui

1 imd^h IK

•

V

<* t—

VIUG ma

Vereniging van Nederlandse Gemeenten

Aan de leden

informatiecentrum tel.

t

uw kenmerk

(070) 3 7 3 8 3 9 3

bijlage(n)

1

Betreft

ons kenmerk

datum

V e i l i g gebruik v a n S U W I - n e t :

BAWI/U201301372

12 n o v e m b e r 2 0 1 3

reactie o p inspectierapportage

Lbr. 13/097

e n verbetertraject v o o r gemeenten

Geacht college en gemeenteraad,

Wij v r a g e n uw a a n d a c h t voor het v o l g e n d e . O p 12 n o v e m b e r heeft staatssecretaris Klijnsma d e rapportage ' D e burger b e d i e n d 2 0 1 3 ' v a n d e S Z W - I n s p e c t i e naar d e T w e e d e K a m e r v e r z o n d e n . E e n groot deel v a n d e rapportage betreft e e n o n d e r z o e k o n d e r 80 g e m e e n t e n n a a r d e wijze w a a r o p d e z e g e m e e n t e n o m g a a n met g e g e v e n s v a n burgers. G e m e e n t e l i j k e m e d e w e r k e r s k u n n e n d e z e g e g e v e n s o p v r a g e n v i a S U W I - n e t . S U W I - n e t is het s y s t e e m v a n g e g e v e n s u i t w i s s e l i n g b i n n e n d e kolom v a n W e r k e n Inkomen. U W V , S V B e n g e m e e n t e n zijn belangrijke d a t a l e v e r a n c i e r s e n - a f n e m e r s . V a n alle N e d e r l a n d s e burgers zijn hierin g e g e v e n s o p v r a a g b a a r met betrekking tot i n k o m e n , werk, bezit, opleiding, a d r e s etc. Met het v e r z e n d e n v a n d e rapportage naar d e T w e e d e K a m e r wordt d e z e o p e n b a a r . D e o n d e r z o e k e n w a a r o p d e rapportage is g e b a s e e r d , w o r d e n opvraagbaar. Hierin w o r d e n de 8 0 g e m e e n t e n met n a a m e n s c o r e v e r m e l d . D e bestuurlijke reactie v a n d e V N G o p d e inspectierapportage is a l s bijlage bij d e z e brief g e v o e g d . D e integrale inspectierapportage inclusief d e beleidsreactie v a n staatssecretaris Klijnsma kunt u d o w n l o a d e n v a n www.vnq.nl of w w w . t w e e d e k a m e r . n l .

Wat zijn resultaten? V o o r wat g e m e e n t e n betreft zijn d e resultaten s c h o k k e n d . Uit het o n d e r z o e k blijkt dat d e m e e s t e g e m e e n t e n niet zorgvuldig o m g a a n met g e g e v e n s v a n burgers. D e s t e e k p r o e f g e m e e n t e n zijn b e v r a a g d op 7 normen w a a r a a n zij al langere tijd moeten v o l d o e n . Het betreft het h e b b e n v a n e e n a c t u e e l , formeel g o e d g e k e u r d e n uitgedragen informatieveiligheidsplan, het aanstellen v a n e e n security-officer, functiescheiding (tussen type gebruikers e n t u s s e n gebruikers e n controleurs v a n het s y s t e e m ) , het w e r k e n met autorisatiematrices (wie m a g w e l k e g e g e v e n s inzien) e n controle op het o p v r a a g g e d r a g (door d e security-officer). M e e r d a n d e helft v a n d e s t e e k p r o e f g e m e e n t e n voldoet a a n s l e c h t s 0 , 1 of 2 normen.

D a a r n a a s t is o n d e r z o c h t of g e g e v e n s v a n e e n lijst v a n honderd b e k e n d e N e d e r l a n d e r s zijn o p g e v r a a g d . Dat bleek bij 1 4 v a n d e 8 0 s t e e k p r o e f g e m e e n t e n het g e v a l . Bij 1 3 v a n d e 1 4 kon hiervoor g e e n verklaring g e g e v e n w o r d e n . G e m e e n t e n k u n n e n hun m e d e w e r k e r s niet specifiek controleren op het opvragen v a n b e k e n d e N e d e r l a n d e r s . Zij k u n n e n wel steekproefsgewijs controleren of er g e g e v e n s w o r d e n o p g e v r a a g d v a n burgers die g e e n uitkeringsrelatie met d e betreffende g e m e e n t e h e b b e n . Het k a n d a n ook g a a n o m o n b e k e n d e N e d e r l a n d e r s . Kortom, S U W I - n e t wordt ook gebruikt voor het o p v r a g e n v a n g e g e v e n s v a n p e r s o n e n die niet bij d e g e m e e n t e b e k e n d zijn.

