Elektronische verstrekking van gegevens vanuit het SUWI-domein aan organisaties buiten SUWI. Nota van bevindingen

Elektronische verstrekking van gegevens vanuit het SUWI-domein aan organisaties buiten SUWI Nota van bevindingen

Nota van bevindingen | Elektronische verstrekking van gegevens vanuit het SUWI-domein aan organisaties buiten SUWI | juni 2012

Colofon

Projectnaam Projectnummer Versie Datum Nummer

Elektronische verstrekking van gegevens vanuit het SUWIdomeingegevens aan organisaties buiten SUWI 2208 Definitief Juni 2012 Nvb-Info 12/061

Pagina 2 van 33


Inhoud

Colofon—2 1

Samenvatting en conclusies—5

2 2.1 2.2 2.2.1 2.2.2

Inleiding—9 Probleemstelling—11 Doel en reikwijdte—12 Doel—12 Reikwijdte onderzoek—12

3 3.1 3.2 3.3

Onderzoeksopzet en methode—13 Onderzoeksvraag—13 Toetsingskader—14 Methodiek—14

4 4.1 4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 4.2 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7

Resultaten—17 Inventarisatie elektronische verstrekkingen—17 Verstrekkingen via GeVS—17 Verstrekkingen van gemeenten—17 Verstrekkingen van SVB—19 Verstrekkingen van UWV—20 Conclusie m.b.t. verstrekkingen—20 Waarborgen—21 Waarborgen bij SVB—21 Waarborgen bij UWV—21 Conclusie m.b.t. waarborgen—23 Ervaringen van afnemers met verstrekkingen van gemeenten—23 Ervaringen van afnemers met verstrekkingen van de SVB—25 Ervaringen van afnemers met de verstrekkingen van het UWV—25 Conclusie m.b.t. ervaringen van afnemers—26 Bijlage 1: Bijlage 2: Bijlage 3:

Gebruikte afkortingen—27 Aansluitprotocol GeVS, bedoeld in artikel 6.5 van de Regeling SUWI—29 Door gemeenten genoemde organisaties aan welke informatie verstrekt wordt op individuele basis

Pagina 3 van 33


Pagina 4 van 33


1

Samenvatting en conclusies

Deze nota beschrijft de bevindingen van een onderzoek naar de elektronische verstrekking van gegevens vanuit het SUWI-domein aan organisaties buiten SUWI. Om de privacy van cliënten binnen de sociale zekerheid zo goed mogelijk te waarborgen, heeft de wetgever een zogenoemd gesloten verstrekkingenregime gecreëerd. Dit betekent dat gegevens op grond van de Wet SUWI en de Wbp tussen organisaties binnen het SUWI-stelsel mogen worden uitgewisseld. Maar gegevens van cliënten mogen in beginsel alleen aan organisaties buiten SUWI worden verstrekt als daar een uitdrukkelijke wettelijke grondslag of verplichting voor bestaat of als de cliënt daar toestemming voor heeft gegeven. Gegevensverstrekkingen vanuit het SUWI-domein aan partijen buiten dit domein zijn op te delen in de volgende categorieën. Verstrekking op gevalsniveau via de GeVS (Gezamenlijke elektronische Voorzieningen Suwi); Batchverstrekkingen buiten de GeVS om; Overige verstrekkingen op gevalsniveau; dit zijn uitwisselingen tussen professionals onderling, zowel geautomatiseerd als niet-geautomatiseerd, die mogelijk niet altijd geprotocolliseerd zijn. Inventarisatie kan daarom niet centraal plaatsvinden. Deze laatste vorm van gegevensverstrekking is geen object van onderzoek. De vraag die met dit het onderzoek wordt beantwoord, luidt: Wat is de uitvoeringspraktijk1 van de elektronische informatieverstrekking vanuit de SUWI-keten aan andere organisaties buiten de SUWI-keten en wat is de ervaring van de afnemers met het gebruik van deze informatie? Deze hoofdvraag is opgesplitst in de volgende deelvragen: 1. Aan welke organisaties worden welke gegevens elektronisch vanuit het SUWIdomein aan organisaties buiten het SUWI-domein verstrekt? 2. Welke waarborgen zijn getroffen om te zorgen dat de afnemer zorgvuldig met de gegevens omgaat? 3. Welke ervaringen hebben verstrekkers en afnemers van gegevens vanuit het SUWI-domein? Voor de tweede onderzoeksvraag is getoetst of de getroffen waarborgen voor verstrekkingen buiten GeVS om vergelijkbaar zijn met waarborgen die voor aansluiting op de GeVS gelden. Hierbij is het aansluitprotocol van de GeVS als referentie voor het toetsingskader gebruikt. Voor de beantwoording van de onderzoeksvraag is uitvraag gedaan bij in totaal 46 gemeenten, de SVB en het UWV. Door de centraal georganiseerde werkprocessen bij SVB en UWV kan aangenomen worden dat de bevindingen die op deze uitvoeringsorganen betrekking hebben landelijk van toepassing zijn. Dat geldt niet voor gemeenten. Daarvoor geven de bevindingen een beeld van de wijze waarop de onderzochte gemeenten de werkprocessen hebben ingericht, maar geen landelijk inzicht.

1

Met de uitvoeringspraktijk bedoelt de inspectie SZW de opzet en werking van gegevensverstrekking. Pagina 5 van 33


De verstrekkingen Zowel bij UWV als bij SVB worden veelvuldig batchgewijs gegevens verstrekt aan vele verschillende organisaties. Bij SVB zijn alle verstrekkingen geregistreerd en is er een centrale applicatie waarmee inzicht in alle verstrekkingen kan worden gegeven. Alle medewerkers hebben zicht op gegevensuitwisselingen. Bij UWV is er geen centrale applicatie waarmee inzicht in alle verstrekkingen kan worden gegeven. UWV Gegevens Diensten heeft centraal inzicht in bijna alle verstrekkingen maar een enkele verstrekking zou bij hen onbekend kunnen zijn. Uit het onderzoek is verder gebleken dat batchgewijze verstrekking van persoonsgegevens door gemeenten aan andere organisaties nauwelijks plaatsvinden. Verstrekkingen van persoonsgegevens op individueel niveau via de mail, telefonisch of in persoonlijk contact komen bij gemeenten wel vaker voor. De waarborgen Bij de SVB zijn alle verstrekkingen en de voorwaarden waaronder deze verstrekkingen plaats vinden centraal geregistreerd en toegankelijk. De SVB toets of voor verstrekkingen een wettelijke grondslag bestaat. Voor de twee verstrekkingen die in het verdiepend onderzoek zijn getoetst is dit ook door de inspectie vastgesteld. Met de pensioenuitvoerder is een overeenkomst afgesloten over de voorwaarden van verstrekking en onder welke voorwaarden de afnemer de gegevens mag gebruiken. Met betrekking tot het verkrijgen van waarborgen over het niet verder verstrekken van gegevens heeft de SVB besloten om uit te gaan van vertrouwen in de afnemers, geborgd door contacten met de afnemers, het nauw volgen van beveiligingsincidenten en te steunen op privacywetgeving UWV geeft aan dat voor elke verstrekking een overeenkomst bestaat waarin o.a. is opgenomen wat de wettelijke grondslag is voor de verstrekking en ook onder welke voorwaarden de afnemer de informatie mag gebruiken. In de standaardovereenkomst is ook een auditverplichting voor de afnemende partij opgenomen. UWV geeft aan dat het opvragen en beoordelen van de auditrapportages nog niet elk jaar plaatsvindt en dat hier sprake is van een groeimodel waarbij de balans wordt gezocht tussen effectiviteit en doelmatigheid. De afnemers Over het geheel zijn de geïnterviewde afnemers van gegevens vanuit het SUWIdomein tevreden met de verkregen informatie en de wijze waarom zij de gegevens ontvangen. Slotconclusies Batchgewijze verstrekking van persoonsgegevens aan andere organisaties worden nauwelijks gemeld door gemeenten. Verstrekkingen van persoonsgegeven op individueel niveau via de mail, telefonisch of in persoonlijk contact komen veel vaker voor. Dit sluit aan bij de inrichting van de gemeentelijke werkprocessen. Klantmanagers hebben interne- en externe contacten over hun klanten. Om die reden vindt de uitwisseling veelal op gevalsniveau plaats. Het feit dat gemeenten intensief gebruik maken van Suwinet onderschrijft deze conclusie. De inspectie heeft uit de interviews met gemeenten het beeld gekregen dat respondenten beperkingen ervaren in de dienstverlening als gevolg van de ervaren complexiteit van de privacywetgeving. Het kan zijn dat gemeenten (te) snel denken de Wbp en materiewetgeving te overtreden. Zowel door UWV als SVB worden veelvuldig elektronische gegevensverstrekkingen gedaan aan vele verschillende organisaties en is er op één punt in de organisatie Pagina 6 van 33


zicht op deze verstrekkingen. Beide organisaties leggen per verstrekking vast wat er wordt uitgewisseld, wat de wettelijke basis voor de uitwisseling is en onder welke voorwaarden de afnemer de verstrekte gegevens mag gebruiken. De wijze waarop de verstrekkingen periodiek worden beoordeeld, verschilt. UWV verplicht de afnemer tot een jaarlijkse audit op het gebruik van de door UWV geleverde gegevens. Hierbij geeft UWV aan deze rapportages niet standaard jaarlijks op te vragen. SVB beoordeelt het gebruik van door hen verstrekte gegevens via (minimaal jaarlijkse) gesprekken tussen accountmanagers en afnemers. Al de afnemers die zijn geïnterviewd geven aan tevreden te zijn over zowel de kwaliteit van als de communicatie rondom de gegevensverstrekkingen.

