f
i
1
«
~.
i
1
i \
L
-
i
~«›--««-›-
M
i
„
»
„
,i
er s
L;
;:*i-
ij.
ff
rr„ X
„.
.
„
B
>-
,
M
vr
ll
›
~
> Retouradres
I
§Snn<
=“P+
"*'^
i
«~--«~›~»Ã~~ .«›«»~
,,,,
._
„.
Ministerievan SocialeZakenen Werkgelegenheid
j „
Postbus 90801 2509 LV Den Haag
Het College van Burgemeester
en Wethouders van de gemeente Postbus 90801 2509 LV Den Haag Anna van Hannoverstraat T O70 333 44 44 F 070 333 40 33 www.rijksoverheid.n|
Contactpersoon
mw. mr. A. van Splunter T 06 1179 74 22
[email protected]|
Datum Betreft
Onze referentie
I
2013-0000166483
Informatiebeveiliging
Suwinet
door gemeenten
Bijlagen
Brief gemeenteraad
Geacht college, In juni 2012 heeft u een brief van toenmalig staatssecretaris De Krom ontvangen waarin hij aangeeft dat uit onderzoeklvan de Inspectie SZW is gebleken dat de beveiliging van persoonsgegevens die worden gebruikt voor de uitvoering van de sociale zekerheid bij een aantal gemeenten onvoldoende is. Aan u is gevraagd om na te gaan of de conclusies van de inspectie van toepassing zijn op uw gemeente en indien nodig passende maatregelen te treffen. In de brief is tevens een vervolgonderzoek naar de beveiliging van Suwinet door gemeenten aangekondigd. De inspectie SZW heeft recentelijk een vervolgonderzoek uitgevoerd naar de informatiebeveiliging van Suwinet door gemeenten. De door de inspectie aselect getrokken steekproef uit het totaal van gemeenten is representatief en kan derhalve worden doorvertaald naar het geheel van alle gemeenten. Uit het vervolgonderzoek van de inspectie is gebleken dat slechts 4% van de gemeenten bij het gebruik van Suwinet voldoende maatregelen hebben getroffen om de' vertrouwelijkheid van uitgewisselde gegevens te waarborgen. 13% van de gemeenten voldoet aan geen van de onderzochte normen. Een duidelijk signaal is dat de inspectie tijdens het onderzoek geconstateerd heeft dat 16% van de onderzochte gemeenten gegevens van bekende Nederlanders hebben geraadpleegd. Op vragen van de inspectie waarom dit is gebeurd, hebben deze geen plausibele verklaring kunnen geven. gemeenten
Ik stel vast dat met de eerder in gang gezette verbeteracties onvoldoende resultaat is bereikt. Mede gezien de decentralisaties en de daarmee samenhangende verdere toename van het aantal gegevensuitwisselingen is het noodzakelijk om nu de juiste stappen te zetten om de informatiebeveiliging bij gemeenten op het vereiste niveau te brengen. De burgers van uw gemeente moeten erop kunnen vertrouwen dat u zorgvuldig met hun gegevens omgaat. Dit betekent dat medewerkers via Suwinet alleen die gegevens mogen raadplegen die noodzakelijk zijn voor de uitvoering van een wettelijke taak in het domein werk en inkomen. 1
`Gegevensuitwisseling
WWB/WIJ', Inspectie Werk en Inkomen, december 2011. Pagina
1 van 3
4
ång
Er moet dus meer gebeuren om te borgen dat persoonsgegevens van burgers in de gemeenten zorgvuldig worden behandeld. Belangrijk vragen hierbij zijn: Heeft u beveiligingsbeleid of een beveiligingsplan waar het gaat om het gebruik van Suwinet? Wordt dat ook uitgedragen, geëvalueerd en formeel vastgesteld? ø Heeft u een formeel vastgelegde autorisatieprocedure met betrekking tot het verstrekken van toegang tot Suwinet? ~ Worden de door medewerkers verrichte opvragingen periodiek gecontroleerd? ø
Heeft u een security-officer benoemd die aan een collegelid over het gebruik van Suwinet?
