Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet mijn gemeente voldoen met betrekking tot de informatiebeveiliging en bescherming persoonsgegevens? Uw gemeente moet voldoen aan de verplichtingen die voortvloeien uit de Wet Bescherming Persoonsgegevens (WBP), de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (Wet SUWI) en de Wet Eenmalige Gegevensuitvraag Werk en Inkomen (WEU). Deze laatste wet is verwerkt in de Wet SUWI. De eisen van de Wet Bescherming Persoonsgegevens Informatie over de WBP is te vinden op de site van het College Bescherming Persoonsgegevens (www.cbpweb.nl). Deze site bevat o.m. een handleiding die tot doel heeft organisaties en personen die persoonsgegevens verwerken te ondersteunen bij het nemen van maatregelen om aan de WBP te voldoen. Op basis van deze handleiding kan ook worden vastgesteld of uw gemeente voldoet aan de WBP. De eisen van de Wet SUWI In artikel 6.4. van de Regeling SUWI is bepaald dat uw gemeente een beveiligingsplan moet hebben waarin wordt aangegeven op welke wijze invulling wordt gegeven aan de beveiliging van de gegevensuitwisseling die plaatsvindt in het kader van Suwinet. Verder is in artikel 6.4 van de Regeling SUWI bepaald dat de gegevensuitwisseling binnen het Suwinet moet worden beveiligd tegen inbreuk op beschikbaarheid, integriteit en vertrouwelijkheid overeenkomstig normen die worden bepaald in bijlage I van deze Regeling. In deze bijlage is bepaald dat de partijen die gegevens uitwisselen via Suwinet een „Verantwoordingsrichtlijn privacy en beveiliging‟ ontwikkelen. Deze verantwoordingsrichtlijn, die ook een normenkader bevat, is op te vragen bij de landelijke beheersorganisatie van Suwinet, het Bureau Keteninformatisering Werk en Inkomen (BKWI; www.bkwi.nl). De eisen van de WEU (deze zijn opgenomen in de Wet SUWI) In de WEU is bepaald dat bepaalde gegevens slechts één keer mogen worden uitgevraagd bij burgers. In bijlage II van de Regeling SUWI is vastgelegd voor welke gegevens dit geldt en uit welke bron die gegevens moeten worden geput (zie http://wetten.overheid.nl/BWBR0013280). Aan welke normen moet het veilig gebruik van Suwinet voldoen? De beheersorganisatie van het Suwinet, het Bureau Keteninformatisering Werk en Inkomen, heeft een normenkader ontwikkeld waaraan organisaties die gebruik maken van het Suwinet moeten voldoen (zie www.bkwi.nl). U kunt dan denken aan het volgende: Er is een adequaat ingerichte beheersorganisatie voor de beveiliging van Suwinet. Verantwoordelijkheden, taken en bevoegdheden van leidinggevenden en verwerkers van informatie zijn duidelijk belegd. Binnen die beheersorganisatie is een medewerker aangesteld die specifiek tot taak heeft te bevorderen en controleren dat de beveiliging van het Suwinet op orde is. In het normenkader van het BKWI wordt voor deze persoon de term „Security Officer‟
1
gebruikt. Deze Security Officer is deskundig op het terrein van informatiebeveiliging, controleert planmatig en periodiek of wordt voldaan aan de regels en analyseert eventuele beveiligingsincidenten. Hij of zij rapporteert hierover aan het management of bestuur van de organisatie. Er zijn duidelijke afspraken gemaakt over het beheer van autorisaties. Deze afspraken leiden er in ieder geval toe dat: o alleen medewerkers die Suwinet-gegevens nodig hebben voor het uitvoeren van een wettelijke taak1 toegang hebben tot Suwinet; o deze medewerkers uitsluitend toegang krijgen tot de gegevens die zij nodig hebben voor het uitvoeren van deze wettelijk taak; o de autorisaties van een medewerker worden aangepast of ingetrokken als de medewerker van functie verandert. Het gebruik van medewerkers van gegevens in Suwinet wordt gemonitord.