Pagina 7 van 33


Pagina 8 van 33


2

Inleiding

Deze nota beschrijft de bevindingen van een onderzoek naar de elektronische verstrekking van gegevens vanuit het SUWI-domein aan organisaties buiten SUWI. Het onderzoek is uitgevoerd in het kader van het programma Informatieprocessen van de directie Werk en Inkomen van de Inspectie SZW. Het onderzoek naar de elektronische verstrekking van gegevens vanuit het SUWI-domein aan organisaties buiten SUWI is één van de drie projecten waarop de rapportage over de informatieuitwisseling vanuit het SUWI-stelsel met aanpalende stelsels wordt gebaseerd. De andere twee projecten betreffen onderzoeken naar ‘bestandskoppelingen voor fraudebestrijding’ en ‘informatie-uitwisseling ten behoeve van dienstverlening aan exgedetineerden met meervoudige problematiek’. De uitvoeringsorganisaties SVB, UWV en gemeenten (Sociale Diensten) verwerken veel persoonsgegevens van cliënten. Dit zijn persoonsgegevens, die zowel van de klant zelf als van andere bronnen afkomstig zijn. Om de privacy van de cliënten binnen de sociale zekerheid zo goed mogelijk te waarborgen, heeft de wetgever een zogenoemd gesloten verstrekkingenregime gecreëerd. Dit betekent dat gegevens op grond van de Wet SUWI en de Wbp tussen organisaties binnen het SUWI-stelsel mogen worden uitgewisseld. Maar gegevens van cliënten mogen in beginsel alleen aan organisaties buiten SUWI worden verstrekt als daar een uitdrukkelijke wettelijke grondslag of verplichting voor bestaat of als de cliënt daar toestemming voor heeft gegeven. Context Veel instanties kunnen belang hebben bij het verkrijgen van gegevens uit de bestanden van de uitvoeringsorganisaties. Dat is bijvoorbeeld het geval wanneer uitvoeringsorganisatie samenwerken met andere partijen bij de zorg voor burgers met meervoudige problematiek. Gegevens uit uitkeringsbestanden kunnen ook van belang zijn om basisbehoeften of hulp- en zorgverlening, zoals Wmo-voorzieningen en schuldhulpverlening binnen het bereik van mensen te brengen. Het uitwisselen van gegevens tussen het SUWI-domein en organisaties buiten SUWI kan van belang zijn voor het effectief en efficiënt bedienen van de burger. Dit betekent dat de andere organisaties zelf niet meer hoeven uit te vragen en daarmee efficiënter kunnen werken. Dit leidt ook tot lastenverlichting voor de burger, omdat gegevens over hem slechts eenmaal hoeven te worden verzameld. De belanghebbenden bij deze gegevens zijn overheidsinstanties, zoals de politie, de afdeling gemeentelijke belastingen, waterschappen, gemeentelijke deurwaarders, reclassering, en private partijen, zoals pensioenfondsen, woningbouwverenigingen, incassobureaus en ziektekostenverzekeringsmaatschappijen. De grondslag voor alle uitwisselingen is het eerder genoemde gesloten verstrekkingenregime.2 Uitzonderingen op het gesloten verstrekkingregime zijn met name genoemd in het Besluit SUWI, bijvoorbeeld verstrekking van gegevens aan pensioenfondsen en re-integratiebedrijven. Binnen het SUWI-domein is de Wet eenmalige gegevensuitvraag (WEU) van toepassing. Deze Wet heeft tot doel gegevens die noodzakelijk zijn voor de dienstverlening aan de klant eenmaal uit te vragen en meervoudig te gebruiken. Deze wet geldt niet

2

Regeling SUWI, 21 december 2001, Stcrt. 2002, 2.

Pagina 9 van 33


voor organisaties buiten het SUWI-domein, als gevolg waarvan gegevens door deze organisatie opnieuw worden uitgevraagd. Uitwisseling van gegevens kan op diverse manieren plaatsvinden. Voor een deel zal dit plaatsvinden via uitwisseling op persoonsniveau (mondeling, schriftelijk, etc.) en voor een deel elektronisch. Voor de elektronische uitwisseling is het mogelijk dat partijen gebruik maken van de Gezamenlijke elektronische Voorziening SUWI (GeVS) die door BKWI wordt beheerd. Het verstrekken van batchgegevens valt buiten de dienstverlening van de GeVS. Dan kan elektronische uitwisseling via een andere weg, zoals via het Routerings Instituut (inter)Nationale Informatiestromen (RINIS), plaatsvinden. Ook de Stichting Inlichtingenbureau (IB) speelt een rol van belang bij gegevensuitwisseling. Als sectorloket zorgt het IB er onder andere voor dat individuele gemeenten zo weinig mogelijk lastig worden gevallen met informatieverzoeken van organisaties buiten de sector van werk en inkomen, waaronder ook andere gemeentelijke afdelingen worden verstaan. Het Inlichtingenbureau stelt onder andere gegevens beschikbaar aan gerechtsdeurwaarders, aan het Landelijk Bureau Inning Onderhoudsbijdragen (Lbio), aan Regionale Meld- en Coördinatiefunctie (RMC’s) in het kader van voortijdig schoolverlaten en aan gemeentelijke afdelingen belasting in het kader van geautomatiseerde kwijtschelding. Uitwisseling van gegevens via de GeVS wordt alleen toegestaan wanneer hiervoor een overeenkomst is gesloten tussen de verstrekkende SUWI-partijen en de ontvangende andere partij. Er dient een wettelijke grondslag voor de gegevensverstrekking te zijn en er moet worden voldaan aan het aansluitprotocol GeVS (zoals bedoeld in artikel 6.5 van de Regeling SUWI). De gegevens die door SUWI-partijen via de GeVS worden verstrekt zijn vermeld in de berichtenindex van het SUWI-gegevensregister3 De globale werkwijze bij informatieverstrekkingen via GeVS is als volgt:

Bronhouder (SUWI)

Verstrekkingen via GeVS

Afnemer (nietSUWI)

Verstrekkingen op andere elektronische wijze

Verstrekkingen op overige wijze

Voor het gebruik van SUWI-gegevens via GeVS wordt een aansluitprotocol gehanteerd. Hierin wordt beschreven op welke wijze deze partijen aansluiten op de GeVS. Het aansluitprotocol voorziet in de normen die de wet aan leveranciers en afnemers stelt om informatie onderling uit te wisselen. Hierin komen ook zaken als doelbinding en beveiliging aan de orde.

3

SGR 7.0 Deel 1 Bijlage 2 Berichtenindex. Pagina 10 van 33


De afnemers dienen, eventueel via BKWI, een verzoek in bij de SUWI-organisaties die bronhouder zijn van de gegevens. De bronhouders toetsen het verzoek aan de wettelijke vereisten (besluit SUWI). Na toestemming, wordt door BKWI nagegaan of aansluiting op GeVS mogelijk is. Indien dit niet mogelijk is dan meldt BKWI dit bij de bronhouder en wordt een andere weg voorgesteld: bijvoorbeeld een batchgewijze overdracht van gegevens. Indien een aansluiting GeVS mogelijk is dan volgt aansluiting door BKWI. Overeenkomsten worden getekend en afnemers worden geautoriseerd. Het aansluitprotocol is in nauw overleg met het ministerie van SZW tot stand gekomen en wordt in dit onderzoek als professionele standaard gehanteerd. Uitgangspunt voor de inspectie is dat voor elektronische verstrekkingen buiten GeVS om vergelijkbare waarborgen gelden als voor verstrekkingen die via GeVS verlopen. Immers, als aan deze waarborgen wordt voldaan, voldoet men aan de wettelijke vereisten. Voor informatieverstrekkingen op andere elektronische wijze geldt dat deze ook zal moeten voldoen aan de wettelijke vereisten. Voor deze categorie zijn geen uitvoeringsregels gegeven en is er geen protocol voorgeschreven zoals dit wel het geval is voor de verstrekkingen via GeVS. Voor het onderzoek wordt het aansluitprotocol GeVS als referentie voor het toetsingskader genomen Samenvattend onderscheiden we een drietal vormen van gegevensuitwisselingen: 1. Verstrekking op gevalsniveau via de GeVS, te inventariseren bij BKWI; 2. Batchverstrekkingen buiten de GeVS om, te inventariseren bij uitvoeringsorganisaties en gemeenten; 3. Overige verstrekkingen op gevalsniveau; dit zijn uitwisselingen tussen professionals onderling, zowel geautomatiseerd als niet-geautomatiseerd, die mogelijk niet altijd geprotocolliseerd zijn. Inventarisatie kan daarom niet centraal plaatsvinden.