rapporteert
Indien uw gemeente één van de 77 door de inspectie onderzochte gemeentenz is die niet voldoen aan de 7 onderzochte normen dan verwacht ik dat u direct maatregelen treft. Indien uw gemeente niet bij het onderzoek door de inspectie is betrokken, dan verwacht ik dat u direct nagaat of voldaan wordt aan de normen en dat u maatregelen treft indien dit niet het geval is. De VNG is bezig om een instrument voor zelfanalyse te ontwikkelen dat u kunt gebruiken om de stand van zaken in uw gemeente in kaart te brengen en uw maatregelen daarop af te stemmen.
Gezien de ernst van de conclusies van de inspectie heb ik het College Bescherming Persoonsgegevens (CBP) geïnformeerd over de resultaten. Het CBP heeft de mogelijkheid handhavend op te treden indien u niet voldoet aan de vereisten van de Wet bescherming persoonsgegevens. Mede afhankelijk van de ernst van de geconstateerde overtreding kan het CBP een dwangsom opleggen die ertoe moet leiden dat de overtreding wordt beëindigd.
Aan de inspectie heb ik gevraagd om in de eerste helft van 2015 te onderzoeken of de beveiliging van Suwinet bij gemeenten structureel op orde is.
Indien blijkt u dat u uw verantwoordelijkheid voor de beveiliging van Suwinet niet neemt zal ik genoodzaakt zijn om nadere maatregelen te treffen, zoals het tijdelijk opschorten van het leveren van gegevens via Suwinet. Een opschorting heeft gevolgen voor de dienstverlening aan uw burgers. Ik ga ervan uit dat u het niet zover laat komen. Dit mede gebaseerd op het feit dat de resolutie 'Informatieveiligheid, randvoorwaarde voor de professionele gemeente' tijdens de
2
De gemeenten die de inspectie heeft onderzocht en de individuele scores kunt u vinden in de Nota van Bevindingen die naar aanleiding van het onderzoek is opgesteld door de inspectie (www.insQectieszw.nl). Pagina 2 van 3
L
Datum C42
Dienstverlening zonder gegevensuitwisseling is praktisch niet meer mogelijk. Gegevensuitwisseling levert voorts een belangrijke bijdrage aan het bestrijden van fraude, het verminderen van de administratieve lasten en het verder verbeteren van de dienstverlening. Gegevensuitwisseling wordt ook steeds complexer. Alleen al in het domein werk en inkomen is in de maand oktober van 810.739 Nederlanders één of meer keer het Digitaal Klantdossier opgevraagd. Middels het Digitaal Klantdossier worden gegevens direct opgevraagd bij overheidsinstanties als de Belastingdienst, de GBA of het Kadaster. Deze overheidsinstanties vertrouwen erop dat u zorgvuldig met de door hen verstrekte gegevens omgaat.
bijzondere algemene ledenvergadering stemmen is aangenomen. Een afschrift van deze brief is verstuurd brief bij dit afschrift treft u hierbij aan.
van de VNG met bijna 95% van de
naar de gemeenteraad.