Waarom zijn de resultaten dat s c h o k k e n d ? G e g e v e n s u i t w i s s e l i n g berust op vertrouwen t u s s e n d e uitwisselende ketenpartners in e e n z o r g v u l d i g e aanlevering, verwerking e n gebruik v a n d e g e g e v e n s . Juist in e e n tijd w a a r i n ketens s t e e d s c o m p l e x e r w o r d e n , moet men op e l k a a r k u n n e n vertrouwen. D o o r d e b o v e n g e n o e m d e uitkomsten komt het vertrouwen v a n het rijk, ketenpartners en burgers in d e g e m e e n t e n als gebruiker v a n p e r s o o n s g e g e v e n s o n d e r druk te s t a a n . Dat kan e e n rem zetten op d e doorontwikkeling v a n g e g e v e n s u i t w i s s e l i n g . D e z e rem is o n g e w e n s t , gegevensontwikkeling wordt juist s t e e d s belangrijker: •

Bij d e nieuwe taken die voortkomen uit d e decentralisaties is het k u n n e n e n m o g e n uitwisselen v a n p e r s o o n s g e g e v e n s noodzakelijk o m tot g o e d e uitvoering te k o m e n .

•

G e g e v e n s u i t w i s s e l i n g is e e n efficiënte methode o m klanten integraal te kunnen helpen. Dat is v a n belang in e e n periode waarin overheidsbudgetten o n d e r grote druk s t a a n .

Wat gebeurt er als we niets doen? Het vertrouwen in g e m e e n t e n v a n verschillende actoren komt o n d e r druk te s t a a n : •

Het rijk z a l minder g e n e g e n zijn o m g e m e e n t e n (wettelijk) te faciliteren bij d e doorontwikkeling v a n g e g e v e n s w i s s e l i n g ten b e h o e v e v a n d e decentralisaties. Niet uitgesloten is daarnaast dat er e e n e s c a l a t i e m o d e l richting het tijdelijk afsluiten slecht p r e s t e r e n d e g e m e e n t e n v a n S U W I - n e t z a l w o r d e n ontworpen.

•

Ketenpartners zullen niet m e e r v a n z e l f s p r e k e n d hun g e g e v e n s a a n e e n uitwisselingsysteem ter b e s c h i k k i n g willen stellen. Denk bijvoorbeeld a a n het i n k o m e n s g e g e v e n dat via U W V d o o r d e Belastingdienst ter b e s c h i k k i n g wordt g e s t e l d . G e m e e n t e n h e b b e n dat g e g e v e n nodig o m W W B - a a n v r a g e n te kunnen toetsen.

•

D e burger z a l minder vertrouwen h e b b e n in d e lokale overheid als dienstverlener. Dat z a l d e uitvoering v a n de decentralisaties er niet gemakkelijker op m a k e n .

Wat gaat de V N G doen - tweeledige aanpak? D e V N G zet in op e e n verbetering v a n d e gemeentelijke prestaties e n realiseert daartoe e e n t w e e l e d i g verbetertraject:

onderwerp

V e i l i g gebruik v a n S U W I - n e t : reactie op inspectierapportage e n verbetertraject voor

g e m e e n t e n datum 1 2 n o v e m b e r 2 0 1 3

02/05

•

E e n g e m e e n t e b r e d e a a n p a k die voorziet in e e n generiek n o r m e n k a d e r voor informatieveiligheid in het a l g e m e e n . Dat n o r m e n k a d e r ( B a s e l i n e Informatiebeveiliging G e m e e n t e n , BIG) wordt v i a d e reguliere p & c c y c l u s (accountantscontrole, a a n b i e d e n a a n d e g e m e e n t e r a a d ) geaudit. E e n uitgebreid voorstel wordt g e p r e s e n t e e r d e n b e s p r o k e n tijdens d e bijzondere a l g e m e n e l e d e n v e r g a d e r i n g op 2 9 n o v e m b e r a a n s t a a n d e . D e stukken hiervoor kunt u vinden v i a hyperlink

invoegen

naar de documenten

voorde

BALV. •

E e n hierop a a n v u l l e n d specifiek traject gericht o p korte termijn verbetering binnen d e kolom W e r k e n Inkomen. Dit traject b e s l a a t d e periode 2 0 1 3 - 2 0 1 4 e n is erop gericht significante verbetering te realiseren voordat d e decentralisaties in werking treden.