2.1

Probleemstelling Voor een goede dienstverlening met zo min mogelijk lasten voor burgers en uitvoerders wordt informatie uitgewisseld over de burger. Dit gebeurt onder bepaalde voorwaarden die in de wet zijn vastgelegd. Het gaat om privacy gevoelige informatie die alleen door die functionarissen gebruikt mag worden die het daadwerkelijk voor het uitoefenen van hun wettelijke taak nodig hebben. De burger moet erop kunnen vertrouwen dat zijn gegevens, die hij verplicht aan de overheid verstrekt, in veilige handen zijn. Hiertoe zijn in de wet diverse voorwaarden voor het mogen uitwisselen van gegevens opgenomen. Een deel van de elektronische verstrekking vindt plaats via de GeVS, een groter deel vindt echter plaats buiten de GeVS om. Het gaat dan bijvoorbeeld om koppelingen via een (web)portaal of het uitwisselen van bestanden via de mail, CD en dergelijke. Een volledig beeld van welke gegevens door welke organisaties worden uitgewisseld en op welke manier dat gebeurt, ontbreekt, vooral van de gegevens die niet via GeVS worden uitgewisseld. Ook is niet bekend welke maatregelen voor verstrekkingen buiten GeVS worden getroffen om te borgen dat afnemers zorgvuldig met verstrekte gegevens omgaan. Ook is niet helder welke voordelen elektronische verstrekkingen voor de afnemers met zich meebrengen en of er daarbij eventuele belemmeringen worden ondervonden.

Pagina 11 van 33


2.2

Doel en reikwijdte

2.2.1

Doel De inspectie beoogt met dit onderzoek bij te dragen aan de verbetering van de gegevensverstrekking aan organisaties en ketens buiten het SUWI-domein, door een beeld te geven van: de gegevens die vanuit het SUWI-domein aan organisaties buiten het SUWI domein elektronisch worden verstrekt; of er voor deze verstrekkingen vergelijkbare waarborgen, zoals opgenomen in het aansluitprotocol GeVS zijn opgenomen, zijn getroffen; welke voordelen afnemers buiten de SUWI-domein van deze gegevens hebben en welke kwaliteitseisen zij stellen; en welke eventuele belemmeringen in de uitvoeringspraktijk worden ervaren.

2.2.2

Reikwijdte onderzoek Elektronische en niet-elektronische verstrekkingen op gevalsniveau door middel van uitwisseling van professionals onderling zijn niet meegenomen in dit onderzoek. Dit vergt een andere onderzoeksmethodiek en aanvullende capaciteit. Dergelijke verstrekkingen zijn wel als ‘bijvangst’ in het onderzoek aangetroffen en in deze nota opgenomen. Het onderzoek naar waarborgen richt zich op batchverstrekkingen buiten GeVS om.

Pagina 12 van 33


3

Onderzoeksopzet en methode

3.1

Onderzoeksvraag De centrale vraag van dit onderzoek luidt: Wat is de uitvoeringspraktijk4 van de elektronische informatieverstrekking vanuit de SUWI-keten aan andere organisaties buiten de SUWI-keten en wat is de ervaring van de afnemers met het gebruik van deze informatie? Deze centrale vraag is in de volgende deelvragen te splitsen: 1.

Aan welke sectoren worden welke soort gegevens elektronisch vanuit het SUWI-domein aan organisaties buiten het SUWI-domein verstrekt? Met deze vraag beoogt de inspectie inzicht te geven aan welke sectoren gegevens worden verstrekt, om welke soort gegevens het gaat en hoe deze worden verstrekt. De inspectie heeft signalen dat het grootste deel van de gegevensverstrekkingen plaatsvindt buiten de GeVS. De gegevens via GeVS zijn geprotocolleerd zodat er zekerheid bij de leveranciers bestaat over de privacy en veiligheid van de gegevens. Dit betekent dat voor een groot deel van de gegevensverstrekkingen die zekerheid niet bestaat, maar feitelijk wel dezelfde wettelijke bepalingen op grond van de Wet bescherming persoonsgegevens gelden. Met de beantwoording van deze vraag geeft de inspectie tevens inzicht in de omvang van deze onzekerheid.

2.

Welke waarborgen zijn getroffen om te zorgen dat de afnemer zorgvuldig met de gegevens omgaat? Aangezien de inspectie veronderstelt dat het aantal verstrekkingen buiten GeVS aanzienlijk is, wil de inspectie met beantwoording van deze vraag inzicht geven in hoeverre de waarborgen die zijn getroffen aan de eisen van zorgvuldigheid voldoen. Dit houdt in dat ook voor deze verstrekkingen de wettelijke bepalingen moeten zijn gevolgd. Daarbij is eveneens van belang dat de inspectie inzicht geeft hoe de uitvoeringsorganisatie de verstrekkingen regelmatig evalueren door bijvoorbeeld het uitvoeren van audits.

3.

Welke ervaringen hebben verstrekkers en afnemers van gegevens vanuit het SUWI-domein? Met beantwoording van deze vraag geeft de inspectie inzicht in de ervaringen van de verstrekkers en afnemers met verstrekken en ontvangen van gegevens. Daarbij inventariseert de inspectie wat goed gaat en wat nog voor verbetering vatbaar is zowel voor verstrekkers als uitvoerders. Dit kan gaan over de techniek, maar ook over de communicatie en het gebruik van gegevens.

4

Met de uitvoeringspraktijk bedoelt de Inspectie SZW de opzet en werking van gegevensverstrekking. Pagina 13 van 33


3.2

Toetsingskader Het toetsingskader spitst zich toe op deelvraag 2: Welke waarborgen zijn getroffen om te zorgen dat de afnemer zorgvuldig met de gegevens omgaat en dus conform de Wbp, wet SUWI, en materiewetten handelt? De overige deelvragen zijn inventariserend van aard en worden daarom niet getoetst. Gezien het inventariserende karakter van het onderzoek heeft de inspectie gekozen voor een normenkader op een redelijk hoog abstractieniveau. In de eerste plaats wordt getoetst of de verstrekkers zorg dragen voor waarborgen. Hierbij gaan we er vanuit dat er in elk geval afspraken, procedures etc. zijn vastgelegd, waarin genoemde waarborgen worden beschreven. Als deze ontbreken, leidt dit tot een negatief oordeel. Als de waarborgen er wel zijn wordt het aansluitprotocol dat gehanteerd wordt bij het GeVS gebruikt als referentietoetsingskader. Het aansluitprotocol is een operationalisering van de normen uit de relevante wet- en regelgeving. De door verstrekkers geformuleerde waarborgen voor verstrekkingen buiten de GeVS om moeten vergelijkbaar zijn met de waarborgen genoemd in dit aansluitprotocol. Dit betekent dat het volgende toetsingskader wordt gehanteerd: 1. Alle elektronische verstrekkingen worden centraal geregistreerd. 2. Voor alle elektronische verstrekkingen gelden waarborgen die vergelijkbaar zijn met de waarborgen die voor de GeVS zijn getroffen. Voorbeelden hiervan zijn: - De verstrekking is wettelijk toegestaan. - Voor iedere verstrekking worden schriftelijke afspraken gemaakt en in contracten vastgelegd. - Er zijn toereikende waarborgen voor privacy en beveiliging aanwezig, zoals het niet doorleveren van gegevens en een adequate inrichting van de beveiliging. - Er wordt een jaarlijkse verantwoording opgesteld die vergelijkbaar is met de verantwoording over het gebruik van Suwinet. 3. Alle elektronische verstrekkingen worden periodiek beoordeeld en geëvalueerd bijvoorbeeld door middel van audits.

3.3

Methodiek Voor het beantwoorden van deelvraag 1 zijn telefonische interviews gehouden met 46 gemeenten. Met UWV en SVB zijn interviews ter plaatse gehouden en zijn documenten en/of systemen bestudeerd. Indien de geselecteerde gemeente samenwerkt met andere gemeenten binnen een Intergemeentelijke Sociale Dienst (ISD) is de desbetreffende ISD geïnterviewd. Voorafgaand aan het telefonische interview is een vragenlijst verstuurd. Aan de hand van deze vragenlijst is het interview gehouden. Bij UWV en SVB zijn landelijk uniforme werkprocessen ingericht. Om die reden zijn geen lokale vestigingen door de inspectie benaderd. De verstrekkingen van informatie van deze organisaties naar organisaties buiten SUWI worden op centraal niveau uitgevraagd. Bij UWV en SVB is gesproken met die personen die zich met verstrekkingen bezig houden. Het gaat dan om accountmanagers, (beleids)juristen en informatiemanagers. Bij gemeenten is expliciet gevraagd naar die functionaris die zich bezighoudt met verstrekkingen van SUWI gegevens. Gedurende het interview is bij deze functionarissen geverifieerd of zij zicht (zouden moeten) hebben op alle verstrekkingen die vanuit het SUWI-domein vanuit hun gemeenten plaatsvinden. Pagina 14 van 33