De begeleidende
Damm
1 @ met “ams e
Onze re eren
Tot slot: ik ga ervan uit dat een adequate informatiebeveiliging snel gemeengoed wordt en wens u daarbij veel succes. Het gaat tenslotte om de zorgvuldige bejegening van de gegevens van inwoners van uw gemeente. Met vriendelijke de
2°13'°°0°166483
groet,
Zaken Staatssecretat-,mv§p.››Söciale , `
en Werkgeleg
/if
'
..«f
Jetta Klijns-ma
„. .fføø
Pagina 3 van 3
1;
>
3
Ministerie van SocialeZaken en Werkgelegenheid
Retouradres Postbus 90801 2509 LV Den Haag
De leden van de gemeenteraad T.a.v. de griffier (adresgegevens)
van (gemeente) Postbus 90801 2509 LV Den Haag Anna van Hannoverstraat T 070 333 44 44 F 070 333 40 33 www.rijksoverheid.nl
'I|"'||'|'||'l'||"||"|"l
4
Contactpersoon
mw. mr. A. van Splunter T 06 1179 74 22
[email protected]
Datum
Betreft
Onze referentie 20l3~0000l66582
18 Beveiliging
Suwinet
door gemeenten
Bijlagen Brief aan college van burgemeester en wethouders
Geacht lid van de gemeenteraad, In deze brief vraag ik uw aandacht voor het gebruik van Suwinet door van de Wet Structuur uitvoeringsorganisatie Met de inwerkingtreding gemeenten. werk en inkomen (Wet SUWI) in 2002 is het mogelijk gemaakt dat UWV, de SVB Sociale Diensten digitaal gegevens met elkaar uitwisselen. Deze en Gemeentelijke vormgegeven via Suwinet was noodzakelijk om de gegevensuitwisseling met als oogmerk een doeltreffende en klantgerichte uitvoering samenwerking Sociale Diensten mogelijk te maken. Bij tussen UWV, de SVB en Gemeentelijke -
~
het tot stand komen van het digitaal klantdossier in 2008 is een gezet cloor het eenmalig vragen van gegevens aan burgers voor en inkomen wettelijk te regelen. Voor burgers werd het mogelijk digitaal aan te vragen, waarbij al bekende gegevens vooraf zijn
stap vooruit
het domein werk om uitkeringen ingevuld. Verder zijn voor de professionals via het Suwinet gaandeweg meer gegevens ontsloten. via Suwinet is in de periode 2008~2013 met circa 50% Het gegevensverkeer gegroeid. van Suwinet Uit onderzoek van de Inspectie SZW naar de informatiebeveiliging 4% bij dat slechts van de het gebruik gemeenten gebleken door gemeenten is vertrouwelijkheid om de getroffen maatregelen hebben van Suwinet voldoende 13% van de gemeenten voldoet aan van uitgewisselde gegevens te waarborgen. duidelijk signaal is dat de inspectie tijdens geen van de onderzochte normen. Een het onderzoek geconstateerd heeft dat 16% van de onderzochte gemeenten gegevens van bekende Nederlanders hebben geraadpleegd.
en wethouders in Nederland Ik heb daarom alle colleges van burgemeester aangeschreven en hen gevraagd om direct na te gaan of zij voldoen aan de 7 normen waar de Inspectie SZW het oordeel op heeft gebaseerd. Voldoet de gemeente niet aan één of meerdere normen dan verwacht ik dat er direct maatregelen worden getroffen. Ik roep u op om het college van B&W te vragen om inzicht te bieden in de stand van zaken en, indien van toepassing, stappen te zetten om de beveiliging van uit. Suwinet op orde te brengen. De VNG rolt hiertoe een verbeterplan Pagina 1 van 2
Tevens wil ik u vragen om er op toe te zien dat het college door middel van een aan uw raad transparantie biedt over de invulling van jaarlijkse verantwoording waaronder de beveiliging en aan informatieveiligheid, gesteld worden die de eisen bescherming van persoonsgegevens die via Suwinet worden verstrekt. Dit in lijn randvoorwaarde voor de professionele met de resolutie Informatieveiligheid, tijdens de BALV van de VNG op 29 gemeenten Nederlandse de die door gemeente is aangenomen. stemmen de van 95% bijna met november 2013
Datum
Q
onzereferentie 2U13'°°°0165582
uw controlerende taak met betrekking tot de Het gaat tenslotte om de zorgvuldige bejegening van de lnformatiebeveiliging. van uw gemeente. gegevens van inwoners Ik wens u veel
succesbij
_
"
Met vriendelijke groet, an Sociale Zaken de Staatssecretar' n 'd, en Werk el 1
1 1
1' -_
,..»»"”
