Beveiliging Suwinet bij gemeenten

Beveiliging Suwinet bij gemeenten

Inspectie Werk en Inkomen


Aan deze rapportage hebben meegewerkt: Dhr. drs. B. van Honk Mw. mr. J.C.P. van der Does Dhr. E.H. Jansen Dhr. P.F. Spermon RE RI CISA Dhr. E.W. Steen Mw. R. Steenkamp Dhr. N.J. de Weijer

R04/29, december 2004 ISSN 1383-8733 ISBN 90-5079-000-3

2



Voorwoord Met de inwerkingtreding van de Wet Structuur uitvoering werk en inkomen zijn vanaf 2002 medewerkers van Bureau Keteninformatisering werk en inkomen, Centrum voor Werk en Inkomen, gemeenten, Inlichtingenbureau, Sociale Verzekeringsbank en Uitvoeringsinstituut Werknemersverzekeringen aangesloten op het Suwinet. Gemeenten hebben hiermee door middel van sofi-nummers toegang tot gegevens over het arbeidsverleden, loon, uitkeringen en opleiding van een groot aantal personen. Deze persoonsgegevens worden door de Suwinetpartijen via Suwinet, de elektronische infrastructuur, aan elkaar gekoppeld en via een speciale faciliteit ‘Suwinet-Inkijk’ toegankelijk gemaakt. De wetgever heeft bij de invoering van Suwinet in 2002 onderkend dat deze ontwikkeling stringente gegevensbeveiliging in verband met privacyaspecten vereist. De Inspectie Werk en Inkomen heeft in het tweede halfjaar van 2004 bij vijftig gemeenten een eerste onderzoek uitgevoerd naar de beveiliging van de gegevens die worden uitgewisseld met Suwinet. In dit rapport beschrijft de inspectie de resultaten van dit onderzoek.