Hoe ziet het specifieke traject er precies uit? Bij het s p e c i f i e k e traject o n d e r s c h e i d e n w e vier f a s e n : •

F a s e 1 B e w u s t w o r d i n g e n voorbereiding, oktober - d e c e m b e r 2 0 1 3 o

W e v r a g e n a a n d a c h t v o o r veilig gebruik v a n S U W I - n e t e n e e n binnenkort te verschijnen publicatie, d i e z a l w o r d e n uitgedeeld o p d e B A L V

o

W e stellen e e n hulpmiddel ter b e s c h i k k i n g w a a r m e e u d e eigen organisatie l a n g s d e meetlat v a n d e 7 normen uit het i n s p e c t i e - o n d e r z o e k kunt l e g g e n . Dit o m inzicht te ontwikkelen in d e e i g e n sterke punten e n d e verbeterpunten.

o •

W e ontwikkelen hulpmiddelen v o o r verbetering (zie hieronder)

F a s e 2 Z e l f a n a l y s e e n voorlichting, januari - maart 2 0 1 4 o

W e roepen u o p o m d e uitkomst v a n d e z e l f a n a l y s e met d e V N G te d e l e n v i a e e n w e b - a p p l i c a t i e die daartoe z a l w o r d e n ingericht. G e m e e n t e n die niet tijdig a a n l e v e r e n , zullen w o r d e n a a n g e s c h r e v e n ,

o

W e stellen hulpmiddelen ter b e s c h i k k i n g die gebruikt k u n n e n w o r d e n bij het verbeteren v a n d e prestaties d a a r w a a r e e n of m e e r v a n d e z e v e n normen n o g niet b e h a a l d w o r d e n ,

o

W e o r g a n i s e r e n voorlichtingsbijeenkomsten w a a r d e hulpmiddelen w o r d e n toegelicht.

•

F a s e 3 V e r b e t e r s l a g in d e gemeentelijke o r g a n i s a t i e s - maart - s e p t e m b e r 2 0 1 4 o

In d e z e periode kunt u met d e hulpmiddelen a a n d e slag o m verbetering te realiseren. D e V N G z a l regelmatig o v e r het o n d e r w e r p blijven c o m m u n i c e r e n e n ook d e verbinding blijven z o e k e n met d e g e m e e n t e b r e d e g e n e r i e k e a a n p a k e n ontwikkelingen rond V I S D ( V e r k e n n i n g Informatiehuishouding S o c i a a l D o m e i n ) .

•

F a s e 4 Eindmeting september - december 2014 o

Wij v e r z e n d e n e e n ledenbrief met e e n o p r o e p tot het o p n i e u w verrichten v a n e e n z e l f a n a l y s e e n het delen v a n d e uitkomsten e r v a n met d e V N G . D e hierboven g e n o e m d e web-applicatie z a l hiertoe o p n i e u w w o r d e n o p e n g e s t e l d .

o

V N G maakt e e n a n a l y s e o p d e uitkomsten e n treedt d a a r m e e naar buiten. G e m e e n t e n d i e d a n n o g s t e e d s l a a g s c o r e n of d e s c o r e niet m e l d e n zullen hierop individueel w o r d e n a a n g e s p r o k e n .

onderwerp

Veilig gebruik v a n S U W I - n e t : reactie o p inspectierapportage e n verbetertraject v o o r

g e m e e n t e n datum 12 n o v e m b e r 2 0 1 3

03/05

Hoe blijft u op de hoogte van de voortgang van de specifieke aanpak D e hierboven b e s c h r e v e n s p e c i f i e k e a a n p a k is o p hoofdlijnen b e s c h r e v e n . W a n n e e r op e e n specifiek o n d e r d e e l v a n het verbetertraject m e e r c o n c r e t e en gedetailleerde informatie b e k e n d is c o m m u n i c e r e n wij dat via w e b b e r i c h t e n o p www.vnq.nl. O m hierop g o e d a a n g e s l o t e n te blijven a d v i s e r e n wij u o m e e n a b o n n e m e n t te n e m e n o p het V N G - w e e k b e r i c h t , mocht u dit nog niet h e b b e n . D e betreffende w e b b e r i c h t e n zullen w o r d e n geplaatst op d e b e l e i d s v e l d e n s o c i a l e z e k e r h e i d , informatiebeleid e n d e decentralisaties.

