POSTADRES TEL
AAN
Postbus 93374, 2509 AJ Den Haag
070 - 381 13 00
FAX
070 - 381 13 01
BEZOEKADRES
E-MAIL
De Minister van Sociale Zaken en Werkgelegenheid
Prins Clauslaan 20
[email protected]
INTERNET
DATUM ONS KENMERK
www.cbpweb.nl
22 november 2001 z2001-1488
CONTACTPERSOON
UW BRIEF VAN UW KENMERK
ONDERWERP
Advies concept-ministeriële regeling SUWI Bij brief heeft u, mede namens de Staatssecretaris van Sociale Zaken en Werkgelegenheid, de heer B, het College bescherming persoonsgegevens (CBP) verzocht zijn oordeel te geven over de uitvoerbaarheid van de conceptregeling SUWI. Kader Ingevolge artikel 51, eerste lid, Wet bescherming persoonsgegevens (WBP) ziet het CBP toe op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. In het kader van deze toezichthoudende taak kan het CBP een oordeel uitspreken over de toepassing van andere wettelijke regelingen die betrekking hebben op of gevolgen hebben voor de verwerking van persoonsgegevens. Met de inwerkingtreding van de WBP op 1 september 2001 wordt uitvoering gegeven aan Richtlijn 95/46/EG. De verwerking van persoonsgegevens in het kader van de uitvoering van de regeling SUWI wordt integraal door deze richtlijn bestreken. Zij zal derhalve aan deze richtlijn moeten voldoen. Het CBP ziet zich wederom voor een zeer korte adviestermijn gesteld. Het zal zich daarom in het advies beperken tot de hoofdlijnen. Voor de meer gedetailleerde opmerkingen ten aanzien van de regeling en de verschillende bijlagen, wordt u verwezen naar de bijlage bij het advies. Suwinet In eerdere advisering heeft de Registratiekamer (het CBP is de rechtsopvolger van de Registratiekamer) de noodzakelijkheid benadrukt van specificering van de gegevenshuishouding binnen SUWI. Specificering leidt tot transparantie voor de geregistreerde (wat gebeurt er met mijn gegevens) maar verhoogt ook de mogelijkheid om effectief toezicht te houden op het gehele proces van verwerking. Het CBP is van oordeel dat het inrichten van een Suwinet en het ontwikkelen van een standaard-gegevensregister in hoge mate bijdragen aan de specificering van het gegevensverkeer binnen SUWI. Uit de toelichting bij de regeling begrijpt het CBP dat het beheer van centrale voorzieningen binnen Suwinet wordt belegd bij het CWI. Het CWI richt daartoe een afzonderlijke organisatorische eenheid in, het zogenaamde Bureau Keteninformatisering Werk en Inkomen. Het BKWI heeft tot taak om operationele taken rond ontwikkeling, beheer en onderhoud van gemeenschappelijke afspraken en voorzieningen te voeren. De vraag die het CBP hierbij stelt is of het BKWI als verantwoordelijke in de zin van artikel 1, onder d, WBP voor het functioneren van Suwinet moet worden aangemerkt. Tevens doet zich de vraag voor of op onderdelen bij de
BIJLAGEN BLAD
1
DATUM ONS KENMERK
22 november 2001 z2001-1488
verwerking van persoonsgegevens sprake is van medeverantwoordelijkheid van de overige Suwipartijen. Het CBP dringt aan op nadere uitwerking hieromtrent in de toelichting bij de regeling. Informatieverstrekking CWI, UWV, SVb aan de Minister en de IWI In de toelichting bij de regeling wordt uitgelegd dat de Minister (met het inbegrip van de IWI) “ten behoeve van de verschillende taken informatie nodig heeft: beleidsontwikkeling en –evaluatie; de aansturing van, het toezicht op en de bijsturing van de uitvoering en de verantwoording naar het parlement.” (conceptregeling SUWI, toelichting). Gesteld wordt dat de regeling van informatievoorziening in paragraaf 5.2.1. betrekking heeft op alle informatieverstrekking die in het kader van deze taken nodig is, voor zover deze niet reeds in de wet is geregeld. Als voordeel hiervan wordt genoemd dat een dergelijke integrale regeling de waarborg biedt dat afstemming plaatsvindt tussen de informatie die in het kader van verschillende functies wordt opgevraagd. Bovendien