Mr. L.H.J. Kokhuis Inspecteur-generaal

3



4



Inhoud

5

1

Inleiding

7

2 2.1 2.2

De beveiliging van Suwinet Verantwoording over de beveiliging Beveiliging

9 9 9

3

Oordeel IWI

11

4

Reactie Vereniging van Nederlandse Gemeenten

13

Lijst van afkortingen

14

Bijlage: Reactie Vereniging van Nederlandse Gemeenten

15



6



1

Inleiding Het Bureau Keteninformatisering werk en inkomen (BKWI), het Centrum voor Werk en Inkomen (CWI), de Stichting Inlichtingenbureau Gemeenten (IB), het Uitvoeringsinstituut Werknemersverzekeringen (UWV) en gemeenten wisselen persoonsgegevens met elkaar uit via Suwinet, een elektronische infrastructuur. Met de faciliteit ’Suwinet-Inkijk‘ worden de gegevens op basis van sofi-nummers toegankelijk gemaakt voor bevoegde medewerkers. Het gaat om privacygevoelige gegevens over arbeidsverleden, loon, uitkeringen en opleiding van burgers die in aanmerking willen komen voor een uitkering. De organisaties hebben die gegevens nodig om het recht op een uitkering vast te kunnen stellen en de juiste dienstverlening te kunnen leveren. Om de SUWI-keten effectief te laten functioneren moeten partijen er op kunnen vertrouwen dat ‘hun’ gegevens door de partners in de SUWI-keten op een zorgvuldige en controleerbare wijze worden behandeld. De wetgever heeft bij de start van Suwinet in 2002 aangegeven dat gegevensbeveiliging noodzakelijk is. Voor alle Suwinet-partijen is dit met beveiligingsvoorschriften uitgewerkt in bijlage XIV van de regeling SUWI. De gegevensbeveiliging en gegevensuitwisseling bij Suwinet-partijen op grond van de Wet Structuur uitvoering werk en inkomen (SUWI) en de Wet werk en bijstand (WWB), is een aspect van het toezicht van de Inspectie Werk en Inkomen (IWI). IWI ziet door de snelle implementatie van Suwinet en het grote aantal gebruikers bij gemeenten (9.000 op moment van onderzoek) een risico bij de beveiliging van deze privacygevoelige gegevens. Verantwoordingsinformatie van gemeenten over de beveiliging komt pas in oktober 2005 beschikbaar. Om een indruk te krijgen of de inspectie zich op basis hiervan een beeld kan vormen over de beveiliging van Suwinet bij gemeenten is tussen september en november 2004 dit onderzoek uitgevoerd. Hierbij is tevens een indicatie verkregen van de getroffen beveiligingsmaatregelen. De onderzoeksvragen waren als volgt geformuleerd: 1 Hoe gaan gemeenten zich over de beveiliging Suwinet verantwoorden? (de interne organisatorische werkwijze en voorwaarden); 2 In welke mate voldoen gemeenten aan de beveiligingseisen die als Suwinet-partij aan hen worden gesteld? Het gaat om een inventariserend onderzoek waarmee een landelijk beeld is verkregen. In lijn met het toezichtsbeleid doet IWI geen uitspraken over individuele gemeenten. De inspectie heeft geen onderzoek gedaan naar belemmeringen of oorzaken die bij de voortgang van de beveiliging van Suwinet een rol spelen. De regeling SUWI bevat uitvoeringsvoorschriften voor de gegevensbeveiliging door de Suwinetpartijen (UWV, CWI, IB en gemeenten) bij hun gegevensuitwisseling. Gemeenten zijn als uitvoerders van de WWB verantwoordelijk voor de verwerking van Suwinet-gegevens. Zij zijn tevens Suwinet-partij en daarmee verplicht zich te verantwoorden over het gebruik van Suwinetgegevens. De artikelsgewijze toelichting van artikel 64 van de Wet werk en bijstand bevat daarom een koppeling met de regeling SUWI. De uitvoeringsvoorschriften rondom gegevensbeveiliging uit de regeling SUWI gelden door deze koppeling op grond van de WWB ook voor gemeenten. Alle gemeenten moeten zich op grond van de WWB jaarlijks verantwoorden middels het verslag over de uitvoering aan de minister van Sociale Zaken en Werkgelegenheid (SZW). In deze verantwoording moeten gemeenten vanaf 2004 aangeven of zij voldoen aan de voorgeschreven beveiligingseisen en of er een beveiligingsplan is. Aan vijftig gemeenten is een compacte vragenlijst gezonden die door alle vijftig gemeenten is ingevuld. Op basis van de antwoorden heeft IWI vervolgens tien gemeenten geselecteerd voor aanvullende vragen. Deze vragen hadden een verdiepend en validerend karakter.

7



8



2

De beveiliging van Suwinet

2.1

Verantwoording over de beveiliging De meeste onderzochte gemeenten kunnen zich niet goed verantwoorden over de beveiliging van Suwinet. De respondenten die de colleges van burgemeester en wethouders aan de inspectie hebben toegewezen, hadden vaak geen totaaloverzicht. Ze waren slechts bekend met een deel van de activiteiten van de gemeente. Verder bleken de respondenten de in de vragenlijst gebruikte termen niet altijd op dezelfde manier te interpreteren. Hiermee is het voor de inspectie met dit onderzoek slechts in beperkte mate mogelijk gebleken om zich een betrouwbaar beeld over de beveiliging van het Suwinet en de verantwoording daarover te kunnen vormen. Met de gegevens van de gemeenten heeft de inspectie niet kunnen vaststellen in hoeverre gemeenten gebruik maken van beveiligingsplannen en normenkaders, noch of gemeenten taken, bevoegdheden en verantwoordelijkheden goed hebben vastgelegd of speciale functionarissen hebben benoemd, die verantwoordelijk zijn voor het beveiligingsbeleid (security officers). De onderzochte gemeenten geven aan, dat nog onduidelijk is hoe ze zich over de beveiliging Suwinet zullen gaan verantwoorden bij de verantwoording over de uitvoering van de WWB in 2005. Aangegeven wordt dat nog onduidelijk is hoe zij dit gaan organiseren. Evenmin is duidelijk hoe een accountant betrokken zal worden bij het oordeel over de uitvoering.

