Beveiligingsplan rechtmatig gebruik Suwinet-Inkijk Intergemeentelijke Afdeling Sociale Zaken (IASZ)
Gemeente Heemstede
Gemeente Bloemendaal
Gemeente Haarlemmerliede en Spaarnwoude
O
Beveiligingsplan IASZ Versie: 0.2 Status: Concept Auteur: disselb Datum: 3-9-2009
Pagina 1 van 15
1. Inleiding 2. Gebruik Suwinet-Inkijk 3. Beveiligingsmaatregelen Bijlage I Bijlage II Bijlage III
Beveiligingsplan IASZ Versie: 0.2 Status: Concept Auteur: disselb Datum: 3-9-2009
Beschrijving autorisatiecodes Zorgvuldigheidsverklaring medewerkers Protocol inzage Suwinet-Inkijk door klant
Pagina 2 van 15
1. Inleiding Het Bureau Keteninformatisering werk en inkomen (BKWI), het Centrum voor Werk en Inkomen (CWI), de stichting Inlichtingenbureau Gemeenten (IB), het Uitvoeringsinstituut Werknemersverzekeringen (UWV) en gemeenten wisselen persoonsgegevens met elkaar uit via Suwinet, een elektronische infrastructuur. Met de faciliteit Suwinet-Inkijk worden gegevens op basis van burgerservicenummer (BSN) toegankelijk gemaakt voor bevoegde medewerkers. Dit betekent dat bevoegde gebruikers van Suwinet over nogal wat privacygevoelige informatie van cliënten kunnen beschikken, zoals: loon- en uitkeringsgegevens, opleidingen ed.. Daarnaast is de verwachting dat het aantal bronnen waarvan Suwinet gebruik kan maken (gevoed door het Inlichtingenbureau) in de toekomst alleen maar zal toenemen (bijvoorbeeld kentekenregistraties, koppeling huursubsidie etc.). Om de SUWIketen effectief te laten functioneren moeten partijen er op kunnen vertrouwen dat “hun” gegevens door de partners in de Suwiketen op een zorgvuldige en controleerbare wijze worden behandeld. Het IWI heeft alle gemeenten verzocht vóór 1 januari 2009 het beveiligingsplan toe te sturen. Gemeenten dienen hieraan gevolg te geven op grond van artikel 76 Wet Werk en Bijstand, waarin de toezicht is bepaald (IWI) op de gemeentelijke verantwoordelijkheid t.a.v. het rechtmatig gebruik van Suwinet-Inkijk. Deze wetgeving is afgestemd op de Wet Bescherming Persoonsgegeven (WBP). Dit Beveiligingsplan is geen statisch document; het is gebaseerd op diverse landelijke en sectorale uitgangspunten en documenten. De organisatie en de omgeving van de sociale dienst zijn voortdurende in ontwikkeling, onder andere door wijzigende of vernieuwende inzichten en wetgeving of aanpassingen in de informatiesystemen. Dit betekent dat dit plan periodiek moet worden beoordeeld op actualiteit en dus mogelijk constante aanpassing behoeft.
Beveiligingsplan IASZ Versie: 0.2 Status: Concept Auteur: disselb Datum: 3-9-2009
Pagina 3 van 15
2. Gebruik Suwinet-Inkijk De volgende functiegroepen zijn bij de IASZ geautoriseerd om Suwinet-Inkijk te gebruiken: • • • • • • •
Consulenten Werk en Inkomen Consulenten Zorg Consulenten Terugvordering en Verhaal Consulent Inburgering Medewerker Uitkeringsadministratie Stafmedewerker / Toetser Applicatiebeheerder
Binnen Suwinet-Inkijk kan de applicatiebeheerder autorisatiecodes toekennen aan individuele medewerkers. Deze codes bepalen de toegang tot Suwinet-Inkijk en welke informatie de medewerker kan opvragen. De IASZ is een relatief kleine organisatie, waarbij de consulenten op een breed kennisniveau hun werk doen. Door dit brede takenpakket is het noodzakelijk dat de medewerkers ook een brede toegang tot Suwinet-Inkijk hebben. Verdeling autorisatiecodes per functiegroep: Functiegroep Consulent Werk en Inkomen
Consulent Zorg Consulent Terugvordering en Verhaal
Consulent Inburgering Medewerker Uitkeringsadministratie Stafmedewerker / Toetser
Applicatiebeheerder
Autorisatiecode G002, G003, G004, G005, G018, G019, G020, G021, G022, G023, G024, G025, G026, G028, G029 G005, G018 G002, G003, G004, G005, G018, G019, G020, G021, G022, G023, G024, G025, G026, G028, G029 SCI01, SCI02, SCI03, SCI04, SCI05, SCI07 G005, G018 G002, G003, G004, G005, G018, G019, G020, G021, G022, G023, G024, G025, G026, G028, G029 Gebruikersbeheerder, SCI06
Een beschrijving van de verschillende autorisatiecodes is weergegeven in bijlage 1.