Wat te doen als de (lokale en regionale) pers u benadert? Het is g o e d d e n k b a a r dat d e pers u a l s individuele g e m e e n t e benadert w a n n e e r staatsecretaris Klijnsma d e inspectierapportage naar d e T w e e d e K a m e r verzendt. O p dat m o m e n t z a l naar verwachting d e S Z W - I n s p e c t i e e e n persbericht uitbrengen. W i j a d v i s e r e n u o m in ieder geval naar d e b o v e n g e n o e m d e V N G - l i j n te verwijzen. D e z e is gericht is o p het verbeteren v a n d e resultaten e n niet het ter d i s c u s s i e stellen e r v a n .

Langere termijn: van SUWI-net Inkijk naar SUWI-net Inlezen. V a n b e l a n g is nog o m het verschil t u s s e n S U W I - n e t Inkijk e n S U W I - n e t Inlezen te b e n o e m e n . Inkijk betreft het opvragen v a n g e g e v e n s d o o r gemeentelijke m e d e w e r k e r s . Het hierboven b e s c h r e v e n o n d e r z o e k naar gebruik v a n p e r s o o n s g e g e v e n s is hierop gericht g e w e e s t . Bij S U W I net Inlezen gaat d e g e m e e n t e e e n stap verder: zij haalt d e data o p bij e e n centraal punt e n verwerkt d e z e zelf. Daarbij gaat d e gemeentelijke verantwoordelijkheid verder d a n bij Inlezen, ook bij het v e r w e r k e n v a n g e g e v e n s moet g e b o r g d zijn dat alleen ter z a k e d o e n d e m e d e w e r k e r s hiertoe t o e g a n g h e b b e n . D e verwachting is dat s t e e d s meer g e m e e n t e n v a n S U W I - n e t Inkijk n a a r S U W I - n e t Inlezen zullen b e w e g e n : dit is e e n aandachtspunt voor d e toekomst.

Tenslotte: aandachtspunt voor gemeenten in de rol van data/everanc/er A l het b o v e n g e n o e m d e betrof d e g e m e e n t e in h a a r rol a l s gebruiker v a n g e g e v e n s verstrekt v i a S U W I - n e t . D a a r n a a s t is d e g e m e e n t e ook leverancier v a n g e g e v e n s a a n dit s y s t e e m . Het blijkt dat d e tijdige e n volledige a a n l e v e r i n g v a n g e m e e n t e n s t e e d s verder terugloopt. Hierdoor k u n n e n a f n e m e r s s o m s hun taak niet uitvoeren. Dit probleem s p e e l d e al eerder e n d a a r o m is d a a r eind vorig jaar v i a het Inlichtingenbureau v e e l a a n d a c h t a a n b e s t e e d . In februari 2 0 1 3 w a s het a a n l e v e r p e r c e n t a g e v a n g e m e e n t e n ruim 9 2 % m a a r op dit moment zakt het w e e r af. In a u g u s t u s w a s het a a n l e v e r p e r c e n t a g e minder d a n 5 5 % . Bijna d e helft v a n d e door g e m e e n t e n te leveren d a t a wordt (in eerste instantie) niet g e l e v e r d .

G e m e e n t e n zijn z i c h niet altijd v a n b e w u s t v a n hun a a n l e v e r g e d r a g . Mogelijke o o r z a k e n voor het niet a a n l e v e r e n v a n d e g e g e v e n s zijn: •

E r wordt e e n nieuwe v e r s i e v a n g e b r u i k e r s - of besturingssoftware g e ï m p l e m e n t e e r d , d e w e b s e r v i c e is gestopt e n wordt niet vanzelf w e e r opgestart;

•

Firewall is a a n g e p a s t ;

•

G e m e e n t e n z o n d e r w e b s e r v i c e vergeten het b e s t a n d a a n te l e v e r e n .

onderwerp

V e i l i g gebruik v a n S U W I - n e t : reactie op inspectierapportage e n verbetertraject voor

g e m e e n t e n datum 1 2 n o v e m b e r 2 0 1 3

04/05

Kortom: het niet m e e r a a n l e v e r e n wordt v a a k veroorzaakt d o o r v o o r a f g a a n d o n d e r h o u d . In d e s t a n d a a r d procedure v a n d e grote leveranciers wordt hier ook a a n d a c h t a a n b e s t e e d . V a a k helpt het o m é é n m e d e w e r k e r binnen d e g e m e e n t e d e taak te g e v e n z o r g te d r a g e n voor d e continuïteit v a n aanlevering. W i j r o e p e n u o p n a te g a a n of dit in uw g e m e e n t e g e r e g e l d is e n z o n e e , o m dit o p korte termijn a l s n o g te regelen. N o g m a a l s b e n a d r u k k e n wij het b e l a n g v a n veilige e n betrouwbare g e g e v e n s w i s s e l i n g . W e r o e p e n u dringend op o m gericht in te zetten op verbetering hiervan e n daarbij g o e d gebruik te m a k e n v a n d e o n d e r s t e u n i n g die d e V N G u z a l bieden.