Voor het beantwoorden van deelvraag 2 zijn in de telefonische interviews ook vragen gesteld die betrekking hebben op diverse elementen uit het toetsingskader zoals dat voor deelvraag 2 door de inspectie is geformuleerd. Deze vragen geven inzicht in de vraag of er waarborgen zijn getroffen. Om dit inzicht te onderbouwen en naar aanleiding van deze deelvraag een conclusie te kunnen formuleren zijn op basis van de resultaten van de inventarisatie twee batchverstrekkingen van UWV en twee batchverstrekkingen van SVB geselecteerd voor nader onderzoek. De inspectie heeft op basis van de interviews en documentanalyse de getroffen waarborgen beoordeeld. Voor het beantwoorden van deelvraag 3 zijn interviews gehouden met een selectie van 8 afnemers van verstrekkingen. Bij het bepalen van het aantal gemeenten is rekening gehouden met enerzijds de afspraken in het kader van de toezichtbelasting (zo weinig mogelijk) en anderzijds de wens om een zo volledig mogelijke inventarisatie te bereiken. Niet de gemeenten maar de informatieverstrekkingen zijn object van onderzoek. Het aantal te selecteren gemeenten moest voldoende waarborg bieden dat we met de vragenlijst de meest voorkomende informatieverstrekkingen (en dus afnemers) in beeld zouden krijgen. Bij de selectie van gemeenten is rekening gehouden met een spreiding naar grootteklasse. Na de inventarisatie heeft de inspectie bij SVB en UWV uit de meest genoemde soorten verstrekkingen (aan pensioenuitvoerders, Belastingdienst, waterschappen, etc.) aselect twee verstrekkingen, die niet via GeVS verlopen, geselecteerd. Bij UWV bleek tijdens het verdiepende onderzoek één van deze verstrekkingen toch via GeVS te gaan, waarmee deze buiten de scope van het onderzoek is gevallen. Als grote afnemer van informatie van gemeenten is ook het Centraal Bureau voor de Statistiek (CBS) geïnterviewd. Alle gemeenten zijn verplicht bepaalde gegevens aan het CBS te leveren waarmee het CBS statistieken maakt. Uit de resultaten van de inventarisatie bij de 23 onderzochte gemeenten bleek dat bij de geïnterviewde gemeenten slechts enkele batchgewijze gegevensverstrekkingen (buiten de wettelijk verplichte verstrekkingen) worden gemeld. Dit was een niet verwacht resultaat. Het aantal gemeenten is echter niet geselecteerd om generaliseerbare kwantitatieve uitspraken te doen over het vóórkomen van verstrekkingen. Als gevolg van de gekozen opzet van het onderzoek kunnen we dus op grond van de bevindingen bij 23 gemeenten geen betrouwbare uitspraken doen over het vóórkomen van verstrekkingen van het onderzoek. De mogelijkheid bestaat dat voor het onderzoek toevalligerwijs juist die gemeenten zijn geselecteerd die geen batchverstrekkingen doen. De resultaten zouden een vertekend landelijk beeld kunnen geven. Om een uitspraak te kunnen doen over het vóórkomen van verstrekkingen moet een grotere steekproef getrokken moeten worden. Om die reden hebben we aanvullend 23 gemeenten benaderd om beter inzicht te krijgen in de soort elektronische informatieverstrekkingen en of het inderdaad gaat om een zeer beperkt aantal. Ook hierbij is rekening gehouden met een spreiding naar grootteklasse van de gemeente. Met deze uitbreiding van het aantal geïnterviewde gemeenten tot in totaal 46 kan een betrouwbaarder beeld worden gegeven van het aantal batchgewijze verstrekkingen van persoonsgegevens door gemeenten.

Pagina 15 van 33


Pagina 16 van 33


4

Resultaten

4.1

Inventarisatie elektronische verstrekkingen

4.1.1

Verstrekkingen via GeVS SUWI-organisaties verstrekken via GeVS op gevalsniveau informatie aan partijen buiten het SUWI-stelsel ten behoeve van het digitale klantdossier (DKD). Gebruikers buiten de keten van werk en inkomen zijn SIOD, IND, CAK, Dienst Justis (V&J), deurwaarders, CVZ, Inspectie SZW, RMC en Interventieteams. In het SUWIgegevensregister is vastgelegd welke gegevens door welke organisaties worden geleverd.

4.1.2

Verstrekkingen van gemeenten De inspectie heeft in het onderzoek bij 46 gemeenten navraag gedaan naar de elektronische verstrekkingen van persoonsgegevens aan organisatie buiten het SUWIdomein. Slechts enkele gemeenten zeggen batchgewijs en elektronisch persoonsgegevens uit het SUWI-domein aan organisaties buiten het SUWI-domein te verstrekken. Overigens leveren alle gemeenten informatie aan de niet SUWI-partijen CBS en de Belastingdienst. In één geval werd door een gemeente een batchgewijze verstrekking aan de gemeentelijke belastingdienst genoemd. Het betreft hier informatie die met behulp van een lokaal vervaardigd Excel-bestand wordt verstrekt, waarmee van de daarvoor in aanmerking komende WWB-klanten de gemeentelijke belastingen automatisch kunnen worden kwijtgescholden. Een verklaring voor het feit dat deze uitwisseling door de inspectie niet vaker is aangetroffen is dat het Inlichtingenbureau (IB) juist voor deze uitwisseling een voorziening heeft ontwikkeld: de geautomatiseerde kwijtscheldingstoets. Hiermee kan de gemeentelijke belastingdienst een bestand van personen aanleveren aan IB waarna het IB toetst of deze personen recht hebben op kwijtschelding door gegevens uit te wisselen met het UWV, de Rijksdienst voor het wegverkeer en de Belastingdienst. Volgens het IB maken ongeveer 300 gemeenten gebruik van deze functionaliteit. Om in aanmerking te komen voor automatische kwijtschelding gelden wel een aantal voorwaarden. Personen moeten in elk geval eenmaal handmatig om kwijtschelding hebben verzocht, in het voorgaande jaar ook recht hebben gehad op automatische kwijtschelding én toestemming hebben gegeven voor geautomatiseerde toetsing. Uitwisseling van het bestand vindt plaats tussen het IB en de gemeentelijke belastingsdienst en dus buiten de gemeentelijke sociale dienst om. Een andere batchgewijze verstrekking van persoonsgegevens betreft die aan ziektekostenverzekeraars, Deze werd door 12 gemeenten genoemd. Veel gemeenten in Nederland bieden, in samenwerking met een door de gemeente te kiezen ziektekostenverzekeraar, hun burgers korting aan op deelname aan een collectieve (aanvullende) ziektekostenverzekering. Een voorwaarde is dat de burger een inkomen heeft dat lager is dan een door de gemeente te bepalen bedrag, bijvoorbeeld 110% van de bijstandsnorm. Pagina 17 van 33


De gemeente neemt vaak de meerkosten van de aanvullende verzekering geheel of gedeeltelijk voor haar rekening. Deze voorziening geldt als bijzondere bijstand, en is mogelijk op grond van artikel 35, zesde lid van de WWB. Zowel de gemeente als de ziektekostenverzekeraar heeft er belang bij om periodiek te controleren of de verzekerden nog voldoen aan de voorwaarden voor de collectieve verzekering. Voor dit onderzoek is bij één gemeente nagegaan op welke manier deze controle plaatsvindt en welke persoonsgegevens hierbij zijn betrokken. Maandelijks, of in voorkomend geval ad hoc wordt er door de gemeente een mutatie overzicht gestuurd van personen van wie de verzekering onder het collectief beëindigd dient te worden. Dit gebeurt door middel van een Excel sheet en per mail. Het gaat hier om namen, adressen en burgerservicenummer De gemeente heeft de wettelijke verplichting om deze gegevens te verstrekken. Dat is geregeld in artikel 67, eerste lid, onderdeel d van de WWB. De afspraken tussen de gemeente en de ziektekostenverzekeraar zijn vastgelegd in een schriftelijke overeenkomst. In deze overeenkomst is onder andere opgenomen dat partijen zich verplichten om de persoonsgegevens te verwerken met inachtneming van de Wet bescherming persoonsgegevens. Andere waarborgen dan deze zijn niet getroffen. De gemeente geeft aan dat andere waarborgen ook niet nodig zijn, omdat er voldoende vertrouwen is dat de ziektekostenverzekeraar zorgvuldig omgaat met de persoonsgegevens. Sommige gemeenten gaven aan mee te werken aan acties van charitatieve instellingen. Voorbeelden hiervan zijn het verstrekken van kerstpakketten aan minima en reisjes of vakantiekampen voor kinderen tegen gereduceerd tarief. De gemeenten die dit noemden verzorgen in deze gevallen zelf de mailing en verstrekken geen persoonsgegevens aan de desbetreffende instellingen. In eerder onderzoek concludeerde de inspectie al dat organisaties aangaven zeer terughoudend te zijn met het verstrekken van gegevens die in het kader van SUWI zijn verzameld, maar heeft dit toen niet verder onderzocht.5 Met het gegeven dat veel gemeenten aangeven geen elektronische verstrekkingen van persoonsgegevens aan organisaties buiten SUWI te doen en het beeld van de inspectie dat gemeenten geen goede centrale registratie van verstrekkingen hebben die wel plaatsvinden is het beantwoorden van de tweede deelvraag, naar waarborgen, voor gemeenten niet mogelijk. De ervaringen van afnemers van de enig genoemde verstrekking en de wettelijk verplicht te leveren informatie door gemeenten aan CBS worden wel beschreven. Hoewel het geen onderdeel uit maakte van het onderzoek geven veel gemeenten uit zich zelf aan dat ze wel verstrekkingen doen op individueel niveau, via email, telefoon of persoonlijk contact. De ‘meest’ voorkomende niet-batchgewijze verstrekkingen zijn Schuldhulpverlening, Re-integratiebedrijven en gemeentelijke belastingdeurwaarder. Andere genoemde organisaties aan wie gegevens worden verstrekt zijn opgenomen in bijlage 3. Het door gemeenten genoemde doel van de verstrekkingen is in de meeste gevallen dienstverlening aan de burger. Door het verstrekken van persoonsgegevens hoeft de burger zijn gegevens niet opnieuw aan te leveren aan de desbetreffende organisatie.