Beveiligingsplan IASZ Versie: 0.2 Status: Concept Auteur: disselb Datum: 3-9-2009
Pagina 4 van 15
In onderstaande tabel volgt per functiegroep bij welke werkzaamheden Suwinet-Inkijk geraadpleegd mag worden. In die gevallen spreken we van geoorloofd gebruik. Alle andere redenen vallen onder ongeoorloofd gebruik. Functie
Werkzaamheden
Raadplegen informatie binnen Suwinet-Inkijk Consulent Werk en Inkomen Aanvraag uitkering, onderzoek Controle werkgever, controle risicoprofiel, Heronderzoek inkomensgegevens, controle adres-gegevens, rechtmatigheid, Heronderzoek doelmatigheid controle inschrijving CWI, controle motorvoertuigen, controle legitimatiebewijs Consulent Zorg Aanvraag voorziening i.h.k.v. de WMO Controle adres-gegevens Consulent Terugvordering en Debiteurenonderzoek Controle adresgegevens, Verhaal controle draagkracht, hoogte inkomen, werkgever Consulent Inburgering Verwerking Raadplegen en muteren inburgeringsplicht/inburgeringsbehoefte Informatiesysteem Inburgering (ISI) en Bestand Potentiële Inburgeringsplichtigen (BPI) Medewerker Uitkeringsadministratie Invoeren aanvragen Controle adresgegevens, controle BSN Stafmedewerker / Toetser Toetsen van werkzaamheden diverse Zelfde bevoegdheden als consulenten consulenten Applicatiebeheer Aanmaken/ wijzigen gebruikers Gebruikers scherm De applicatiebeheerder autoriseert de gebruiker voor toegang tot Suwinet-Inkijk. Hiervoor dient de gebruiker een verzoek in bij de applicatiebeheerder. Dit verzoek wordt geaccordeerd door de teamleider of het afdelingshoofd. Tegelijk met dit verzoek ondertekent de gebruiker de verklaring, dat hij/zij de gegevens uit Suwinet-Inkijk alleen zal raadplegen en gebruiken voor de hem uit te voeren werkzaamheden. (Zie bijlage 2) Tevens verklaart hij/zij: - ermee bekend te zijn dat deze gegevens geheim zijn en niet schriftelijk dan wel mondeling zal worden verstrekt aan derden, zowel intern als extern het gemeentehuis, - elke constatering of vermoeden van inbreuk op de informatiebeveiliging onmiddellijk te melden aan de applicatiebeheerder - ermee bekend te zijn dat bij schending van geheimhouding van de gegevens dit gevolgen voor de medewerker kan hebben. Voorbeelden van deze gevolgen zijn o.a. het ontnemen van de rechten op raadpleging Suwinet-Inkijk en sanctionaire maatregelen zoals opgenomen in het ‘Reglement E-mailen internetgebruik gemeente Heemstede’.