Aan welke eisen moet het beveiligingsplan voldoen? In artikel 6.4 van de Regeling SUWI is bepaald dat gemeenten een beveiligingsplan moeten hebben waarin zij aangeven op welke wijze zij zorg dragen voor de beveiliging van de gegevensuitwisseling in het Suwinet. De wet stelt geen eisen aan dit beveiligingsplan. Wel hanteren de organisaties die gegevens uitwisselen een normenkader waaruit kan worden afgeleid wat de belangrijkste onderwerpen zijn die in dit beveiligingsplan aan de orde zouden moeten komen. Op grond hiervan moet het beveiligingsplan in ieder geval inzicht geven in het volgende: Hoe is de beheersorganisatie van de informatiebeveiliging en bescherming persoonsgegevens ingericht, in het bijzonder: o Welke personen hebben welke taken, verantwoordelijkheden en bevoegdheden t.a.v. het beheer van de informatiebeveiliging? o Welke medewerker is aangesteld als Security-Officer en welke taken en bevoegdheden heeft deze medewerker? o Op grond waarvan worden autorisaties verstrekt aan medewerkers en wie verstrekt deze autorisaties? Hoe wordt geborgd dat: o Alleen medewerkers die Suwinet-gegevens nodig hebben voor het uitvoeren van een wettelijke taak toegang hebben tot Suwinet. o Deze medewerkers uitsluitend toegang hebben tot die gegevens die zij nodig hebben voor het uitvoeren van hun wettelijke taak. o De autorisaties van deze medewerkers worden aangepast of ingetrokken zodra de medewerker van functie verandert. Hoe vindt de periodieke controle plaats op het naleven van de regels ten aanzien van informatiebeveiliging en bescherming persoonsgegeven? Hoe vindt de periodieke controle plaats op het feitelijk gebruik van het Suwinet door medewerkers van de gemeente? Hoe wordt omgegaan met incidenten? Hoe weet ik of mijn gemeente de informatiebeveiliging en bescherming van persoonsgegevens op orde heeft? 1
In de gemeentelijke organisatie zijn dat in ieder geval geen andere personen dan medewerkers van sociale diensten en werkpleinen, gemeentelijke belastingdeurwaarders en RMC-functionarissen.
2
Uw gemeente moet zelf (laten) beoordelen of wordt voldaan aan de eisen die worden gesteld aan de informatiebeveiliging en bescherming van persoonsgegevens. Een goede manier om dat te doen is het laten uitvoeren van een audit, door een onafhankelijk, ter zake kundig auditing bureau. Veel gemeenten hebben bovendien een Security Officer aangesteld. Deze Security Officer is deskundig op het terrein van informatiebeveiliging, controleert periodiek of wordt voldaan aan de regels en analyseert eventuele beveiligingsincidenten. U kunt ook aan deze Security Officer vragen om te rapporteren over de beveiliging van informatie en persoonsgegevens. Hiernaast heeft het BKWI een monitor ontwikkeld op basis waarvan indicatief kan worden vastgesteld of uw gemeente voldoet aan een vijftal veiligheidsvereisten (zie ook antwoord op vraag ”Wat wordt gemeten met de monitor gebruik Suwinet van het BKWI?”) Wat kan mijn gemeente doen om het veilig gebruik van Suwinet te verbeteren? Als u maatregelen wilt nemen ter verbetering van het veilig gebruik van Suwinet adviseren wij u om het beveiligingsbeleid vast te leggen in een beveiligingsplan. Gemeenten laten dit doorgaans doen door een Security Officer die conform het normenkader van het BKWI speciaal is aangesteld om de informatiebeveiliging te coördineren. Het BKWI is goed geïnformeerd over de eisen waaraan de beveiliging van het Suwinet moet voldoen en kan de Security Officer hierbij ondersteunen (www.bkwi.nl). Het BKWI heeft bovendien, samen met VNG, Divosa, King en het Inlichtingenbureau, de campagne “Zorgvuldig gebruik Suwinet” ontwikkeld, die managers en medewerkers ondersteunt bij het verbeteren van het veilig gebruik van Suwinet. Onderdelen van de campagne zijn een monitor, op basis waarvan indicatief kan worden vastgesteld of uw gemeente voldoet aan een vijftal veiligheidsvereisten, workshops, adviesgesprekken met gemeenten en diverse documenten en tools. Deze instrumenten kunt u inzetten bij een goede borging van het veilig gebruik van Suwinet binnen uw gemeente. Hoe kan ik het gebruik van Suwinet door medewerkers van mijn gemeente monitoren? Hoe kan ik zien dat medewerkers geen misbruik maken van de mogelijkheid om deze gegevens in te zien? U kunt het interne controleproces zo inrichten dat het gebruik van Suwinet door uw medewerkers, wordt gemonitord. De landelijke beheersorganisatie voor Suwinet (BKWI) kan dit proces ondersteunen met het leveren van rapportages over het gebruik van Suwinet door uw gemeente. Voor meer informatie, zie www.bkwi.nl. Wat wordt er gemeten met de monitor gebruik Suwinet van het BKWI? En wat kan mijn gemeente met de meetresultaten? De monitor geeft een indicatie van het veilig gebruik van Suwinet op basis van de volgende vijf indicatoren: Het aantal medewerkers dat is geautoriseerd maar Suwinet niet gebruikt. Deze medewerkers lijken Suwinet niet nodig te hebben voor hun werkzaamheden en mogen in dat geval niet geautoriseerd zijn.
3
Het aantal medewerkers dat met andere zoeksleutels dan het BSN-nummer van de burger waarvan gegevens nodig zijn, toegang heeft tot Suwinet. Het gebruik van deze andere zoeksleutels is voorbehouden aan medewerkers met taken van de sociale recherche. Het al dan niet opvragen door uw gemeente van rapportages via Suwinet-Inkijk. Dit betreft rapportages die signalen kunnen bevatten dat het Suwinet oneigenlijk wordt gebruikt door uw gemeente. Deze rapportages zijn niet herleidbaar tot individuele medewerkers. Als uw gemeente deze rapportages niet opvraagt, is uw gemeente waarschijnlijk onvoldoende alert op het onveilig gebruik van Suwinet. Heeft uw gemeente een medewerker bij BKWI aangemeld die gemachtigd is om specifieke rapportages op te vragen? Dit betreft rapportages die bij BKWI kunnen worden opgevraagd als bij interne controle vermoedens ontstaan van misbruik of oneigenlijk gebruik van gegevens die beschikbaar worden gesteld via Suwinet. Deze specifieke rapportages kunnen worden herleid tot individuele medewerkers en tot de BSN van personen waarvan informatie is opgevraagd. Deze specifieke rapportages kunnen uitsluitend worden opgevraagd door een daartoe bij BKWI aangemelde medewerker van uw gemeente. Als uw gemeente geen medewerker heeft aangemeld, is uw gemeente waarschijnlijk onvoldoende alert op oneigenlijk gebruik van Suwinet. Heeft uw gemeente een Security Officer aangemeld bij BKWI. In het normenkader van BKWI is bepaald dat organisaties die gebruik maken van Suwinet een Security Officer aanstellen. Deze Security Officer is deskundig op het terrein van informatiebeveiliging, controleert periodiek of wordt voldaan aan de regels en analyseert eventuele beveiligingsincidenten. Hij of zij rapporteert hierover aan het management of bestuur van de organisatie. Als uw gemeente geen Security Officer heeft aangemeld, kan daaruit worden afgeleid dat uw gemeente mogelijk niet voldoende aandacht besteed aan het veilig gebruik van Suwinet. De