Hoogachtend, Vereniging van Nederlandse Gemeenten

J . Kriens Voorzitter directieraad

D e z e ledenbrief staat o o k op www.vnq.nl o n d e r brieven.

onderwerp

Veilig gebruik v a n S U W I - n e t : reactie op inspectierapportage e n verbetertraject v o o r

g e m e e n t e n datum 12 n o v e m b e r 2 0 1 3

05/05

VNG Vereniging van Nederlandse Gemeenten

Ministerie van Sociale Z a k e n en Werkgelegenheid(SZW) Mw. drs. J . Klijnsma Postbus 90801 2509 LV ' S - G R A V E N H A G E

Ooorkiesnummor

iiwkannwk

bijlagen)

Eelreft

ons kwimmfc

Datum

Bestuurlijke reactie V N G

BAWI/U201301263

23 september 2013

(070) 373 8696

rapportage SZW-Inspectie 'De burger bediend 2013'

Geachte mevrouw Klijnsma, Hierbij ontvangt u de bestuurlijke reactie van de V N G op de rapportage 'De burger bediend in 2013' van de SZW-inspectie. De V N G vindt de uitkomsten van het onderzoek schokkend: een groot deel van de gemeenten gaat onzorgvuldig om met de gegevens van burgers. We nemen de inhoud van de rapportage en het oordeel van de inspectie dan ook zeer serieus en hechten aan het geven van een zorgvuldige reactie. Binnen de door de Inspectie gestelde reactietermijn en tijdsbestek was het voor ons niet mogelijk om een goed onderbouwde en gedragen reactie te realiseren. Daarom richten we onze reactie direct aan u. Deze reactie is bestuurlijk afgestemd met de commissie Werk en Inkomen van de V N G , de G 4 , de G 3 2 en bevat inbreng van Divosa. De Inspectie zal een afschrift van deze reactie ontvangen.

Belang van het onderzoek De V N G onderschrijft de conclusies van het inspectierapport, O p basis van de rapportage concludeert de V N G dat verbetering van de prestaties van een groot deel van de gemeenten aangaande het gebruik van SUWI-net noodzakelijk is. De V N G vindt dit zorgwekkend omdat al uit eerdere inspectieonderzoeken bleek dat een verbeterslag noodzakelijk was, zoals het opstellen van het verplichte beveiligingsplan. V N G heeft gemeenten toen aangespoord o m deze verbeterslag daadwerkelijk te maken. De V N G acht verbetering noodzakelijk om de volgende redenen: •

Gemeenten pakken met name in het kader van de drie decentralisaties steeds meer taken op waarbij directe dienstverlening aan de burger centraal staat. Veilige wisseling en gebruik van gegevens van burgers daarvoor essentieel. Niet alleen voor het vertrouwen van de burger zelf maar ook voor dat van ketenpartners waarmee de gegevens gewisseld worden. Overheden hebben in dit k a d e r e e n voorbeeldfunctie. Burgers kunnen immers niet 'overstappen'.

•

Gegevenswisseling wordt bij dienstverlening een steeds belangrijker fenomeen: ketens worden steeds complexer en hangen ook steeds sterker met elkaar samen.

VNG Postbus 30435, 2500 GK Den Haag Tel 070-373 83 93 www.vna.nl

01

•

Gegevenswisseling is de meest efficiënte wijze om gegevens van een cliënt bij elkaar te brengen en deze cliënt integraal te kunnen ondersteunen.

Verbetertrajecten V N G vindt het van belang dat er gericht wordt ingezet op verbetertrajecten. In de afgelopen jaren heeft dat plaatsgevonden door middel van de campagne 'Veilig SUWI-netgebruik'. D e z e campagne werd gecoördineerd door een commissie bestaande uit vertegenwoordigers van S Z W , IB, BKW1, Divosa en de V N G . A a n deze campagne lag de gelijknamige BKWI-monitor ten grondslag. Wij zijn van mening dat de monitor de afgelopen jaren goede diensten heeft bewezen: het gaf gemeenten een snelle eerste diagnose van goede en slechte punten van hun gebruik van suwinet. Daarmee geven we ook de beperkte houdbaarheid aan van de monitor. Een goede aanpak op papier loopt niet altijd gelijk op met de uitvoeringspraktijk. Nu dat vrijwel alle gemeenten bekend zijn met hun eerste diagnose, is het tijd voor volgende stappen. Periodiek (zelfonderzoek is wat de V N G betreft een structureel instrument. Hierop komen we later in de tekst terug.