Beveiligingsplan IASZ Versie: 0.2 Status: Concept Auteur: disselb Datum: 3-9-2009
Pagina 5 van 15
3. Beveiligingsmaatregelen Om de beveiliging van de gegevensuitwisseling Suwinet-Inkijk te optimaliseren worden de volgende 3 maatregelen getroffen: Maatregel 1: Opvragen logging rapportages/ benoeming beveiligingsfunctionaris. Het Bureau Keteninformatisering Werk en Inkomen (BKWI) heeft rapportages ontwikkeld omtrent de logging van het gebruik van Suwinet-Inkijk. Het BKWI is verplicht om gegevens te loggen waarmee het gebruik van Suwinet-Inkijk per medewerker van o.a. de gemeente kan worden nagegaan. De volgende gegevens worden gelogd: • • • •
het tijdstip van iedere log-in en log-out; de gebruikersnaam van degene die inlogt/uitlogt; elk BSN (of andere zoeksleutel) waarvan gegevens worden opgevraagd wordt als actie geregistreerd; elke actie, zoals de bekeken kolom- of overzichtspagina´s.
Het doel van deze logging is tweeledig: 1. Tegengaan en controleren van onrechtmatige, onregelmatige of doeloverschrijdende verwerking: 2. Wetenschappelijke en/of statistische doeleinden. De gebruikers van Suwinet-Inkijk moeten weten dat over hen gegevens worden verzameld en vastgelegd. Dit is een belangrijk onderdeel van de privacybescherming ten opzichte van deze medewerkers. Met het oog hierop moet de navolgende informatie worden verstrekt aan de medewerkers die (gaan) werken met Suwinet-Inkijk: • • • • • •
Het bestaan van de loggingapplicatie; De (aard van de) gegevens die binnen deze applicatie worden gelogd; Doelen van de logging; Dat de gelogde gegevens niet voor andere doeleinden worden gebruikt dan waarvoor ze zijn vastgelegd; De wijze en het moment waarop en door wie een onrechtmatig of doeloverschrijdend gebruik van het Suwinet-Inkijk wordt geconstateerd. Dat bij bovenstaande constatering dit door het afdelingshoofd Sociale Zaken wordt gecommuniceerd met de betreffende medewerker(s).
In het kader van de beveiliging worden de gegevens over het gebruik van Suwinet-Inkijk 1x per 3 maanden uitgevraagd. Het betreft dan de volgende gegevens: • • • • • •
Inkijkacties; Opvragen unieke BSnummers; Geldige ten opzichte van ongeldige rollen; Inlogpogingen; Administrator accounts; Accounts per status;
Beveiligingsplan IASZ Versie: 0.2 Status: Concept Auteur: disselb Datum: 3-9-2009
Pagina 6 van 15
• •
Opvragen per pagina; Geregistreerde ten opzichte van actieve accounts.
De logginggegevens worden door de applicatiebeheerder beoordeeld. Maatregel 2: Hanteren 10 gouden regels In de handleiding voor invoering van beveiligingsmaatregelen gegevensuitwisseling SUWI is in de bijlage opgenomen 10 Gouden Regels voor een beveiligd gebruik van informatie, informatiesystemen en netwerken. In het kader van het nemen van maatregelen ter beveiliging van gegevensuitwisseling Suwinet-Inkijk is het aan te bevelen deze volgende 10 Gouden Regels onder de aandacht te brengen van de gebruikers en ook erop toe te zien dat deze regels worden nageleefd. Hieronder staan de 10 Gouden Regels, eventueel aangevuld met acties die kunnen worden ondernomen om naleving van de regel te vergemakkelijken. 1. Beheren van wachtwoorden. De wachtwoorden zijn strikt persoonlijk. De wachtwoorden mogen niet aan derden of aan een collega worden gegeven en ze moeten bewaard worden op een veilige plek. 2. Melden van beveiligingsincidenten. Het is belangrijk dat beveiligingsincidenten worden gemeld bij de applicatiebeheerder. Vervolgens wordt de afdeling Systeembeheer ingeschakeld om dat incident te onderzoeken. Voorbeelden van incidenten zijn: een virusmelding op het systeem of een inbraak of poging tot inbraak. 3. Geheimhoudingsplicht. Binnen de afdeling Sociale Zaken wordt met persoonsgegevens gewerkt. Voor het werken en de omgang met persoonsgegevens zijn vanuit de overheid een aantal regels opgesteld, die zijn verwoord in de Wet bescherming persoonsgegevens (WBP). In de wet SUWI zijn geheimhoudingsbepalingen opgenomen, waarin wordt aangegeven dat de persoonsgegevens niet verder bekend mogen worden gemaakt dan voor de uitoefening van de functie noodzakelijk is. 4. Gedragscode internet- en emailgebruik. De gemeente hanteert een protocol voor gebruik van email en internet. In dit protocol is aangegeven hoe de medewerkers behoren om te gaan met email en internet op de werkplek. Tevens bevat dit protocol regels voor de manier waarop het gebruik van externe email en internet wordt geobserveerd. 5. Kennisnemen van het beveiligingsplan gegevensuitwisseling SUWI. Het binnen de afdeling Sociale Zaken geldende beveiligingsplan (inclusief protocollen) is op iedereen binnen de afdeling van toepassing die gebruik maakt van Suwinet-Inkijk. Alle gebruikers hebben een exemplaar van het beveiligingsplan ontvangen en ook nieuwe medewerkers/gebruikers zullen via het afdelingshoofd/teamleider een exemplaar ontvangen. Beveiligingsplan IASZ Versie: 0.2 Status: Concept Auteur: disselb Datum: 3-9-2009