wordt voorkomen dat de uitvoeringsinstanties onnodig belast worden. Kern van de regeling is: • De uitvoeringsinstellingen houden een aantal basisgegevens beschikbaar voor de Minister en de Inspectie Werk en Inkomen (IWI); • De uitvoeringsinstellingen leveren periodiek een aantal rapportages en gegevensbestanden aan de Minister en de IWI; • De Minister en de IWI hebben de mogelijkheid om ad hoc informatie op te vragen. Het CBP heeft geconstateerd dat een deel van de informatie die aan de Minister stelselmatig of incidenteel kan worden verstrekt of door de Minister kan worden opgevraagd, persoonsgegevens betreft. Dit heeft tot gevolg dat de verstrekking van deze gegevens dient te voldoen aan de vereisten die de WBP daaraan stelt. Met name valt dan te denken aan de aanwezigheid van een geldige grondslag en de vereisten van doelbinding. Voorts dient verdere verwerking te worden getoetst aan de vereiste verenigbaarheid ingevolge artikel 9 WBP. Op de eerste plaats merkt het CBP op dat niet altijd duidelijk is of er sprake is van persoonsgegevens. In artikel 5.11 wordt bijvoorbeeld gesproken over basisgegevens. Uit de bijlagen II, IV en VI maakt het CBP op dat dit voor een deel persoonsgegevens betreffen. Bij het ontwerpen van de desbetreffende bepalingen is echter geen onderscheid gemaakt tussen de zwaardere eisen die de WBP stelt aan de verwerking van deze gegevens ten opzichte van gegevens die niet herleidbaar zijn tot personen. Ook artikel 5.14 is hier een voorbeeld van. In het eerste lid van dit artikel is neergelegd dat het CWI, het UWV en de SVb op verzoek van de Minister respectievelijk de IWI ‘informatie’ verstrekken aan personen of instanties die in zijn opdracht of met zijn instemming onderzoek of analyses uitvoeren. Ook hier luidt weer de vraag of hier om persoonsgegevens gaat, en zo ja, hoe wordt omgegaan met de eisen ingevolge de WBP. Idem dito geldt voor wat betreft artikel 5.14, derde lid. Het CBP is van oordeel dat de wettelijke bepalingen die verstrekking aan de Minister mogelijk maken in de huidige vorm ook toereikende grondslag ontberen en – mede daardoor bovendien onvoldoende specifiek zijn. Gespecificeerd dient te worden ten behoeve van welke publiekrechtelijke taak het noodzakelijk is dat de Minister persoonsgegevens ontvangt en op welke persoonsgegevens deze noodzaak betrekking heeft. Het zal zeker niet voor alle taken noodzakelijk zijn dat de Minister gegevens op persoonsniveau ontvangt. Ook dient er een duidelijk onderscheid gemaakt te worden tussen de gegevens die verstrekt worden aan de IWI in
BLAD
2
DATUM ONS KENMERK
22 november 2001 z2001-1488
het kader van haar toezichthoudende taak en de gegevens die aan de Minister worden verstuurd bijvoorbeeld ten behoeve van zijn beleidstaak. Voor beleidsdoeleinden zal op het niveau van de Minister doorgaans de verstrekking van persoonsgegevens niet een vereiste zijn. Vervolgens doet de vraag zich voor in hoeverre deze informatiebepalingen zich verhouden ten opzichte van de plannen van de Minister met betrekking tot het zogenaamde Knooppunt beleidsinformatie. In de toelichting wordt aangegeven dat: “De basisgegevensset met betrekking tot personen en werkgevers ook het sofi-nummer bevat. Het sofi-nummer dient zuiver en alleen om –ten behoeve van nadere beleidsanalyses- een relatie te kunnen leggen met gegevens die elders verzameld worden. Voor het koppelen van gegevens uit verschillende domeinen wordt bij het CBS een knooppunt beleidsinformatie ingericht.”