Generieke gemeentebrede aanpak Het verbeteren van informatieveiligheid en het waarborgen van privacy zijn aspecten die bij gemeenten niet uitsluitend aan de orde zijn binnen bij het beleidsveld werk en inkomen. Gemeentebreed in vrijwel alle dienstverlening aan burgers spelen d e z e aspecten een belangrijke rol. N a a r aanleiding van DigiNotar en Lektober hebben gemeenten in 2012 ingestemd met de oprichting van de Informatiebeveiligingsdienst voor gemeenten (IBD, ondergebracht bij KING). De IBD richt zich in de kern op het vergroten van de weerbaarheid van gemeenten op het gebied van informatiebeveiliging. In opdracht van de V N G heeft de IBD hiervoor onder andere de Baseline Informatiebeveiliging Gemeenten (BIG) ontwikkeld, het basisnormenkader informatieveiligheid voor gemeenten. Gemeenten hebben met de BIG een instrument in handen waarmee zij in staat zijn om te meten of de organisatie de basis op orde heeft en minimaal voldoet aan normen en wettelijke voorschriften op gebied van informatieveiligheid. De gewenste verbetering in het domein van Werk en Inkomen willen we primair inzetten vanuit het bovengenoemde perspectief van zelfregulering. Wat we positief waarderen aan de onderzoeksmethodiek is dat deze zich richtte op een beperkt aantal- 7 - normen. Dat biedt focus bij het opstarten van verbetertrajecten. Het normenkader van de G e V S bevat 115 normen waaraan gebruikers zich dienen te conformeren. Daarnaast zijn er andere normenkaders waarmee gemeenten (moeten) werken. Gemeenten hebben behoefte aan één gemeenschappelijk kader. Gemeenten vragen dan ook erkenning van het rijk van het basisnormenkader Baseline Informatiebeveiliging Gemeenten. Dat biedt aanknopingspunten voor het terugdringen van de audit- en monitoringslasten. V N G en KING werken momenteel gericht aan een voorstel voor zelfregulering op informatieveiligheid die op 29 november aan de Buitengewone Algemene Leden Vergadering (BALV) van de V N G zal worden aangeboden. Met dit voorstel benoemen gemeenten de BIG als hét basisnormenkader voor informatieveiligheid voor gemeenten, én nemen gemeenten de verantwoordelijkheid voor informatieveiligheid (verder) op zich. A a n de hand van de BIG stellen gemeenten informatieveiligheidsbeleid op, gebaseerd op lokale risico-afwegingen, Gemeenten zijn tot slot transparant over de staat van de informatieveiligheid: in de eerste plaats horizontaal, maar ook in de richting van de (keten)partners. De bedoeling is om dit alles te borgen in de reguliere planning en controlcyclus van de gemeente.

VNG Postbus 30435, 2500 GK Den Haag Tel 070-373 83 S3 wwy,vrtq.nl

02

S p e c i f i e k in a a n v u l l i n g o p generiek Naast de bovengenoemde generieke aanpak is er in onze beleving ruimte voor specifieke aanvullingen op het gebied van communicatie en van technische aanpassingen binnen SUWI-net. In aanvulling op het generieke kader ziet V N G toegevoegde waarde in een stimuleringstraject richting gemeenten aangaande het gebruikersgedrag met betrekking tot SUWI-net. V N G is van mening dat een gezamenlijk initiatief van Divosa, KING, BKWI en V N G de hoogste opbrengst zal genereren. KING en BKWI kunnen inhoudelijke expertise leveren over generieke respectievelijke specifieke verbeterslagen. V N G en Divosa zullen bij hun achterban het belang benadrukken van het gebruik maken van deze expertise. V N G is overigens daar overigens al mee gestart: in het voorjaar van 2013 hebben drukbezochte informatiesessies plaatsgevonden, deze worden vervolgd op 19 september en 3 oktober. De sessies zijn gericht op portefeuillehouders Zorg en Werk en Inkomen. De uitkomsten van het onderzoek kunnen de vraag opwerpen of nadere maatregelen gewenst zijn. Wanneer u dit afweegt vragen wij u om uitgangspunten als proportionaliteit, omkeerbaarheid en gewenste prikkels zwaar mee te wegen. In onze beleving sluiten sectorspecifieke administratieve lasten en kortingen / boetes hier niet op aan. Integendeel, deze doorkruisen de generieke aanpak en leggen beslag op de daartoe in te zetten gemeentelijke capaciteit. Wij menen dat we met de aanpak en inzet van de goed presenterende gemeenten de achterblijvende gemeenten het meest effectief kunnen bewegen om in actie te komen. De verschillen tussen gemeenten zijn groot. De gemeenten die hun zaken op orde hebben, kunnen hiervan de dupe worden. De V N G wil samen met goed presterende gemeenten het uiterste doen om achterblijvende gemeenten ertoe te bewegen hun veiligheidsbeleid op orde te brengen. V N G stelt de volgende totaalaanpak voor.