Pagina 7 van 15
Gebruikers van Suwinet-Inkijk moeten weten dat over hen gegevens worden vastgelegd en verzameld. Dit is een belangrijk onderdeel van de privacybescherming ten opzichte van deze medewerkers. In het beveiligingsplan is hier aandacht aan besteed. Jaarlijks wordt bij de evaluatie van het Beveiligingsplan dit onderwerp geagendeerd voor het werkoverleg. 6. Gegevensverstrekking aan derden via de telefoon. Het uitgangspunt is dat er met terughoudendheid aan verzoeken om telefonische informatie over betrokkenen wordt tegemoetgekomen. Het voeren van telefoongesprekken brengt namelijk de risico’s met zich mee dat de identiteit van de gesprekspartner verkeerd wordt vastgesteld of dat persoonsgegevens worden verstrekt aan personen die geen recht op informatie hebben. In principe wordt er dan ook geen telefonische informatie over klanten verstrekt aan personen of instanties die beweren namens betrokkene te bellen. In die gevallen kan er een schriftelijk verzoek worden ingediend, voorzien van een machtiging. Bij een verzoek om telefonische informatieverstrekking van een ketenpartner wordt de verzoeker teruggebeld via het algemene nummer van de (vestiging van de) ketenpartner met het verzoek te worden doorverbonden. Dit terugbellen kan achterwege blijven indien afkomstig van een vaste contactpersoon. 7. Clear desk en clear screen policy. De vertrouwelijke omgang met persoonsgegevens houdt onder andere in dat elke werkplek zodanig is ingericht, dat onbevoegden niet de beschikking kunnen krijgen over deze informatie. Vertrouwelijke gegevens mogen niet onbeheerd op het bureau achterblijven. Dossiers worden bewaard in een kast die na werktijd wordt gesloten. Bezoekers dienen zich bij binnenkomst in het gemeentehuis eerst te melden bij de receptie. De kans is derhalve gering dat onbevoegden zonder te worden opgemerkt toegang krijgen tot de werkplek van de medewerkers. Clear screen betekent dat het werkstation moet worden vergrendeld met behulp van schermbeveiliging (met wachtwoord). De screensaver is zodanig ingesteld dat na een aantal minuten de schermbeveiliging intreedt. Dit is door de afdeling Systeembeheer voor iedere medewerker standaard ingesteld. 8. Geen vertrouwelijke gegevens in prullenbak of printer. De correcte omgang met vertrouwelijke gegevens, waaronder persoonsgegevens, is erg belangrijk binnen afdeling sociale zaken. Het weggooien van deze gegevens moet in de daarvoor bestemde prullenbakken en bij de printer dienen geen vertrouwelijke gegevens te liggen. 9. Aanspreken van onbekende personen. In het geval dat een medewerker van de afdeling Sociale Zaken een voor hem/haar onbekende persoon in de gang van de afdeling tegenkomt waar officieel geen publiek zonder begeleiding mag komen, dient de medewerker deze persoon aan te spreken, zichzelf voor te stellen en de persoon in kwestie te vragen wat hij/zij hier doet. Personen die niet bevoegd zijn om zich op deze plek te bevinden worden hierop gewezen. Het is de taak van de medewerker om de persoon de weg naar het publieke gedeelte van het gebouw te wijzen en de persoon daar naar toe te begeleiden. 10. De dagelijkse werkzaamheden en informatiebeveiliging. Beveiligingsplan IASZ Versie: 0.2 Status: Concept Auteur: disselb Datum: 3-9-2009
Pagina 8 van 15
Informatiebeveiliging is uitermate belangrijk voor het werk binnen een afdeling Sociale Zaken waar veelvuldig met privacygevoelige informatie wordt gewerkt en hoort bij de professionele en bekwame uitvoering van het werk. Ook cliënten vertrouwen op een zorgvuldige wijze van verwerken van hun gegevens. Via het werkoverleg zal geregeld aandacht aan dit onderwerp besteedt worden.