__|w/___|____.. ,›/'
.-_'-"M
'züß
'
.e~i:t'á"l
Pagina 2 van 2
Ministerie van SocialeZaken en Werkgelegenheid
> Retouradres
Postbus 90801 2509 LV Den Haag
De leden van de gemeenteraad T.a.v. de griffier (adresgegevens)
van (gemeente) Postbus 90801 2509 LV Den Haag Anna van Hannoverstraat T 070 333 44 44 F 070 333 40 33 www.rijksoverheid.nl
4
Contactpersoon mw. mr. A. van Splunter
T 06 1179 74 22
[email protected]|
Onze referentie
Datum Betreft
1 Beveiliging
2013-0000166582
Suwinet
door gemeenten
Bijlagen Brief aan college van burgemeester en wethouders
Geacht lid van de gemeenteraad, In deze brief vraag ik uw aandacht voor het gebruik van Suwinet door van de Wet Structuur uitvoeringsorganisatie Met de inwerkingtreding gemeenten. werk en inkomen (Wet SUWI) in 2002 is het mogelijk gemaakt dat UWV, de SVB Sociale Diensten digitaal gegevens met elkaar uitwisselen. Deze en Gemeentelijke was noodzakelijk om de via Suwinet vormgegeven gegevensuitwisseling en klantgerichte uitvoering met als oogmerk een doeltreffende samenwerking maken. Bij te mogelijk Sociale Diensten Gemeentelijke de en SVB tussen UWV, het tot stand komen van het digitaal klantdossier in 2008 is een stap vooruit gezet door het eenmalig vragen van gegevens aan burgers voor het domein werk en inkomen wettelijk te regelen. Voor burgers werd het mogelijk om uitkeringen digitaal aan te vragen, waarbij al bekende gegevens vooraf zijn ingevuld. Verder -
-
zijn voor de professionals via het Suwinet gaandeweg meer gegevens ontsloten. via Suwinet is in de periode 2008-2013 met circa 50% Het gegevensverkeer gegroeid. van Suwinet Uit onderzoek van de Inspectie SZW naar de informatiebeveiliging door gemeenten is gebleken dat slechts 4% van de gemeenten bij het gebruik van Suwinet voldoende maatregelen hebben getroffen om de vertrouwelijkheid van uitgewisselde gegevens te waarborgen. 13% van de gemeenten voldoet aan geen van de onderzochte normen. Een duidelijk signaal is dat de inspectie tijdens het onderzoek geconstateerd heeft dat 16% van de onderzochte gemeenten gegevens van bekende Nederlanders hebben geraadpleegd.
en wethouders in Nederland Ik heb daarom alle colleges van burgemeester aangeschreven en hen gevraagd om direct na te gaan of zij voldoen aan de 7 normen waar de Inspectie SZW het oordeel op heeft gebaseerd. Voldoet de niet aan één of meerdere normen dan verwacht ik dat er direct gemeente worden getroffen. maatregelen
Ik roep u op om het college van B&W te vragen om inzicht te bieden in de stand van zaken en, indien van toepassing, stappen te zetten om de beveiliging van Suwinet op orde te brengen. De VNG rolt hiertoe een verbeterplan uit. Pagina
1 van 2
Datum åøé
Tevens wil ik u vragen om er op toe te zien dat het college door middel van een biedt over de invulling van aan uw raad transparantie jaarlijkse verantwoording de eisen die worden gesteld aan informatieveiligheid, waaronder de beveiliging en die via Suwinet worden verstrekt. Dit in lijn bescherming van persoonsgegevens randvoorwaarde voor de professionele met de resolutie Informatieveiligheid, die door de Nederlandse gemeenten tijdens de BALV van de VNG op 29 gemeente november 2013 met bijna 95% van de stemmen is aangenomen.