meetresultaten geven een indicatie van het veilig gebruik van Suwinet door uw gemeente ten aanzien van deze vijf indicatoren. Er zijn meer aspecten waaraan de informatiebeveiliging moet voldoen maar hier zijn geen meetinstrumenten voor beschikbaar via BKWI. Op basis van de monitor kan dus niet zonder meer worden vastgesteld of de beveiliging van Suwinet voldoet aan alle eisen. De meetresultaten van de vijf indicatoren kunnen wel aanleiding geven tot verder onderzoek door uw gemeente. Is het college van burgemeester en wethouders verplicht zich aan de gemeenteraad te verantwoorden over het veilig gebruik van Suwinet? Er bestaat geen wettelijke verplichting voor het college van burgemeester en wethouders om zich in specifieke zin aan de gemeenteraad te verantwoorden over de informatiebeveiliging en bescherming van persoonsgegevens. Wel is in artikel 169 van de Gemeentewet bepaald dat het college in algemene zin verantwoording schuldig is aan de gemeenteraad over het gevoerde bestuur. Gegeven het grote belang van de informatiebeveiliging en bescherming van persoonsgegevens ligt wel voor de hand dat het college zich hierover verantwoord aan de gemeenteraad. Welke aanvullende maatregelen kan de Minister van SZW nemen als blijkt dat gemeenten onvoldoende doen om de informatiebeveiliging op orde te brengen?
4
In dat geval kan de Minister bijvoorbeeld een zogenaamde aanwijzing geven op grond van artikel 10, derde lid van de Wet SUWI aan gemeenten die ernstig in gebreke blijven. De betreffende gemeente moet dan de informatiebeveiliging en bescherming van persoonsgegevens binnen een te stellen termijn alsnog op orde brengen. Als de gemeente na afloop van die termijn nog niet heeft voldaan aan die aanwijzing, kan de Minister op grond van genoemd wetsartikel “noodzakelijke voorzieningen” treffen. Daarbij kan gedacht worden aan gehele of gedeeltelijke afsluiting van Suwinet (al dan niet tijdelijk) of het inschakelen van een externe partij die op kosten van de gemeente de beveiliging alsnog op orde brengt. Mijn gemeente vraagt soms gegevens van burgers die al beschikbaar zijn in het Suwinet, maar die we niet mogen opvragen op grond van de WEU. Wij doen dit echter om te verifiëren of de gegevens in Suwinet kloppen. Mag dat? Nee, Uw gemeenten mag burgers niet opnieuw om dit soort gegevens vragen. In de Wet eenmalige gegevensuitvraag (WEU) is bepaald dat bepaalde gegevens slechts één keer mogen worden uitgevraagd bij burgers. In bijlage II van de Regeling SUWI is vastgelegd voor welke gegevens dit geldt en uit welke bron die gegevens moeten worden geput (zie http://wetten.overheid.nl/BWBR0013280). Daar staat wel tegenover dat uw gemeente, op grond van artikel 34 van de Wet Bescherming Persoonsgegevens, verplicht is om een burger nadere informatie te verstrekken over het gebruik van gegevens “voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt” nodig is om een behoorlijke en zorgvuldige verwerking te waarborgen. Op grond daarvan kan uw gemeente, als daar een gerede aanleiding toe is, bepaalde gegevens uit het Suwinet voorleggen aan de burger. Bijvoorbeeld als er een redelijk vermoeden bestaat dat deze gegevens niet juist zijn. Uw gemeente vraag dan niet gegevens opnieuw op, maar vraagt of bepaalde gegevens in het Suwinet juist zijn: “klopt het dat….”. Er moeten dan dus wel een goede reden zijn om dit te doen. Het is niet toegestaan gegevens die al bekend zijn in Suwinet zonder meer ter verificatie voor te leggen aan de burger.
5