Maatregel 3: Gebruik protocol inzage Suwinet-Inkijk door cliënt Om de privacy van de cliënt te waarborgen is zorgvuldigheid in de omgang met diens gegevens vereist. In bepaalde gevallen is gegevensinzage door cliënt mogelijk. De via Suwinet-Inkijk opvraagbare gegevens zijn alleen in elektronische vorm te zien. De gegevens mogen niet lokaal worden opgeslagen (op de harde schijf of op diskette). In bijlage 3 staat het protocol beschreven op welke wijze gehandeld moet worden op deze verzoeken.
Beveiligingsplan IASZ Versie: 0.2 Status: Concept Auteur: disselb Datum: 3-9-2009
Pagina 9 van 15
Bijlage 1 Beschrijving autorisatiecodes met betrekking tot Suwinet-Inkijk: G002 / B&O Beroepen en Opleidingen register. Dit is een zoekmachine waarmee gezocht kan worden op samenhang tussen beroepenoriëntatie (“ik wil iets met”), bijbehorende beroepen en opleidingseisen. Het B&O biedt casemanagers/consulenten een handvat voor het uitzetten van reïntegratieactiviteiten met de cliënt. Op beroep kan vervolgens naar vacatures worden gezocht in werk.nl. G003 / CWI Het kolomoverzicht CWI bevat • NAW gegevens • Inschrijvingen CWI en beschikbaarheid* • Vestigingsgegevens* • Opleidingen van de klant* • Arbeidsverhoudingen van de klant (volgens CWI) • Diensten CWI aan de klant** • Ingezette instrumenten CWI aan de klant** • Bemiddelingsberoepen van de klant * Deze informatie is ook opgenomen in de autorisatie Reïntegratie WWB ** Deze informatie is ook opgenomen in zowel de autorisatie Reïntegratie WWB als Rechtmatigheid WWB. De informatie uit het kolomoverzicht CWI is van belang voor zowel de processen die samenhangen met rechtmatigheid als reïntegratie. G004 / FSK Met de FraudeScoreKaart kunnen risicoprofielen in het kader van fraudebestrijding opgesteld worden. Door het invullen van een gelimiteerd aantal velden kan risicobeoordeling aan de kop van het proces plaatsvinden. Dit instrument maakt het mogelijk om op basis van de uitkomsten van de FSK te bepalen wanneer een risicogestuurde uitkeringsintake moet plaatsvinden die daardoor voor grote groepen klanten beperkt kan zijn. G005 / LRD op BSN Op deze kolompagina kan via het opgeven van een BSN (burgerservicenummer) de LRD (Landelijk Raadpleegbare Deelverzameling) bevraagd worden op de NAWgegevens van de klant. De LRD is een kopie van een beperkte gegevensset van de persoonslijst die in de lokale GBA van gemeenten zijn opgeslagen. Deze gegevens worden via Suwinet-Inkijk beschikbaar gesteld aan die gemeenten die hiertoe zijn geautoriseerd. G018 / LRD zoeken Op deze pagina kan de LRD bevraagd worden voor de NAW gegevens van de klant via het ingeven van meerdere zoeksleutels zoals met geboortedatum, postcode en huisnummer. Ook voor deze pagina gelden de beperkingen zoals opgenomen in de Bijlage LRD bevraging van deze handreiking. G019 / GSD Het kolomoverzicht GSD bevat informatie over • NAW-gegevens Beveiligingsplan IASZ Versie: 0.2 Status: Concept Auteur: disselb Datum: 3-9-2009
Pagina 10 van 15