2.2

Beveiliging Bij het onderzoek is duidelijk geworden dat medewerkers bij de onderzochte gemeentelijke sociale diensten zich goed realiseren met privacygevoelige gegevens van andere Suwinetpartijen te werken waarbij zorgvuldigheid is vereist. Gemeenten hebben vaak aangegeven meer ondersteuning te wensen in de vorm van formats, toelichting op de voorschriften en informatie over hulpmiddelen die beschikbaar zijn. Gemeenten hebben hierin een wettelijke taak en verantwoordelijkheid. De antwoorden op de vragen van de onderzochte gemeenten geven de indruk dat er voor de beveiliging van Suwinet nog veel zaken geregeld moeten worden. Het overgrote deel van de gemeenten geeft aan dat nog niet bekend is welk normenkader zij zullen gebruiken en veel gemeenten gaven aan er niet van op de hoogte te zijn dat zij een specifiek Suwinet-beveiligingsplan moeten opstellen. Minder dan de helft van de gemeenten antwoordde dat zij een functionaris expliciet verantwoordelijk heeft gesteld voor de beveiliging. Uit de antwoorden blijkt niet dat de beveiligingssituatie anders is voor grote gemeenten dan voor kleine gemeenten. De beveiligingsproducten die door het Coördinatiepunt ICT gemeenten van Divosa worden aangeboden, vormen een hulpmiddel om het beveiligingsniveau van individuele gemeenten te verbeteren.

9



10



3

Oordeel IWI De inspectie baseert zich bij haar oordeelsvorming over de uitvoering door gemeenten primair op het verslag over de uitvoering van de WWB dat de minister uiterlijk in september van het daaropvolgende jaar ontvangt (voor het eerst in september 2005). De inspectie constateert dat veel van de onderzochte gemeenten aangeven niet goed op de hoogte te zijn van wat er bij de verantwoording op het gebied van het Suwinet van hen wordt verwacht en van de daarbij te hanteren normen. Daardoor heeft de inspectie ten tijde van dit onderzoek nog geen zekerheid dat de verantwoording van gemeenten over 2004 een goede basis zal zijn voor een oordeel van de inspectie over de beveiliging van de met Suwinet uitgewisselde gegevens in het gemeentelijke domein. Dat betekent dat onderzoeksvraag 2 nog niet beantwoord kan worden. Naar aanleiding van dit onderzoek is de inspectie van oordeel dat er bij gemeenten beheersmatige risico’s zijn voor de beveiliging van de met Suwinet uitgewisselde persoonsgegevens. Verder is het onzeker of gemeenten voldoende sturen op toereikende beveiliging en verantwoording.

11



12



4

Reactie Vereniging van Nederlandse Gemeenten De inspectie heeft de conceptrapportage voor een bestuurlijke reactie voorgelegd aan de Vereniging van Nederlandse Gemeenten (VNG). Hierna volgt de reactie van de VNG en het nawoord van IWI. De volledige reactie is opgenomen als bijlage. De VNG geeft aan dat het onderzoek hoogstens een indicatie kan vormen van de situatie omtrent de beveiliging van Suwinet, omdat er slechts vijftig gemeenten zijn onderzocht en omdat IWI niet altijd met dezelfde categorie medewerkers heeft gesproken. Verder vindt de VNG dat IWI bij de conclusie ten onrechte niet de tijdsdruk en de implementatietijd van de ICT-voorzieningen, in relatie tot de beperkte organisatorische en financiële mogelijkheden van gemeenten, heeft betrokken. En dat in het rapport ten onrechte geen melding wordt gedaan van de gerealiseerde en te starten initiatieven om het geconstateerde probleem aan te pakken. Nawoord IWI De resultaten van dit onderzoek bij vijftig gemeenten vormen voor de inspectie voldoende aanleiding om de risico’s op dit gebied in de conclusie op te nemen. Er is geen reden om te veronderstellen dat de uitkomsten van het onderzoek bij een andere groep gemeenten of bij andere medewerkers die daarvoor door het college van burgemeester en wethouders zouden zijn aangewezen, anders zouden zijn. De inspectie heeft oog voor de omstandigheden die VNG meldt, zoals de beperkte organisatorische en financiële mogelijkheden van gemeenten. Dit kan echter niet het melden van risico’s in de weg staan. IWI acht het van groot belang dat gemeentebesturen de nodige maatregelen treffen om te voldoen aan de beveiligingseisen die wet- en regelgeving aan haar als Suwinetpartij stelt. Verder heeft de inspectie geen verklarend onderzoek gedaan naar belemmeringen of oorzaken die bij de voortgang van de beveiliging een rol spelen. IWI waardeert de initiatieven die worden genomen om gemeenten te faciliteren en hun beveiligingsbewustzijn te vergroten positief. Hoewel de onderzochte gemeenten niets over deze initiatieven hebben gemeld, heeft IWI inmiddels producten van het Coördinatiepunt ICT gemeenten gezien en een opmerking aan het rapport toegevoegd over de beschikbaarheid daarvan.