/

Collectief

appel

Dit onderdeel bestaat uit twee elementen: •

V N G zal op korte termijn een brief sturen aan alle gemeenten waarin we dringend oproepen om nog in 2013 een zelfanalyse te verrichten op de 7 normen die de inspectie ook heeft gehanteerd en uiterlijk in 2014 de acties te hebben afgerond op de normen waaraan men nog niet voldoet. En dit alles te rapporteren aan de V N G . Dat is enerzijds behulpzaam bij het verkrijgen van een totaalbeeld, anderzijds bij het ontsluiten van best practices.

•

Wij bereiden een publicatie voor waarin best practices centraal staan en het belang van bestuurlijke borging wordt benadrukt. D e z e publicatie is met name bestemd voor bestuurders, managers en beleidsambtenaren. Wij hopen deze publicatie in november te realiseren.

//

Voorlichting over het veranderen van de organisatie / inbedding in

hrm-management.

Hierin willen we graag het voortouw nemen in samenwerking met Divosa en best practice gemeenten. Uitgangspunt is dat medewerkers de boodschap zullen meekrijgen dat een correct gebruik van S U W I net het werk gemakkelijker en aangenamer maakt. Incorrect gebruik zal moeten worden gecorrigeerd en in voorkomende gevallen gesanctioneerd. Daarom is het belangrijk om aan te geven wat onder correct en incorrect gebruik wordt verstaan. Meer concreet kan hierbij gedacht worden aan aandacht voor veilig gebruik van SUWI-net in de arbeidsovereenkomst, in de hrm-cyclus van beoordelings- en functioneringsgesprekken, intakegesprek met nieuwe gebruiker over de normen voor goed gebruik, verhouding tussen bevoegdheden van manager ten opzichte van security officer, arbeidsrechtelijke sanctionering bij overtreding etc.

VNG Postbus 30435. 2500 G K Den Haag Tel 070-3?3 83 93 www.vnq.nl

03

Ill

Meer tools voor security

officers.

In het verlengde van elk van de onderzochte normen kan een tool ontwikkeld worden die voorkomen dat 408 security officers het wiel opnieuw moeten uitvinden. Te denken is aan: •

Een model beleidsplan gekoppeld aan een procesbeschrijving hoe deze periodiek te updaten

•

Rollenoverzicht dat inzicht geeft in de rollen waarmee gemeentelijk medewerkers gebruik kunnen maken van suwinet.

•

Model autorisatiematrix- en procedure, d e z e geeft inzicht in welke autorisatie bij welke rol hoort en via welke procedure wordt deze toegekend.

•

Een beknopte handleiding om te loggingrapportages zo optimaal mogelijk te gebruiken.

Hier geldt ook dat de inhoudelijke expertise bij BKWI aanwezig is en dat we samen willen optrekken. /V

Voorlichting over de inzet van de tools.

De V N G wil graag het voortouw nemen tot het organiseren van voorlichtingsbijeenkomsten over het inzetten van de tools, dit in samenwerking met Divosa, KING, BKWI en best practice gemeenten. V •

Technische aanpassingen

in suwinet.

Fijnmaziger autorisatie. O p basis van rollen wordt nu reeds gedifferentieerd in toegang tot gegevens. Wij pleiten voor een inventarisatie van verfijningsmogelijkheden. Een dergelijk onderzoek behoeft zorgvuldigheid: een aantal taken wordt intergemeentelijk uitgevoerd.

•

Signaal naar betreffende security officer bij afwijkend opvraaggedrag van een gemeentelijk medewerker.