• Uitkeringsaanvragen • Uitkeringsverhoudingen • Vorderingen • Reïntegratie van de klant, bekend bij alle GSD-en. Alle informatie is ook opgenomen in zowel het overzicht Reïntegratie WWB als Rechtmatigheid WWB. G020 / RDW intake Op deze pagina kan op burgerservicenummer gezocht worden naar de kentekens die op naam staan. Deze informatie is bedoeld voor de functionarissen die belast zijn met de aanvraagafhandeling WWB waarbij de waarde van het voertuig als onderdeel van het vermogen vastgesteld moet worden. G021 / RDW fraude Deze pagina bevat extra informatie over verzekeringsgegevens van het voertuig en heeft extra zoeksleutels (zoals kenteken of naam). Deze pagina vervangt de Soza-applicatie en is bedoeld voor functionarissen die belast zijn met opsporing, bijzonder onderzoek en handhaving. G022 / Rechtmatigheid WWB In dit overzicht wordt beschikbare informatie van het CWI, de GSD en de UWV gecombineerd. Zoals de naam al zegt is deze autorisatie bedoeld voor de functionarissen die zich bezig houden met rechtmatigheid. Welke gegevens van het CWI en de GSD in dit Rechtmatigheidsoverzicht beschikbaar zijn is hierboven te vinden bij de autorisaties CWI en GSD. Daarnaast bevat dit overzicht de volgende informatie van de UWV: • Arbeidsverhoudingen (UWV) • Uitkeringsverhoudingen (UWV) • Inkomensverhoudingen (Polis) G023 / Reïntegratie WWB In dit overzicht wordt beschikbare informatie van het CWI, de GSD en de UWV gecombineerd. Zoals de naam al zegt is deze autorisatie bedoeld voor de functionarissen die zich bezig houden met reïntegratie. Welke gegevens van het CWI en de GSD in dit Reïntegratieoverzicht beschikbaar zijn is hierboven te vinden bij de autorisaties CWI en GSD. Daarnaast bevat dit overzicht de volgende informatie van de UWV: • Arbeidsverhoudingen (UWV) • Uitkeringsverhoudingen (UWV) • Inkomensverhoudingen (Polis) G024 / SBR Het Suwi Bedrijven Register (voorheen Basis Bedrijven Register +) bevat een groot deel van het Handelsregister van de KvK en een aanvulling van het bureau Marktselect. Het SBR ondersteunt: Reïntegratie: bv. (in aanvulling op werk.nl) door samen met de klant te zoeken naar bedrijven die benaderd kunnen worden voor open sollicitaties. Bevorderen zelfstandig ondernemerschap. Fraudebestrijding: bv. voor themaonderzoeken naar bedrijven in een bepaalde branche of postcodegebied; voor het nasporen van historie en overdrachten van bedrijven ed. Rechtmatigheid: bv. voor het controleren van (mogelijke) zelfstandige bedrijfsactiviteiten en beëindiging daarvan. Beveiligingsplan IASZ Versie: 0.2 Status: Concept Auteur: disselb Datum: 3-9-2009
Pagina 11 van 15
Werkgeversbenadering: voor bv. het gericht selecteren van bedrijven voor bedrijfsbenadering. Zoek op de SBR pagina’s een bedrijf op basis van één of meer zoekcriteria. Bekijk de gegevens op de verschillende schermen, zoals: Details vestiging: naam, adres en bedrijfseconomische gegevens Contactgegevens: vestigingsadres, feitelijk adres, correspondentieadres en contactpersonen Concernstructuur: welk bedrijf is de moeder en heeft dit bedrijf ook nog dochterbedrijven? Moeders en dochters: bekijk de gegevens van de moeder- en dochterbedrijven. G025 / VIS Het Verificatie Informatie Systeem (VIS) informeert over de unieke nummers van gestolen, vermiste of anderszins ongeldig verklaarde identiteits- en reisdocumenten uit binnen- en buitenland. Hieronder vallen onder meer paspoorten, visa en de Nederlandse op naam gestelde rijbewijzen. VIS heeft als doel het voorkomen van schade door frauduleus handelen met ongeldige documenten. Het