"j§Lå§_'i onzereferentie 2°13'°°°°166582
Ik wens u veel succes bij uw controlerende taak met betrekking tot de Het gaat tenslotte om de zorgvuldige bejegening van de informatiebeveiliging. gegevens van inwoners van uw gemeente. 44,?-.J/wv Met vriendelijke groet/L„„./f Sociale Zaken de Staatssecretaçisfvan en Werk el. en 'd L
M . Y Z
X
S
1 .. „___,_„
_
\
.__.«-
,M
_... 'm›__V___,_,.-«-
-*
4Jetta”`TZlijln'sm
Pagina
2 van 2
Ministerie van SocialeZakenen
Werkgelegenheid
Retouradres Postbus 90801 2509 LV Den Haag
>
Het College van Burgemeester
en Wethouders
van de gemeente Postbus 90801 2509 LV Den Haag Anna van Hannoverstraat
II
4
T 070 333 44 44 F 070 333 40 33
www.rijksoverheid.nl
Contactpersoon mw. mr. A. van Splunter T 06 1179 74 22
[email protected]
.
Onze
ry
Datum
1 3 Ušß
Betreft
Informatiebeveiliging
Suwinet
referentie .
(2013-0000166483
door gemeenten
Bijlagen Brief gemeenteraad
Geacht college,
In juni 2012 heeft u een brief van toenmalig staatssecretaris De Krom ontvangen waarin hij aangeeft dat uit onderzoek*van de Inspectie SZW is gebleken dat de beveiliging van persoonsgegevens die worden gebruikt voor de uitvoering van de sociale zekerheid bij een aantal gemeenten onvoldoende is. Aan u is gevraagd om na te gaan of de conclusies van de inspectie van toepassing zijn op uw gemeente en indien nodig passende maatregelen te treffen. In de brief is tevens een naar de beveiliging van Suwinet door gemeenten vervolgonderzoek aangekondigd. uitgevoerd naar de De inspectie SZW heeft recentelijk een vervolgonderzoek De door de inspectie aselect van Suwinet door gemeenten. informatiebeveiliging en kan getrokken steekproef uit het totaal van gemeenten is representatief Uit het derhalve worden doorveitaald naar het geheel van alle gemeenten. van de inspectie is gebleken dat slechts 4% van de gemeenten vervolgonderzoek bij het gebruik van Suwinet voldoende maatregelen hebben getroffen om de van uitgewisselde gegevens te waarborgen. 13% van de vertrouwelijkheid gemeenten voldoet aan geen van de onderzochte normen. Een duidelijk signaal is dat de inspectie tijdens het onderzoek geconstateerd heeft dat 16% van de
onderzochte gemeenten gegevens van bekende Nederlanders hebben geraadpleegd. Op vragen van de inspectie waarom dit is gebeurd, hebben deze gemeenten geen plausibele verklaring kunnen geven. Ik stel vast dat met de eerder in gang gezette verbeteracties onvoldoende resultaat is bereikt. Mede gezien de decentralisaties en de daarmee is het verdere toename van het aantal gegevensuitwisselingen samenhangende bij noodzakelijk om nu de juiste stappen te zetten om de informatiebeveiliging gemeenten op het vereiste niveau te brengen. De burgers van uw gemeente met hun gegevens omgaat. dat u zorgvuldig moeten erop kunnen vertrouwen alleen die gegevens mogen Dit betekent dat medewerkers via Suwinet van een wettelijke taak in zijn voor de uitvoering die noodzakelijk raadplegen het domein werk en inkomen. 1
`Gegevensuitwisse|ing
WWB/WIJ', Inspectie
Werk en Inkomen,
december 2011. Pagina 1 van 3
zonder gegevensuitwisseling is praktisch niet meer mogelijk. Dienstverlening Gegevensuitwisseling levert voorts een belangrijke bijdrage aan het bestrijden lasten en het verder van fraude, het verminderen van de administratieve Gegevensuitwisseling wordt ook steeds verbeteren van de dienstverlening. complexer. Alleen al in het domein werk en inkomen is in de maand oktober van 810.739 Nederlanders één of meer keer het Digitaal Klantdossier Middels het Digitaal Klantdossier worden gegevens direct opgevraagd. de GBA of het als de Belastingdienst, opgevraagd bij overheidsinstanties met de erop dat u zorgvuldig vertrouwen Kadaster. Deze overheidsinstanties door hen verstrekte
gegevens
Datum
J„.9..Dš§.„Zßi3 2013-0000166483
omgaat.