(conceptregeling SUWI, toelichting). Uit telefonisch contact met een medewerker van uw Ministerie heeft het CBP begrepen, dat de regeling in paragraaf 5.2 zoals die er nu ligt geen betrekking heeft op het Knooppunt beleidsinformatie. Niet uitgesloten wordt echter dat het Knooppunt in de loop van de tijd op grond van de betreffende bepalingen gegevens zal gaan verzamelen. Voor het CBP is het op dit moment niet duidelijk hoe de betreffende bepalingen zich daadwerkelijk verhouden ten opzicht van de plannen rond het Knooppunt beleidsinformatie. Helderheid hieromtrent is geboden. Dit geldt temeer daar de Registratiekamer en haar opvolger het CBP het afgelopen jaar een aantal gesprekken gevoerd hebben met medewerkers van uw Ministerie en het CBS over het Knooppunt beleidsinformatie. De voorzitter van het CBP, heeft in het laatste gesprek met uw directeur A&O aangegeven dat de plannen rond het Knooppunt in de huidige vorm niet kunnen rekenen op de instemming van het CBP wegens het ontbreken van een voldoende inbedding in het stelsel van de WBP. Afgesproken is dat het Ministerie en het CBS de komende periode zich zullen beraden op de op- en aanmerkingen die het CBP heeft gemaakt. Het CBP adviseert u met klem thans geen bepalingen in werking te laten treden voordat de discussie over het Knooppunt beleidsinformatie is afgerond. Reïntegratie De Registratiekamer en haar opvolger het CBP hebben meerdere malen in de advisering ten aanzien van het wetgevingstraject rond SUWI en Poortwachter aandacht gevraagd voor de risico’s bij de overdracht van persoonsgegevens in het kader van reïntegratie en de kwetsbare positie waarin de te reïntegreren betrokkene verkeert. Keer op keer is in de adviezen de noodzaak benadrukt van specifieke regelgeving met betrekking tot de informatie-uitwisseling bij reïntegratie. Telkenmale is van uw zijde verwezen naar komende en hogere regelgeving waarin dit onderdeel zou worden uitgewerkt. Nu u aan het eind van het regelgevingsproces bent gekomen constateert het CBP dat u deze toezegging niet na bent gekomen. In de betreffende wetgeving worden echter telkens slechts op hoofdlijnen regels gesteld omtrent het gegevensverkeer en de bescherming van de persoonsgegevens bij reïntegratie. In het wetsvoorstel verbetering Poortwachter en de conceptregeling op grond hiervan, worden weliswaar regels gesteld ten aanzien van het gegevensverkeer in het eerste ziektejaar tussen werknemers/werkgevers en Arbo-diensten. Echter, niet is voorzien in regelgeving met betrekking tot het gegevensverkeer tussen bovengenoemde partijen en reïntegratie bedrijven en verzekeraars. Het CBP is van mening dat meer specifieke regelgeving noodzakelijk is, zowel ten aanzien van het gegevensverkeer bij
BLAD
3
DATUM ONS KENMERK
22 november 2001 z2001-1488
reïntegratie van uitkeringsgerechtigden als ook bij reïntegratie van werknemers in het eerste ziektejaar. Het CBP beschouwt dit als een ernstige omissie die naar zijn stellige verwachting de met de uitvoering van de regelgeving belaste instanties voor aanzienlijke problemen zal plaatsen. In dat verband verwijst het CBP naar de brief van de Registratiekamer aan het Lisv met betrekking tot uitvoeringsaspecten van de Wet Rea (Registratiekamer, z2000-0801, Den Haag mei 2001). Het CBP verneemt ook vanuit ‘het veld’ de roep om heldere regels. Een voorbeeld hiervan is een door Achmea geïnitieerde werkgroep. In deze werkgroep, waaraan reïntegratie bedrijven, Arbo-diensten en verzekeraars hebben deelgenomen, zijn de belangrijkste knelpunten geïnventariseerd die zich voordoen bij gegevensverstrekkingen in het eerste ziektejaar. Dit heeft geleid tot een rapport waarin een gedetailleerde beschrijving wordt gegeven van het gegevensverkeer tussen de bovengenoemde organisaties, de problemen die daarbij optreden en de mogelijke oplossingen. Dit rapport is in november door de werkgroep aan het CBP aangeboden. Dit rapport kan worden betrokken bij het opstellen van gedetailleerde regels betreffende de informatie-uitwisseling in het kader van reïntegratieprocessen. Nu duidelijk is geworden dat in de huidige wetgevings-concepten niet is voorzien in gedetailleerde regelgeving met betrekking tot de