geeft binnen enkele seconden aan of een identiteits- of reisdocument ongeldig is. Deze pagina is van belang aan de kop van het proces om vast te stellen of iemand zich met een geldig identiteitsdocument legitimeert. G026 / Werk.nl Werk.nl is een tool van het CWI. Deze tool is automatisch beschikbaar bij het aanmaken van een account en hoeft dus niet apart geautoriseerd te worden. Werk.nl bevat vacatures van het CWI en diverse andere vacaturesites. Er kan op vele ingangen worden gezocht. Vacatures bevatten meestal ook een antwoordformulier dat direct naar de werkgever gezonden kan worden. Werk.nl bevat een kansverkenner waarmee per beroep en regio de meest kansrijke manieren van werkzoeken worden aangegeven, bevat zelftesten, voorbeelden en modellen voor cv’s en sollicitatiebrieven en algemene informatie voor specifieke doelgroepen. De casemanager/consulent reïntegratie kan met de klant in Werk.nl vacatures zoeken. De klant kan via www.werk.nl zijn cv plaatsen, zich inschrijven voor werk bij het CWI en een e-aanvraag WW en WWB invullen. Werkgevers kunnen op profielen zoeken naar ingeschreven werkzoekenden. Werk.nl biedt de mogelijkheid om statistische overzichten te maken van vacatures en niet werkenden werkzoekenden (beleid, management, werkgeversbenadering). G028 / Rechtmatigheid WWB incl. medebewoners uit de LRD Dit overzicht bevat dezelfde informatie als het hierboven genoemde overzicht “Rechtmatigheid WWB” maar nu met een link naar de medebewoners uit de LRD. De link bovenin het rechtmatigheidoverzicht geeft toegang tot inzage van de medebewoners op het adres van de klant zoals geregistreerd in de LRD. De relatie van de medebewoner tot de klant is niet opgenomen in de LRD. G029 / Klantbeeld Deze pagina toont per burgerservicenummer de gegevens in het DKD die de klant ook zelf kan zien als hij inlogt met DigiD via www.werkeninkomen.nl. In het Klantbeeld staat informatie over • NAW-gegevens uit de LRD aangevuld met enkele persoonsgegevens van CWI en UWV • Arbeid, uitkeringen, werkervaring en beroep van UWV, GSD en CWI • Betalingen en vorderingen van GSD • Opleidingen en reïntegratie van CWI
Beveiligingsplan IASZ Versie: 0.2 Status: Concept Auteur: disselb Datum: 3-9-2009
Pagina 12 van 15
De gegevens in het Klantbeeld zijn voor professionals ook beschikbaar op de schermen in de autorisaties Rechtmatigheid WWB, Reïntegratie WWB en de LRD. Deze aparte autorisatie is bedoeld voor de functionarissen die (meestal telefonisch) de klant te woord staat die na inloggen op zijn Klantbeeld vragen of opmerkingen heeft over de gegevens die hij ziet. De professional kan dan meekijken op dezelfde pagina met dezelfde lay-out als die de klant ziet op dat moment. Het beschikbaar komen van de pagina Klantbeeld voor gemeenten hangt samen met de uitrol DKD. In de loop van 2007 zullen alle gemeenten aangesloten worden. Daarbij is de voorwaarde voor gemeenten dat zij een autorisatiebesluit LRD hebben. Bij het toekennen van deze autorisatie aan een gebruiker moet rekening gehouden worden met het in feite toekennen van het gebruik van LRD op burgerservicenummer. In de toekomst kan het Klantbeeld uitgebreid worden met meer informatie. De gemeente zal steeds moeten (her)overwegen of de gebruiker die geautoriseerd is voor het Klantbeeld ook inzage mag hebben in de nieuw toegevoegde informatie. Autorisatiecodes met betrekking tot inburgering: SCI01 = Raadplegen BPI" SCI02 = Raadplegen ISI op BSN" SCI03 = Raadplegen ISI op BSN of selectie" SCI04 = Muteren BPI en ISI" SCI05 = Muteren ISI" SCI06 = Alle bevoegdheden incl. signalen" SCI07 = Raadplegen BPI en ISI