5

Transparante verwerking van persoonsgegevens in het SUWI-domein, Inspectie Werk en Inkomen, november 2011. Pagina 18 van 33


4.1.3

Verstrekkingen van SVB SVB levert informatie aan zowel overheids- als private organisaties zoals pensioenuitvoerders, de belastingdienst, CBS (Centraal Bureau voor de Statistiek), CAK, CVZ (College voor Zorgverzekeringen) en DUO (Dienst Uitvoering Onderwijs). Bij elkaar gaat het om meer dan honderd verstrekkingen. Alle gegevensuitwisselingen die de SVB doet worden vastgelegd in een applicatie: Data Uitwisselings Service Applicatie (DUSA). Deze applicatie is de laatste jaren in eigen beheer vervaardigd, en geeft de medewerkers van de SVB inzicht in de gegevensuitwisselingen. Het merendeel van de gegevensuitwisselingen die plaatsvinden door de SVB wordt gecoördineerd door de sectie externe gegevensuitwisseling. Enkele verstrekkingen worden door andere directies gedaan, zo levert de directie F&C gegevens aan het CBS. Echter ook deze verstrekkingen zijn opgenomen in DUSA. Uitgangspunt is dat alle verstrekkingen hierin zijn opgenomen. Hiermee geeft DUSA inzicht in alle verstrekkingen binnen de SVB waarbij diverse gegevens van de verstrekkingen worden getoond zoals: -

Ingangsdatum uitwisseling Einddatum uitwisseling Status (lopend, in behandeling of beëindigd Externe partij(en) waarmee uitwisseling plaatsvindt Accountmanager(s) Soort uitwisseling (inkomend, uitgaand) Domein Uitwisselingsmedium (veelal via RINIS, uitwisseling per CD wordt afgebouwd) Classificatie Grondslag Frequentie Indicatie CBP Soort gegevens Volumes

SVB heeft inmiddels ook een eigen portal, de SVB-safe, een beveiligde omgeving waar gegevens voor afnemers worden klaargezet en die met behulp van een gebruikersnaam en wachtwoord kunnen worden opgehaald. De SVB geeft aan dat het voor medewerkers op lokale kantoren niet mogelijk is om bestanden met gegevensuitwisselingen aan te maken. De kans dat vanuit lokale vestigingen batchgewijs gegevens worden verstrekt die bij de centrale organisatie niet bekend zijn wordt nihil geacht. Voor twee verstrekkingen heeft de Inspectie SZW een verdiepend onderzoek gedaan. Van deze verstrekkingen zijn ook onderliggende stukken bekeken en zijn de afnemers geïnterviewd. Hieruit blijkt dat duidelijk is gespecificeerd welke informatie precies wordt uitgewisseld. Een onderzochte verstrekking betreft een wettelijk verplichte verstrekking vanuit SVB over gemoedsbezwaarden. Sinds 1 januari 2006 (de invoeringsdatum van de zorgverzekeringswet) is de SVB de enige authentieke bron voor het vaststellen voor gemoedsbezwaardheid. Met deze verstrekking wordt ontheffing van de verzekeringsplicht als gevolg van één of meer sociale verzekeringswetten op grond van gemoedsbezwaarden bepaald. Met behulp hiervan kan worden bepaald dat gemoedsbezwaarden een bijdrage vervangende belasting betalen. De verstrekking vindt maandelijks via RINIS plaats.

Pagina 19 van 33


De andere verstrekking behelst een verstrekking van bewijzen van in leven zijn (Attestatie de Vitae) van in het buitenland woonachtige pensioengerechtigden aan de uitvoerder van een pensioenregeling. Deze verstrekking vindt in principe eenmaal per jaar plaats (maar op verzoek van afnemer kan dit vaker) en geschiedt door middel van het portaal van de SVB (SVB Safe).

4.1.4

Verstrekkingen van UWV UWV levert informatie aan zowel overheids- als private organisaties. Rondom de keten van werk en inkomen wordt informatie verstrekt aan o.a. de Sociale Verzekeringsbank en gemeentelijke sociale diensten. Daarnaast wordt ook informatie geleverd aan andere overheidsorganisaties zoals het CBS, de IND en het CAK. Ook aan diverse soorten particuliere bedrijven verstrekt UWV informatie. Hierbij kan worden gedacht aan verzekeraars, arbodiensten, pensioenuitvoerders en re-integratiebedrijven. Bij elkaar gaat het om enkele honderden verstrekkingen. Binnen UWV is UWV Gegevens Diensten (UGD) verantwoordelijk voor het verzamelen, beheren en leveren van gegevens over lonen, uitkeringen en arbeidsverhoudingen van alle verzekerden in Nederland. Deze gegevens worden door werkgevers en uitkeringsinstanties via de Belastingdienst aan UWV geleverd en opgeslagen in de zogenoemde polisadministratie. Tevens heeft UWV de wettelijke verplichting om gegevens rondom werk en inkomen beschikbaar stellen aan het publieke domein en de private sector. Ook dat is de verantwoordelijkheid van UGD. Alle gegevensuitwisselingen die plaatsvinden door UWV vinden dus plaats onder verantwoordelijkheid van UGD. Een aantal verstrekkingen wordt uitgevoerd door een andere directie dan UGD, deze geschiedt echter altijd onder verantwoordelijkheid van UGD. UGD heeft ook deze verstrekkingen getoetst en opgenomen in de registratie. UGD geeft aan centraal inzicht te hebben in de verstrekkingen, maar sluit niet uit dat sporadisch een verstrekking buiten de registratie van UGD om plaatsvindt. UGD schat dat 99% van alle batchgewijze elektronische verstrekkingen bij hen bekend zijn. Ook geeft men aan dat de mogelijkheden om buiten UGD om bestanden te maken over gegevens van UWV zeer beperkt zijn. Registratie van de verstrekkingen binnen UWV vindt plaats in diverse systemen. Er is geen centrale applicatie waarmee inzicht in alle verstrekkingen kan worden gegeven.

4.1.5

Conclusie m.b.t. verstrekkingen Zowel bij UWV als bij SVB worden veelvuldig batchgewijs gegevens verstrekt aan vele verschillende organisaties. Bij SVB zijn alle verstrekkingen geregistreerd en is er een centrale applicatie waarmee inzicht in alle verstrekkingen kan worden gegeven. Alle medewerkers hebben zicht op gegevensuitwisselingen. Bij UWV is er geen centrale applicatie waarmee inzicht in alle verstrekkingen kan worden gegeven, maar worden de verstrekkingen vastgelegd in verschillende applicaties. UWV Gegevens Diensten heeft hierdoor wel centraal inzicht in bijna alle verstrekkingen, maar een enkele verstrekking zou bij hen onbekend kunnen zijn. De resultaten duiden er op dat batchgewijze verstrekking van persoonsgegevens door gemeenten aan andere organisaties buiten SUWI nauwelijks plaatsvindt. VerPagina 20 van 33


strekkingen van persoonsgegeven op individueel niveau via de mail, telefonisch of in persoonlijk contact komen veel vaker voor.

4.2

Waarborgen

4.2.1

Waarborgen bij SVB Een totaaloverzicht van alle verstrekkingen van SVB is te vinden in DUSA. Per verstrekking kan hier worden bekeken onder welke voorwaarden etc. deze plaats vindt. In DUSA staan linkjes naar de eigenlijke stukken zoals contracten, procesbeschrijvingen, etc. Deze stukken zelf staan op een gezamenlijke centrale schijf die door medewerkers van de sectie Externe Gegevensuitwisseling benaderd kan worden. De SVB geeft aan dat voor alle verstrekkingen die zij doet er een wettelijke grondslag is. Voor de twee door de Inspectie SZW onderzochte verstrekkingen geldt dat voor de wettelijke verstrekking van gemoedsbezwaarden er geen contract is. Dit is ook logisch aangezien de verstrekking plaatsvindt op basis van een wettelijke verplichting. Hierover is door de directie Juridische Zaken van SVB een document opgesteld waarin duidelijk de wettelijke grondslagen naar voren komen. Voor de verstrekking aan de pensioenuitvoerder geldt dat hier een overeenkomst voor is afgesloten tussen SVB en de afnemer. Hierin staat omschreven onder welke voorwaarden de verstrekking plaatsvindt en onder welke voorwaarden de afnemer de gegevens mag gebruiken. Met betrekking tot het verkrijgen van waarborgen met betrekking tot het niet verder verstrekken van gegevens door de ontvanger heeft de SVB besloten dat er wordt uitgegaan van vertrouwen in de afnemers. De SVB kent zijn afnemers en heeft regelmatig contacten met ze. Ook volgt de SVB de ontwikkelingen en incidenten met betrekking tot informatiebeveiliging. Als er signalen zijn dat zaken niet in orde zijn dan zal de SVB hierop reageren. SVB ziet er bewust van af om accountantsverklaringen te vragen. Het gaat om meer dan driehonderd uitwisselingen. Privacywetgeving is ook van toepassing op de afnemers en dat biedt voldoende vertrouwen. De accountmanagers van SVB spreken de afnemers minimaal eenmaal per jaar en zeggen een goed beeld te hebben van het gebruik van de gegevens door de afnemers. Overigens is in de contracten met afnemers wel een paragraaf opgenomen waarin expliciet is aangegeven voor welke doeleinden de gegevens gebruikt mogen worden. Voor wat betreft de wijze van levering van de informatie geeft de SVB aan dat voor afnemers die zijn aangesloten op RINIS dit het voorkeurskanaal is, gevolgd door uitwisseling via de SVB Safe (het SVB portaal). Uitwisselingen via andere (fysieke) media wil men afbouwen ten faveure van de eerste twee genoemde vormen. Deze vormen zijn goed in te richten en te beveiligen.