Er moet dus meer gebeuren om te borgen dat persoonsgegevens van burgers in de gemeenten zorgvuldig worden behandeld. Belangrijk vragen hierbij zijn: of een beveiligingsplan waar het gaat om het Heeft u beveiligingsbeleid gebruik van Suwinet? Wordt dat ook uitgedragen, geëvalueerd en formeel vastgesteld? met betrekking tot ø Heeft u een formeel vastgelegde autorisatieprocedure het verstrekken van toegang tot Suwinet? periodiek ~ Worden de door medewerkers verrichte opvragingen '
=
gecontroleerd? benoemd die aan een collegelid Heeft u een security-officer Suwinet? van gebruik het over
rapporteert
Indien uw gemeente één van de 77 door de inspectie onderzochte gemeentenz is die niet voldoen aan de 7 onderzochte normen dan verwacht ik dat u direct maatregelen treft. Indien uw gemeente niet bij het onderzoek door de inspectie is betrokken, dan verwacht ik dat u direct nagaat of voldaan wordt aan de normen en dat u maatregelen treft indien dit niet het geval is. De VNG is bezig om een instrument voor zelfanalyse te ontwikkelen dat u kunt gebruiken om de stand van zaken in uw gemeente in kaart te brengen en uw maatregelen daarop af te stemmen. Gezien de ernst van de conclusies van de inspectie heb ik het College (CBP) geïnformeerd over de resultaten. Het CBP Persoonsgegevens Bescherming heeft de mogelijkheid handhavend op te treden indien u niet voldoet aan de persoonsgegevens. Mede afhankelijk van de vereisten van de Wet bescherming kan het CBP een dwangsom opleggen die overtreding ernst van de geconstateerde wordt beëindigd. ertoe moet leiden dat de overtreding Aan de inspectie heb ik gevraagd om in de eerste helft van 2015 te onderzoeken of de beveiliging van Suwinet bij gemeenten structureel op orde is.
voor de beveiliging van Suwinet niet Indien blijkt u dat u uw verantwoordelijkheid neemt zal ik genoodzaakt zijn om nadere maatregelen te treffen, zoals het tijdelijk opschorten van het leveren van gegevens via Suwinet. Een opschorting aan uw burgers. Ik ga ervan uit dat u het heeft gevolgen voor de dienstverlening niet zover laat komen. Dit mede gebaseerd op het feit dat de resolutie randvoorwaarde voor de professionele gemeente' tijdens de 'Informatieveiligheid,
'
De gemeenten die de inspectie heeft onderzocht en de individuele scores kunt u vinden in de Nota van Bevindingen die naar aanleiding van het onderzoek is opgesteld door de inspectie (www.inspectieszw.n|). 2
Pagina 2 van 3
bijzondere algemene ledenvergadering is aangenomen. stemmen Een afschrift van deze brief is verstuurd brief bij dit afschrift treft u hierbij aan.
van de VNG met bijna 95% van de
naar de gemeenteraad.
De begeleidende
snel gemeengoed Tot slot: ik ga ervan uit dat een adequate informatiebeveiiiging zorgvuldige om de wordt en we_nsu daarbij veel succes. Het gaat tenslotte bejegening van de gegevens van inwoners van uw gemeente.
Datum
1Q
Onze referentie 2°13*°U00166483
groet, Met vriendelijke van„«S"ociale Zaken de Staatssecretaris en Werkgeleg
eidf/
.
I
„
2 F4
Jetta
šljjn-s-m'ä"'
Pagina 3 van 3