gegevensoverdracht bij reïntegratie, zal het CBP zich inzetten om te komen tot een stelsel van protocollen voor gestructureerd gegevensverkeer bij reïntegratie. Als voorbeeld hiervoor kan dienen het protocol over uitwisseling van informatie in het kader van ziekteverzuim dat is ontworpen door het Verbond van Verzekeraars en de brancheorganisatie van Arbo-diensten en dat de instemming heeft gekregen van de Registratiekamer. Beveiliging Suwinet In de ministeriële regeling is bepaald dat alle Suwi-partijen zorg moeten dragen voor een adequate beveiliging van de gegevensuitwisseling. De opzet van het beveiligingsstelsel is in een bijlage bij de ministeriële regeling vorm gegeven. Deze bijlage geeft een uitwerking van de normering waaraan Suwi-partijen zich qua beveiliging dienen te houden. Naast het algemene kader (uitgangspunten, organisatie, uitvoering, verantwoording en controle) van het beveiligingsstelsel gaat de bijlage gedetailleerd in op de gewenste betrouwbaarheidseisen voor de verschillende bedrijfsprocessen en functies van Suwinet en de specifieke normen waaraan de beveiliging van Suwinet en van de bedrijfsprocessen en functies van elk van de Suwi-partijen moeten voldoen. Het gedetailleerde normenstelsel is gebaseerd op de Code voor Informatiebeveiliging, aangevuld met de normen vanuit A&V 23 Beveiliging van persoonsgegevens, zoals uitgegeven door de Registratiekamer in april 2001. De opzet van het beveiligingsstelsel komt hiermee tegemoet aan de eisen van artikel 13 WBP die aan verantwoordelijken de verplichting opleggen om passende maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen. Belangrijk is de wijze van implementatie van de beveiligingsnormen door elk van de betrokken organisaties.
BLAD
4
DATUM ONS KENMERK
22 november 2001 z2001-1488
Het CBP hecht er aan een aantal opmerkingen te plaatsen bij de beveiliging van Suwinet. In de bijlage over beveiliging wordt terecht gesteld dat de beveiligingsmaatregelen rond de gegevensuitwisseling bij alle partijen van een gelijk niveau moet zijn. De achterliggende gedachte hierbij is dat de partij met de zwakste beveiliging het beveiligingsniveau van het geheel bepaalt. Ook de beveiliging van de eigen bedrijfsprocessen en systeemfuncties, voor zover deze een relatie hebben naar Suwinet, dient van een zelfde niveau van beveiliging te zijn. Voorbeelden hiervan zijn de mailmechanismen binnen het Inlichtingenbureau en de doorroutering bij de Uitvoeringsinstellingen van ongestructureerde meldingen. In het document wordt onvoldoende duidelijk gemaakt hoe een gelijk niveau van beveiliging gerealiseerd zal worden en wat de reikwijdte van deze bepaling is voor de verschillende Suwi-partijen. Daardoor bestaat het risico dat partijen elk een andere interpretatie en/of invulling aan het voorgeschreven normenstelsel geven. Dit klemt te meer daar elk van de partijen te maken krijgt met een eigen migratietraject van de huidige opzet van beveiligingsmaatregelen naar de in het kader van Suwinet gewenste situatie. De regeling vereist wel dat alle partijen in een plan aangeven hoe de uitwerking van de normering binnen de eigen organisatie wordt geïmplementeerd. Of en op welke wijze dit beveiligingsplan object van beoordeling dan wel toetsing is, wordt niet aangegeven. Ook in de verantwoording door partijen over beveiliging en het toezicht op de naleving van de beveiligingseisen zou meer en expliciet aandacht aan dit punt geschonken moeten worden. Voor de eerste implementatie van beveiligingsmaatregelen door elk van de partijen zou een meer gerichte toetsing, bijvoorbeeld in de vorm van een postimplementatie audit, overwogen kunnen worden. Dit klemt des temeer gelet op de in het eerste onderdeel van het advies gestelde vragen over de verantwoordelijkheid voor de verwerking van persoonsgegevens via het Suwinet. Uit oogpunt