4.2.2

Waarborgen bij UWV In de IGAD (Instructie Gegevensverstrekkingen Aan Derden) zijn de procedures rondom gegevensverstrekkingen vastgelegd. UGD laat jaarlijks door een extern accountant een controle onderzoek uitvoeren naar de mate waarin zij het proces rondom het verkrijgen en beheren van gegevens ten behoeve van gegevensleveringen en het verstrekken van gegevensleveringen aan het UWV en haar ketenpartners beheerst. Uitkomst van de meest recente audit is dat dit het geval is. UWV geeft aan dat aanvragen voor verstrekkingen vanuit UWV aan derden grofweg volgens de volgende procedure plaatsvindt: Pagina 21 van 33


-

Klanten kunnen informatieverzoeken doen aan UGD; Een dergelijk verzoek wordt vastgelegd in het CRM pakket; Vervolgens vindt een informatieanalyse plaats en wordt een voorlopige overeenkomst opgesteld; - Deze overeenkomst wordt getoetst door een beleidsjurist; - Vervolgens wordt de overeenkomst vastgelegd en teruggekoppeld met de aanvrager; - Na akkoord wordt gestart met de bouw van de verstrekking en wordt het product opgeleverd; - Alle verstrekkingen worden gelogd en gemonitord. Naast externe audits, worden de processen van Gegevensdiensten ook onderworpen aan interne audits. Vastlegging van de verstrekkingen vindt op diverse plaatsen plaats: - De gegevensuitwisseling is op veldniveau vastgelegd in een berichtspecificatie die is opgenomen in een communicatie gegevensmodel, deze is gekoppeld met het UWV Gegevens Register (UGR). Op deze wijze zijn verstrekkingen te volgen via diverse ingangen zoals op veld en op afnemer. - Vastlegging van contracten geschiedt in een contractadministratie. - Vastlegging van de daadwerkelijke verstrekkingen vindt plaats door middel van monitoring en logging. UWV geeft aan dat voor elke verstrekking een overeenkomst bestaat waarin o.a. is opgenomen wat de wettelijke grondslag is voor de verstrekking en ook onder welke voorwaarden de afnemer de informatie mag gebruiken. In de standaardovereenkomst is ook een auditverplichting voor de afnemende partij opgenomen. Dit betekent dat de afnemer, op eigen kosten, jaarlijks een audit moet laten uitvoeren op het gebruik van de van UGD ontvangen informatie. Het rapport van deze audit kan door UWV worden opgevraagd. Voor twee verstrekkingen heeft de inspectie SZW een verdiepend onderzoek gedaan en ook onderliggende stukken bekeken. Voor een Pensioenfonds is er een getekende leveringsovereenkomst. Hierin staat o.a. een bepaling dat de afnemer zich verplicht jaarlijks een auditverslag op te stellen over de wijze waarop uitvoering is gegeven aan de wettelijke grondslag en doelbinding over de door UGD geleverde gegevens. UWV is gerechtigd dit auditverslag op te vragen bij de afnemer. UWV geeft aan dat het opvragen en beoordelen van de auditrapportages een nog vrij nieuwe stap in het proces is waarbij niet elk jaar een auditrapportage wordt opgevraagd. Het pensioenfonds is daarom nog niet terug te vinden in die cyclus. Ter illustratie heeft UWV van een andere verstrekking een door UWV bij de afnemer opgevraagde auditrapportage verstrekt. Hieruit blijkt dat de afnemer zich, conform de voorwaarden uit het Auditreglement van UGD, afdoende verantwoord over het gebruik van de door UGD verstrekte gegevens. De tweede verstrekking betreft een gegevensverstrekking aan een belastingsamenwerkingsverband ten behoeve van het kunnen leggen van derdenbeslag. Dit derdenbeslag wordt namens een Waterschap uitgevoerd door het Belastingsamenwerkingsverband en geschiedt via de Gemeenschappelijke elektronische Voorzieningen Suwinet (GeVS). Ook voor deze verstrekking is een getekende overeenkomst aangetroffen. Omdat deze verstrekking via de GeVS geschiedt, valt deze buiten de scope van dit onderzoek. In een eerder van UWV ontvangen overzicht verstrekkingen stond bij deze verstrekking genoemd dat deze verloopt via CD/DVD. Daarom is deze verstrekking gekozen voor een verdiepend onderzoek, wat achteraf ten onrechte bleek. Pagina 22 van 33


Voor wat betreft de wijze van uitwisselen geeft UGD aan dat men dit zoveel als mogelijk probeert te doen via het UWV portaal, waarbij het bestand door UWV hier wordt neergezet, waarna de klant het eraf kan halen. Voor selectiebestanden is het mogelijk dat de klant eerst bijvoorbeeld de personen (BSN-nrs) op dit portaal aanlevert, UWV op basis hiervan het selectiebestand aanmaakt en op dit portaal klaarzet. Voor partners die via RINIS communiceren is RINIS het voorkeurskanaal. Uitwisseling via fysieke media (zoals cd-rom) wordt zoveel mogelijk afgebouwd.

4.2.3

Conclusie m.b.t. waarborgen Alle verstrekkingen van SVB en onder welke voorwaarden deze verstrekkingen plaats vinden zijn centraal geregistreerd en toegankelijk. Voor alle verstrekkingen is volgens SVB een wettelijke grondslag. Voor de twee verstrekkingen die in het verdiepend onderzoek zijn getoetst is dit ook door de inspectie vastgesteld. Met de pensioenuitvoerder is een overeenkomst afgesloten over de voorwaarden van verstrekking en onder welke voorwaarden de afnemer de gegevens mag gebruiken. Met betrekking tot het verkrijgen van waarborgen over het niet verder verstrekken van gegevens wordt uitgegaan van vertrouwen in de afnemers. UWV geeft aan dat voor elke verstrekking een overeenkomst bestaat waarin o.a. is opgenomen wat de wettelijke grondslag is voor de verstrekking en ook onder welke voorwaarden de afnemer de informatie mag gebruiken. In de standaardovereenkomst is ook een auditverplichting voor de afnemende partij opgenomen. UWV geeft aan dat het opvragen en beoordelen van de auditrapportages nog niet elk jaar wordt opgevraagd. Aan het door de inspectie gehanteerde toetsingskader (afgeleid van het GeVS) wordt door zowel UWV als SVB voldaan. Wel geven beide organisaties een eigen invulling aan dit toetsingskader. Beide organisaties hebben de verstrekkingen centraal in beeld en beide stellen eisen aan de afnemer voor wat betreft het gebruik van de aan hen verstrekte gegevens. De wijze waarop de verstrekkingen periodiek worden beoordeeld verschilt. UWV verplicht de afnemer tot een jaarlijkse audit op het gebruik van de door UWV geleverde gegevens. Hierbij geeft UWV aan deze rapportages niet standaard jaarlijks op te vragen. SVB beoordeelt het gebruik van door hen verstrekte gegevens via (minimaal jaarlijkse) gesprekken tussen accountmanagers en afnemers.

4.2.4

Ervaringen van afnemers met verstrekkingen van gemeenten Eén van de door de Inspectie onderzochte verstrekkingen vanuit een gemeente betreft een verstrekking die wordt gedaan door een samenwerkingsverband van gemeenten aan de gemeentebelastingen. Hiermee kunnen van daarvoor in aanmerking komende WWB klanten de gemeentelijke belastingen automatisch worden kwijtgescholden. De afnemer geeft aan volledig tevreden te zijn met zowel de wijze van verstrekking (een Excel-bestand dat via de e-mail wordt verstuurd), de kwaliteit van de gegevens (“altijd in orde”) en de manier van communiceren met de verstrekker (“gaat prima zowel telefonisch als via de mail”). Overigens geeft zowel de gemeentelijke belastingdienst als het samenwerkingsverband aan dat er nooit alternatieven voor de verstrekkingen zijn verkend. Bij diverse gemeenten in dit samenwerkingsverband vinden al meer dan 20 jaar soortgelijke verstrekkingen plaats in het kader van kwijtschelding gemeentelijke belastingen. Dit is zo gegroeid. Er heeft dan ook geen formele afweging plaatsgePagina 23 van 33