13



Lijst van afkortingen BKWI CWI Divosa IB ICT IWI SUWI SZW UWV VNG WWB

14

Bureau Keteninformatisering werk en inkomen Centrum voor Werk en Inkomen (Vereniging van) Directeuren van Overheidsorganen voor Sociale Arbeid Stichting Inlichtingenbureau Gemeenten Informatie- en communicatietechnologie Inspectie Werk en Inkomen Wet Structuur uitvoering werk en inkomen Ministerie van Sociale Zaken en Werkgelegenheid Uitvoeringsinstituut Werknemersverzekeringen Vereniging van Nederlandse gemeenten Wet werk en bijstand



Bijlage

Reactie Vereniging van Nederlandse Gemeenten

15



16



Publicaties van de Inspectie Werk en Inkomen 2004 R04/29 R04/28

Beveiliging Suwinet bij gemeenten Op tijd Tijdigheid in de uitvoering van de Algemene nabestaandenwet R04/27 Beleid en sturing van de beursvloer van het Centrum voor Werk en Inkomen R04/26 Dienstverlening aan werkgevers R04/25 Arbeidsbemiddeling in de praktijk Onderzoek naar de motieven en keuzes bij arbeidsbemiddeling door CWI R04/24 De weg van bijstand naar werk Onderzoek naar de effectiviteit van reïntegratie-instrumenten onder de Abw R04/23 UWV en de gemeenschappelijke verwijsindex Onderzoek naar de doelmatigheid en doeltreffendheid van de gemeenschappelijke verwijsindex bij de bestrijding van witte fraude R04/22 Een signaal voor gemeenten Onderzoek naar de bestrijding van witte fraude in de bijstand met behulp van belastingsignalen R04/21 Toetsen van sollicitatieactiviteiten in het kader van de Werkloosheidswet R04/20 Uitvoering en effectiviteit van reïntegratievoorzieningen en -instrumenten R04/19 Hoog spel Een onderzoek naar effecten van liberalisering van de keuringsmarkt op de kwaliteit van keuringen van liften en kranen Meerjarenplan certificatie- en keuringsinstellingen 2005-2008 R04/18 Onafhankelijkheid bij periodieke liftkeuringen R04/17 Beoordeling rapportage handhaving Sociale Verzekeringsbank 2003 R04/16 Zwarte en grensoverschrijdende fraude met bijstandsuitkeringen Een verkennend onderzoek naar gemeentelijk beleid gericht op bestrijding van zwarte en grensoverschrijdende fraude R04/15 Ontwikkeling sectorloket R04/14 Samenvatting rapportages verscherpt toezicht 2001-2003 De uitvoering van de Algemene bijstandswet in Almelo, Amsterdam, Den Helder, Haarlem en Rotterdam Toezicht op certificatie- en keuringsinstellingen 2005 - 2008 R04/13 In goed vertrouwen Onrechtmatige gegevensverstrekking aan een handelsinformatiebureau R04/12 Aan de slag met de Wet verbetering poortwachter De invoering van de Wet verbetering poortwachter door het Uitvoeringsinstituut Werknemersverzekeringen R04/11 UWV en Walvis Tweede rapportage R04/10 De praktijk ná het aanbesteden De feitelijke inkoop van afzonderlijke reïntegratietrajecten door UWV in de contractperiode 2002-2003 Jaarplan 2005 Jaarverslag 2003 R04/09 Gelijke gevallen, gelijke behandeling? Uitvoering van de ontslagtaak door CWI R04/08 Dienstverlening door het Inlichtingenbureau R04/07 Samenloopsignalen van het Inlichtingenbureau Een onderzoek naar het gebruik van samenloopsignalen door gemeenten in 2003 R04/06 ICT en de keten van werk en inkomen