• •

Meer controle op het opvragen van loggingrapportages door security-officers. In een extreem geval van onzorgvuldig gebruik en uitblijvend ingrijpen door de gemeente kan gedacht worden aan tijdelijke afsluiting. Dit alleen wanneer er eerst een escalatiemodel is doorlopen en er ook direct een toegangstoets beschikbaar is waaruit blijkt of een gemeente zich zodanig heeft verbeterd dat deze weer aangesloten kan worden.

BKWI is de organisatie die dit in praktische zin kan faciliteren. In de plannen van BKWI wordt veilig gebruik van suwinet als een prioriteit benoemd. VIMG wil dit graag in BKWi-verband meer in het bijzonder de Domeingroep Privacy en Beveiliging verder oppakken en doorontwikkelen. Wij hopen dat het bovengenoemde aanknopingspunten biedt voor nadere gedachtewisseling. Wij willen onze reactie en te nemen acties graag in het bestuurlijk overleg van 3 oktober aanstaande met u bespreken. Hoogachtend, Vereniging van Nederlandse Gemeenten

riens voorzitter directieraad

C c : S Z W Inspectie, J van den Bos

VNG Postbus 30435 2500 GK Den Haag Tel 070-373 83 93 www vno.nl

01

Van: Verzonden: Aan: Onderwerp:

V N G [[email protected]] d i n s d a g 12 n o v e m b e r 2 0 1 3 1 7 : 3 5 Stadhuis Lbr. 1 3 / 0 9 7 - V e i l i g g e b r u i k v a n S U W I - n e t : reactie o p i n s p e c t i e r a p p o r t a g e e n verbetertraject v o o r g e m e e n t e n

Brief aan de leden T.a.v. het college en de raad

uw kenmerk

bijlage(n)

(070) 3 7 3 8 3 9 3

1

informatiecentrum tel.

i

#03

betreft

ons kenmerk

datum

Veilig gebruik van SUWI-net:

BAWI/U201301372

12 n o v e m b e r 2 0 1 3

reactie op inspectierapportage

Lbr. 1 3 / 0 9 7

en verbetertraject voor gemeenten

Geachte heer, mevrouw, E i n d o k t o b e r / b e g i n n o v e m b e r zal d e r a p p o r t a g e v a n d e S Z W - I n s p e c t i e ' D e b u r g e r b e d i e n d 2 0 1 3 ' a a n d e T w e e d e K a m e r w o r d e n v e r z o n d e n . D a a r u i t n a a r v o r e n k o m t d a t g e m e e n t e n niet z o r g v u l d i g o m g a a n m e t g e g e v e n s v a n b u r g e r s w a n n e e r zij g e b r u i k m a k e n v a n S U W I - n e t ( g e g e v e n s u i t w i s s e l i n g s y s t e e m v o o r W e r k e n I n k o m e n ) . D a t is e e n o n w e n s e l i j k e s i t u a t i e g e z i e n het feit dat de d o o r o n t w i k k e l i n g van gegevensuitwisseling van groot belang v o o r het g o e d k u n n e n uitvoeren van de taken gekoppeld aan de decentralisaties. D a a r o m z e t t e n w e in o p e e n t w e e l e d i g e a a n p a k : •

Generiek g e m e e n t e b r e e d : de ontwikkeling van de Baseline

Informatieveiligheid

G e m e e n t e n die via de BALV o p 29 n o v e m b e r a a n s t a a n d e o n d e r de a a n d a c h t w o r d t g e b r a c h t . In d e z e l e d e n b r i e f w o r d t dit t r a j e c t k o r t s a m e n g e v a t . •

Specifiek v o o r W e r k e n Inkomen: e e n d a a r o p aanvullende o p de kortere termijn gerichte v e r b e t e r t r a j e c t s p e c i f i e k m e t b e t r e k k i n g t o t v e i l i g g e b r u i k v a n S U W I - n e t . In d e z e l e d e n b r i e f w o r d t dit t r a j e c t n a d e r t o e g e l i c h t .

In d e z e b r i e f r o e p e n w e u o p o m g e r i c h t in t e z e t t e n o p v e r b e t e r a c t i e s . De b e s t u u r l i j k e r e a c t i e v a n d e V N G o p d e i n s p e c t i e r a p p o r t a g e is als bijlage b i j g e v o e g d .

Klik o p , o f k o p i e e r o n d e r s t a a n d e link o m d e v o l l e d i g e l e d e n b r i e f e n d e bijlage t e l e z e n : www.vng.nl/onderwerpenindex/sociale-zaken/samenwerken-op-de-arbeidsmarkt/brieven/veiliggebruik-van-suwi-net-reactie-op-inspectierapportage-en-verbetertraiect-voor-gemeenten l