vonden op welke wijze de informatieverstrekking plaats zou moeten vinden en er is geen formele overeenkomst tussen de gemeente en de afnemer. Een andere grote afnemer van verstrekkingen van gemeenten is het Centraal Bureau voor de Statistiek (CBS). Alle gemeenten in Nederland leveren wettelijk verplichte informatie aan het CBS, ten behoeve van de volgende statistieken: Uitkeringen Debiteuren Fraude Re-integratie Alle gegevens worden op persoonsniveau, dus inclusief BSN geleverd. Over te leveren gegevens wordt periodiek overlegd met het ministerie van Sociale Zaken en Werkgelegenheid, softwareleveranciers en een representatieve groep gemeenten. Bij het overleg met de softwareleveranciers zijn KING en SVB ook vertegenwoordigd. Daarnaast vindt met Divosa periodiek overleg plaats over beleidsaspecten. In een convenant tussen het CBS en de VNG zijn de afspraken over de te leveren gegevens en het gebruik hiervan vastgelegd. Dit is vastgelegd in de zogenoemde gemeentelijke machtiging. Afhankelijk van het gebruikte softwarepakket, de inrichting bij de betreffende gemeente, de grootte van de gemeente en de soort statistiek worden gegevens volledig geautomatiseerd uit bestaande bestanden gehaald en/of handmatig ingevuld. In het algemeen kan worden gesteld dat gegevens rond uitkeringen en debiteuren volledig geautomatiseerd worden vervaardigd, terwijl bij de fraudestatistiek in een aantal gevallen gegevens door gemeenten handmatig worden in- en/of aangevuld. Gegevens worden sinds twee jaar over een beveiligde verbinding via het internet aan het CBS verstuurd, dit werkt goed, volgens het CBS. Gegevens komen bij het CBS in een aparte omgeving terecht waar deze op kwaliteit worden gecontroleerd. Indien problemen met de levering en/of kwaliteit worden geconstateerd wordt gerappelleerd en/of contact met de betreffende gemeente opgenomen. Het proces en de gebruikte infrastructuur worden periodiek door een auditteam van het CBS beoordeeld. Hierbij wordt zowel gekeken naar kwaliteitaspecten als het VIR (Voorschrift Informatiebeveiliging Rijksoverheid). Bepalende statistieken zoals uitkeringen worden jaarlijks beoordeeld. De levering van gegevens voor uitkeringen en debiteuren verloopt al langere tijd probleemloos. Gegevens worden volledig aangeleverd en kunnen goed worden verwerkt. Indien de set gegevens wijzigt kunnen er een aantal problemen optreden maar deze worden in het algemeen snel opgelost. Rond de fraudestatistiek is een aantal problemen met betrekking tot de gegevensverzameling geconstateerd. Deze hebben voornamelijk betrekking op de gebruikte definities. Hierdoor verschillen de gegevens te veel om hier een betrouwbare statistiek op te baseren. De statistiek wordt dan ook al enige tijd niet meer gepubliceerd. Bij de re-integratiestatistiek spelen vergelijkbare problemen in mindere mate. Hiervoor worden een aantal wijzigingen doorgevoerd. Met betrekking tot de onderzochte verstrekking van persoonsgegevens aan ziektekostenverzekeraars geeft de verzekeraar aan tevreden te zijn met de wijze van inPagina 24 van 33


formatieverstrekking door de gemeente. Bij onduidelijkheden wordt telefonisch of per e-mail overlegd met de casemanager van de desbetreffende klant. De medewerker van de ziektekostenverzekeraar gaf aan zeer zorgvuldig met gegevens van verzekerden om te gaan. In de organisatie is hier veel aandacht voor. Gegevens over verzekerden die worden verkregen van de gemeente worden niet gebruikt voor andere doelen dan het aangaan of beëindigen van een verzekeringsovereenkomst.

4.2.5

Ervaringen van afnemers met verstrekkingen van de SVB De afnemers van de bij SVB nader onderzochte verstrekkingen zijn gesproken. Het gaat hier om een zorgverzekeraar en een pensioenfonds. De zorgverzekeraar ontvangt van SVB het bestand met gemoedsbezwaarden (waar SVB de wettelijke registratiehouder van is) en stellen hiermee vast of de bij hen als gemoedsbezwaard aangemelde verzekerden dit ook daadwerkelijk zijn. Ook fungeert deze verzekeraar als sectoraal aanspreekpunt. Dit houdt in dat zij via RINIS het bestand doorzenden naar de rest van de sector (via het College voor zorgverzekeringen: CVZ) die zo heffingen kan vaststellen. Deze functie gaat op termijn naar het CVZ. De afnemer geeft aan tevreden te zijn over zowel de kwaliteit van de geleverde informatie als de wijze waarop met SVB wordt gecommuniceerd. Hoewel het een wettelijk verplichte levering vanuit SVB betreft geeft de afnemer aan dat er wel behoefte bestaat aan een contractvorm. Men wil hier met de SVB overleggen zodra het CVZ zelf als sectoraal aanspreekpunt gaat fungeren. Het pensioenfonds ontvangt van de SVB informatie over bewijzen van het in leven zijn van in het buitenland wonende pensioengerechtigden die bij het pensioenfonds zijn aangesloten. Hiertoe stuurt het pensioenfonds een bestand van deze populatie aan de SVB waarna SVB dit bestand verrijkt met informatie die bij hen bekend is over deze personen (uiteraard voor zover dit binnen de afspraken valt). De verstrekking geschiedt via het portaal van de SVB (de SVB safe). De afnemer is tevreden over zowel de kwaliteit van de gegevens, de wijze van verstrekking en de manier waarop met SVB gecommuniceerd wordt. De afnemer heeft wel eens een verzoek gedaan aan SVB om meer informatie te mogen ontvangen, het gaat dan bijvoorbeeld om informatie om klanten van de afnemer binnen en buiten Nederland te kunnen opsporen (als het adres bij de afnemer niet bekend is) en informatie of klanten van afnemer een uitkering van SVB ontvangen die geschorst is (kan op mogelijke fraude duiden, dus ook met het pensioen). SVB heeft aan de afnemer gemeld dat zij deze laatste informatie niet mogen leveren aangezien hier geen wettelijke grondslag voor is.

4.2.6

Ervaringen van afnemers met de verstrekkingen van het UWV Voor UWV is een afnemer (in plaats van twee) verder bevraagd. De niet bevraagde afnemer blijkt inmiddels gegevens uit te wisselen via de GeVS en valt hiermee buiten de scope van dit onderzoek. Van een andere afnemer, eveneens een pensioenfonds, is binnen de looptijd van dit onderzoek, geen reactie ontvangen. Van deze afnemer zijn echter wel ervaringen met betrekking tot de gegevensverstrekking door UWV bekend, doordat het pensiPagina 25 van 33


oenfonds heeft deelgenomen aan een klanttevredenheidsonderzoek van UGD. Dit geeft een positief beeld over UWV als gegevensleverancier. 4.2.7

Conclusie m.b.t. ervaringen van afnemers Over het geheel zijn afnemers van gegevens vanuit het SUWI-domein tevreden met de verkregen informatie en de wijze waarop zij de gegevens ontvangen. Volgens het CBS werkt het versturen van gegevens via beveiligde verbinding via het internet van gemeenten aan CBS goed. De levering van gegevens voor uitkeringen en debiteuren van gemeenten aan het CBS verloopt al langere tijd probleemloos. Rond de gegevensverzameling bij de fraudestatistiek en in mindere mate bij de reintegratiestatistiek is een aantal problemen met betrekking op de gebruikte definities geconstateerd. Hierdoor verschillen de gegevens te veel om hier een betrouwbare statistiek op te baseren. De beide afnemers van gegevens van SVB geven aan tevreden te zijn over zowel de kwaliteit van de geleverde informatie als de wijze waarop met SVB wordt gecommuniceerd. Het pensioenfonds is daarnaast ook nog tevreden over de wijze van verstrekking. Het pensioenfonds dat gegevens afneemt van UWV heeft deelgenomen aan een klanttevredenheidsonderzoek van UWV GegevensDiensten. Dit geeft een positief beeld over UWV als gegevensleverancier. De ziektekostenverzekeraar geeft aan dat de informatie die zij van de betreffende gemeente ontvangen voldoende is om verzekeringen voor cliënten in het kader van de collectieve overeenkomst af te sluiten of te beëindigen. De afnemer heeft geen suggesties voor verbetering.

Pagina 26 van 33


Bijlage 1

Gebruikte afkortingen AI Bibob BKWI CAK CBS CD CRM CVZ Divosa DUSA GeVS GGZ IB IGAD IGAD IND ISD MEE RINIS RMC SGBO SIOD SUWI SVB UGD UGD UWV Wbp WEU WWB

Arbeidsinspectie (per 1-1-2012 opgegaan in de Inspectie SZW). Wet bevordering integriteitsbeoordelingen door het openbaar bestuur Bureau Keteninformatisering Werk & Inkomen Centraal Administratiekantoor Centraal Bureau voor de Statistiek Compact disk Customer Relationship Management College voor zorgverzekeringen Nederlandse vereniging van gemeentelijke managers op het terrein van participatie, werk en inkomen Data Uitwisselings Service Applicatie, gebruikt door SVB. Gezamenlijke elektronische Voorzieningen Suwi Geestelijke Gezondheidszorg Inlichtingenbureau Instructie Gegevensverstrekkingen Aan Derden (UWV) Instructie Gegevensverstrekkingen Aan Derden, gehanteerd door UWV Immigratie- en Naturalisatiedienst Intergemeentelijke Sociale Dienst Organisatie voor gehandicaptenondersteuning Routerings Instituut (inter)Nationale Informatiestromen Regionale Meld- en Coördinatiefunctie voor registratie van voortijdig schoolverlaters Benchmarkorganisatie Sociale Inlichtingen- en Opsporingsdienst (per 1-1-2012 opgegaan in de Inspectie SZW). Structuur Uitvoering Werk en Inkomen Sociale Verzekeringsbank UWV Gegevensdiensten UWV Gegevens Diensten, een divisie van UWV Uitvoeringsinstituut WerknemersVerzekeringen Wet bescherming persoonsgegevens Wet eenmalige gegevensuitvraag werk en inkomen Wet Werk en Bijstand