Beveiligingsplan IASZ Versie: 0.2 Status: Concept Auteur: disselb Datum: 3-9-2009
Pagina 13 van 15
Bijlage 2
Zorgvuldigheidsverklaring Suwinet –Inkijk voor medewerkers Ondergetekende, Naam: Functie: Organisatie-onderdeel: Plaats: Datum: Zegt toe dat hij/zij: •
•
• • • •
er van op de hoogte is dat de privacywet- en regelgeving een zorgvuldige omgang met persoonsgegevens beoogt te beschermen en dat deze wet- en regelgeving het gebruik van persoonsgegevens in de ruimste zin des woords verbindt aan regels. zorgvuldig zal omgaan met de (persoons-)gegevens en de inhoud van de documenten die hij/zij bij de uitvoering van de werkzaamheden in SUWI-verband mag inzien en zich daarbij houdt aan de werkinstructies zoals opgenomen in de functionele beschrijvingen van Suwinet-Inkijk. Concreet betekent dit onder meer dat hij/zij: o niet meer (persoons-)gegevens inkijkt dan strikt noodzakelijk is; o zorgvuldig archiveert; o (persoons)gegevens niet aan onbevoegden verstrekt; o het wachtwoord zorgvuldig hanteert. kennis heeft genomen van de regels die gelden voor het zorgvuldig omgaan met persoonsgegevens. gedurende de duur van zijn/haar inzet voor werkzaamheden in SUWI-verband enkel die (persoons)gegevens gebruikt, die van belang zijn voor het nastreven van het doel van SUWI. alle medewerking zal geven aan het naleven van de privacywet- en regelgeving door de GSD waar hij/zij werkzaam is. Gedurende de duur van zijn/haar inzet voor de werkzaamheden in SUWI-verband en na beëindiging van deze werkzaamheden, tegenover derden geheimhouding zal betrachten met betrekking tot alle (persoons)gegevens waarvan hij/zij bij de uitvoering van de voornoemde werkzaamheden kennis neemt.
Handtekening medewerker:
Beveiligingsplan IASZ Versie: 0.2 Status: Concept Auteur: disselb Datum: 3-9-2009
Pagina 14 van 15
Bijlage 3 Protocol inzage Suwinet-Inkijk door cliënt De cliënt verzoekt om inzage, hetzij schriftelijk, hetzij mondeling, in diens gegevens • Stel de identiteit van de cliënt vast aan de hand van een geldig legitimatiebewijs (rijbewijs, paspoort, etc.); • Vraag om het BSN van de cliënt; • Stel vast dat het BSN is ontleend aan een officieel document (rijbewijs, paspoort etc.) • Maak een uitdraai van de geraadpleegde gegevens of laat de cliënt meekijken op het scherm; • Berg uitdraai onmiddellijk op in het cliëntendossier of vernietig eventueel uitgedraaid exemplaar; • Beëindig inkijksessie. • Het is mogelijk dat een cliënt telefonisch vraagt om een uitdraai van zijn/haar gegevens. In dat geval dient de cliënt verwezen te worden naar de balie of moet een schriftelijk verzoek indienen, dat binnen de wettelijk verplichte termijn dient te worden afgehandeld. • Indien de cliënt inzage wil in al zijn/haar gegevens die bij een ketenpartner zijn geregistreerd, dient de klant te worden verwezen naar de betreffende ketenpartner.
Beveiligingsplan IASZ Versie: 0.2 Status: Concept Auteur: disselb Datum: 3-9-2009
Pagina 15 van 15