19



R04/05

R04/04 R04/03 R04/02 R04/01

De manager de baas? Een onderzoek naar WAO-managers en hun integrale verantwoordelijkheid voor het werk van verzekeringsartsen Inzet reïntegratie-instrumenten en -voorzieningen door UWV Herbeoordeeld? Uitvoering van de wettelijke WAO-herbeoordelingen Verbetering opzet financieel beheer CWI Gemeente Assen en de bijzondere bijstand Onderzoek naar bijzondere bijstandsverlening bij verblijf in het buitenland

2003 R03/21

Werken met behoud van een Abw-uitkering in Amsterdam Quick scan R03/20 UWV en Walvis Eerste rapportage Aanpassing Jaarplan IWI 2004 i.v.m. het gewijzigd toezicht op gemeenten R03/19 De uitvoering van de Algemene bijstandswet in Den Helder Eerste rapportage verscherpt toezicht R03/18 Vreemdelingen en arbeid Het vergunningenbeleid van CWI R03/17 Certificatie- en keuringsinstellingen op het gebied van arbeidsomstandigheden in 2002 R03/16 Elfde tot en met dertiende voortgangsrapportage inzake de realisatie bestuurlijke afspraken met Amsterdam R03/15 Afspraken Centra voor Werk en Inkomen met de gemeenten Hoorn en Zaanstad R03/14 De inschakeling van een private partij bij de uitvoering van de Algemene bijstandswet door de gemeente Maarssen Eindrapportage Jaarplan 2004 R03/13 Indicatiestelling sociale werkvoorziening Een onderzoek naar de kwaliteit van het indicatiestellingproces R03/12 Afhandeling openstaande posten Uitvoeringsinstituut Werknemersverzekeringen Eindrapport R03/11 Gemeentelijke eindejaarsuitkeringen aan minima in 2002 R03/10 Gemeentelijk beleid en handhaving van de bijstandswetgeving bij woonwagenbewoners Loenen en de intake van bijstandsaanvragen R03/09 Facetten van handhaving van de Algemene bijstandswet Monitor van bestrijding van misbruik en oneigenlijk gebruik door gemeenten 2001 R03/08 De decentrale aansturing van de Sociale Verzekeringsbank R03/07 Debiteurenbeheer collecterend proces Uitvoeringsinstituut Werknemersverzekeringen Jaarverslag 2002 R03/06 De uitvoering van de Algemene bijstandswet in Amsterdam Stand van zaken eerste kwartaal 2003 R03/05 De uitvoering van onderzoeken in het kader van de Algemene bijstandswet door de gemeente Rotterdam in 2002 Toetsingskader instellingen persoonscertificatie in het kader van de Arbeidsomstandighedenwet en enkele andere wetten R03/04 De uitvoering van de Algemene bijstandswet door gemeenten in 2001 Quick scan R03/03 Opzet financieel beheer Centrale organisatie werk en inkomen Review van het KPMG-rapport 'Risicoanalyse financieel beheer CWI' R03/02 Onderzoek toepassing Werkloosheidswet bij SHB Havenpool Rotterdam BV R03/01 De ketens van werk en inkomen Een verkennend onderzoek naar de keten van werk en inkomen vanuit cliëntperspectief 20



U kunt deze publicaties opvragen bij: Afdeling Communicatie [email protected] www.iwiweb.nl Prinses Beatrixlaan 82 2595 AL Den Haag Postbus 11563 2502 AN Den Haag Telefoon (070) 304 44 44 Fax (070) 304 44 45

21



Beveiliging Suwinet bij gemeenten

Recommend Documents