Pagina 27 van 33


Pagina 28 van 33


Bijlage 2

Aansluitprotocol GeVS, bedoeld in artikel 6.5 van de Regeling SUWI Aansluitvoorwaarden en aansluitprocedures niet-SUWI-partijen op de gezamenlijke elektronische voorzieningen SUWI en ontsluiten nieuwe bronnen. 1. Inleiding Middels de wet eenmalige gegevensuitvraag werk en inkomen (Stb. 2007, 555) wordt in artikel 62, tweede lid, van de Wet SUWI de basis gelegd voor het gebruik van de Gezamenlijke elektronische Voorzieningen SUWI (GevS) door niet-SUWI-partijen voor de verwerking van gegevens. Het gebruik van de elektronische voorzieningen voor gegevensuitwisseling met derden, niet SUWI-partijen is nader uitgewerkt in het nieuwe artikel 5.23 van het Besluit SUWI. Artikel 6.5 van de regeling bepaalt dat in bijlage III bij deze regeling regels kunnen zijn opgenomen over de overeenkomst, als bedoeld in artikel 5.23, eerste lid, van het Besluit SUWI. Uitgangspunt bij aansluiting niet-SUWI-partijen is dat het gesloten verstrekkingregime SUWI gehandhaafd blijft. Kernvoorwaarde voor het gebruik van de gezamenlijke voorzieningen voor gegevensuitwisselingen met niet-SUWI-partijen is dat het verstrekken en verkrijgen van de gegevens wettelijk is toegestaan. In beginsel heeft het aansluiten van niet-SUWI-partijen betrekking op bestuursorganen. De voorwaarden kunnen echter ook betrekking hebben op andere organen met een wettelijke taak en gelden voor het ontsluiten van nieuwe bronnen via de GeVS. Voor het gebruik van de GeVS door niet-SUWI-partijen kunnen extra inspanningen worden verricht en kosten gemaakt door de beheerder. Deze kosten kunnen in rekening worden gebracht bij de nietSUWI-partij (de aanvrager). Gemeenten vallen onder het Aansluitprotocol en worden als niet-SUWI-partij beschouwd indien: het beoogde gegevensverkeer via de GeVS zal verlopen én het de uitvoering van taken betreft anders dan voortvloeiend uit de SUWI wet- en regelgeving. Het protocol is niet van toepassing op gegevensuitwisselingen tussen gemeenten, UWV, SVB en CWI en andere organisaties wanneer deze niet via de GeVS verlopen. Verder is geregeld dat een rechtspersoon gemeenten kan vertegenwoordigen bij het sluiten van een overeenkomst, zoals bedoeld in het Aansluitprotocol. Aansluiting op de GeVS vindt plaats in een aantal stappen. Zo wordt vastgesteld welke gegevens, door wie en voor welke taken mogen worden verwerkt en aan welke technische voorwaarden dat gebruik gekoppeld is. Deze bijlage beschrijft de volgende stappen: Paragraaf 2. Voorwaarden van aansluiting; Paragraaf 3. De aansluitstappen; Paragraaf 4. Standaardovereenkomst. 2. De Voorwaarden Aansluiting op de GeVS, moet aan de volgende voorwaarden voldoen. - Er dient een wettelijke grondslag aanwezig te zijn, waaruit volgt voor welk doel partijen welke gegevens mogen uitwisselen; - De aanvragende niet-SUWI-partijen conformeren zich aan de SUWIbeleidskaders, vastgelegd in bijlage I, genaamd ‘Stelselontwerp en beveiliging GeVS’ bij de Regeling SUWI; - De aansluiting van niet-SUWI-partijen en de ontsluiting van nieuwe bronnen wordt bevestigd in een overeenkomst. 3. De aansluitstappen De eerste stap is een overleg tussen aanvrager en leverancier over een beoogde Pagina 29 van 33


gegevensuitwisseling. Als door de aanvrager en de leverancier besloten wordt voor de betreffende gegevensuitwisseling van de GeVS gebruik te maken worden de volgende stappen gevolgd. De tweede stap omvat het formele verzoek van de aanvrager om van de GeVS gebruik te mogen maken. Een dergelijk verzoek kan ook afkomstig zijn van een of meerdere SUWI-partijen, die wensen dat een derde partij aansluit als afnemer of leverancier. Dit verzoek is gericht aan de beheerder van GeVS. De beheerder informeert de beoogde gegevens leverende partij(en) en – voorzover dit niet de verantwoordelijke in de zin van de Wetbescherming persoonsgegevens (WBP)voor die gegevensverwerking zijn – de verantwoordelijke over de aanvraag. Deze stap wordt afgerond met een toets op de wettelijke grondslag, uitgevoerd door de gegevens leverende partij(en). Daarbij wordt niet getoetst of dat orgaan aan de vereisten voldoet om de betreffende wettelijke taak uit te voeren. Dat is al getoetst door het bestuursorgaan dat de wettelijke taak aan het orgaan heeft toebedeeld. Wordt geconstateerd dat er een wettelijke basis voor de gegevenslevering aanwezig is, dan wordt de volgende stap gezet. De aanvraag wordt afgewezen indien de wettelijke basis ontbreekt. De derde stap is het beleggen van een bijeenkomst door de beheerder met alle betrokken partijen, uitmondend in een helder beschreven informatieanalyse, waarin is opgenomen welke gegevens, voor welke taak en welke processen worden gevraagd en op grond van welke wet- en regelgeving dit mogelijk is. Hierop wordt de technische invulling en de gegevensvulling van de beoogde aansluiting c.q. ontsluiting gebaseerd. Op basis hiervan wordt de inhoud van de te sluiten overeenkomst bepaald. Hierin wordt ten minste aangegeven welke rollen en autorisaties benodigd zijn en hoe aan de voorwaarden, genoemd in hoofdstuk 2 van dit protocol, zal worden voldaan. De vierde stap is de beoordeling of de beoogde ontsluiting van nieuwe bronnen c.q. de aanvraag tot gebruik van de GeVS tot overeenstemming leidt. Indienovereenstemming is bereikt wordt de overeenkomst gesloten. Het SUWI Gegevensregister wordt geactualiseerd op basis van de gesloten overeenkomst. Elk besluit wordt gemeld aan de Minister van SZW. Stap vijf betreft de daadwerkelijke aansluiting c.q. ontsluiting en het gebruik middels de GeVS. 4. Standaardovereenkomst Op grond van het nieuwe artikel 5.23 van het Besluit SUWI dient er een overeenkomst te worden gesloten tussen de aanvrager en de leverancier van gegevens. Onderstaand wordt het bepaalde in artikel 5.23 Besluit SUWI uitgewerkt. Er wordt een overeenkomst gesloten tussen de contractpartijen, zijnde de betrokken verantwoordelijken en de aanvrager, als ook de beheerder van de GeVS. SUWI-partijen kunnen zowel leverancier als afnemer zijn. In deze overeenkomst spreken de contractpartijen de volgende zaken af: a. hoe aan de eisen van hoofdstuk 2 van dit Aansluitprotocol wordt voldaan; b. op welke wijze het dienstverleningniveau als responsetijden, hersteltijden, mate van beschikbaarheid en integriteit van de techniek, (KetenSLA) wordt geregeld; c. welke rollen en autorisaties benodigd zijn; d. op welke wijze de eisen voortvloeiend uit de Wet bescherming persoonsgegevens worden nageleefd; e. hoe wordt omgegaan met wijzigingen. Het betreft wijzigingen ten gevolge van politieke besluitvorming, wijzigingen in gehanteerde standaarden en/of wijzigingen in verband met releasebeleid van de beheerder; f. op welke wijze de verantwoording wordt geregeld. Uitgangspunt is het vigerende verantwoordingsregime van de aanvrager. Afspraken over verantwoording aan de Pagina 30 van 33


registerhouder(s), van wiens gegevens gebruik wordt gemaakt, alsook mede beheerder kunnen in de overeenkomst worden opgenomen; g. dat doorlevering van gegevens is niet toegestaan; h. dat het beoogde gegevensverkeer in het SUWI Gegevensregister wordt beschreven; i. hoe met nieuwe deze eisen en wensen wordt omgegaan. Uitgangspunt is dat deze in de overeenkomst worden opgenomen; Indien gegevensleveranciers al (algemene) leveringsvoorwaarden hanteren, kunnen deze onderdeel uitmaken van de overeenkomst.

Pagina 31 van 33


Pagina 32 van 33


Bijlage 3

Door gemeenten genoemde organisaties aan welke informatie verstrekt wordt op individuele basis In willekeurige volgorde: Afdeling Leerplicht CAK Beheersorganisatie voor de Regiotaxi Waterleidingbedrijf SGBO Divosa MEE GGZ Politie en wijkagent Maatschappelijk werk Organisatie voor daklozen-opvang Schuldhulpverlening/Kredietbank Verslavingszorg Woningbouwvereniging Andere organisaties via Mens Centraal Financiële afdeling van een andere gemeente Mantelzorgorganisatie Vluchtelingenhulp Thuiszorgorganisatie Jeugdzorgorganisatie

Pagina 33 van 33

Elektronische verstrekking van gegevens vanuit het SUWI-domein aan organisaties buiten SUWI. Nota van bevindingen

Recommend Documents