van beveiliging worden in de regeling expliciet de kwaliteitscriteria van informatie, beschikbaarheid, integriteit en vertrouwelijkheid genoemd. Vanuit het oogpunt van toezicht op de naleving is het belangrijk dat invulling wordt gegeven aan het kwaliteitscriterium controleerbaarheid. Indien bij de opzet van de beveiliging onvoldoende rekening wordt gehouden met de eisen van controleerbaarheid, waaronder het realiseren van een adequate audittrail, wordt controle achteraf op de feitelijke naleving bemoeilijkt, zo niet, voor sommige punten, onmogelijk gemaakt. Het verdient derhalve aanbeveling in de regeling en in de bijlage specifiek aandacht te besteden aan het kwaliteitsaspect controleerbaarheid. Toezicht op de naleving Verantwoording over en toezicht op de implementatie en naleving van de beveiligingsnormen Suwinet is van groot belang voor een adequate beveiliging van Suwinet. In de bijlage bij de regeling is de wijze van verantwoording en (intern) toezicht beschreven. Het CBP vindt dat de paragraaf over verantwoording en toezicht nog onvoldoende duidelijk is en vindt dat deze op verschillende punten (periodiciteit van controle en rapportage, consistentie in rapportages door verschillende partijen, uitwerking auditbepaling, etc.) nader uitgewerkt moet worden. De bepalingen laten nu nog te veel ruimte voor verschillende interpretatie, hetgeen de consistente uitwerking door de Suwi-partijen niet bevordert. Onduidelijk is of de jaarlijkse audit uitgevoerd dient te worden door een onafhankelijke, externe auditor of ook door de eigen interne accountantsdienst uitgevoerd kan worden. Een onafhankelijke externe audit, naar analogie van de jaarlijkse audit naar het gegevensbeheer bij de uitvoeringsinstellingen heeft de voorkeur van het
BLAD
5
DATUM ONS KENMERK
22 november 2001 z2001-1488
CBP. Naast een jaarlijkse toetsing van de beveiligingseisen zou ook de naleving van de overige aspecten van privacybescherming object van periodiek onderzoek moeten zijn. Een dergelijke audit zou bij uitstek kunnen plaatsvinden met behulp van het door de Registratiekamer, beroepsorganisaties van auditors en marktpartijen ontwikkelde Raamwerk Privacy Audit. Het CBP is van mening dat de verantwoording over en het toezicht op de beveiliging een plaats dient te krijgen in de regeling SUWI. Nu regelt artikel 6.4 Beveiliging Suwinet alleen de zorg voor het realiseren van beveiliging en de wijze waarop aan de beveiliging invulling wordt gegeven door middel van een beveiligingsplan. Om de beleidscyclus rond te maken zouden ook verantwoording over en toezicht op de naleving in het artikel geregeld moeten worden, waarbij de feitelijke uitwerking in de bijlage plaatsvindt. Ontwikkeling Suwinet spoor 2 Bij de ontwikkeling van Suwinet is om pragmatische redenen gekozen voor een fasering in twee sporen. De essentiële functies en beveiligingsvoorzieningen worden in spoor 1 gerealiseerd, dat op 1 januari 2002 operationeel moet zijn. De ontwikkeling van Suwinet in spoor 2 is gericht op de ontwikkeling van een duurzame infrastructuur, waarin aanvullende functies gerealiseerd worden, zoals een beveiligde mailvoorziening. Het CBP wijst erop dat de betrouwbaarheid van de infrastructuur in termen van vertrouwelijkheid en integriteit uit oogpunt van privacybescherming vanaf de eerste operationele fase gewaarborgd dient te zijn. De gefaseerde ontwikkeling van Suwinet, waarbij de ontwikkelorganisatie ook nog onder grote tijdsdruk staat, brengt risico’s met zich mee voor de betrouwbaarheid van de infrastructuur. Deze risico’s dienen onderkend te worden en in de operationele fase, waar nodig op basis van calamiteitenscenario’s geadresseerd te worden. Het CBP verwacht ook bij de verdere ontwikkeling van Suwinet betrokken te worden. Ik vertrouw er op u hiermee voldoende te hebben geïnformeerd. Een afschrift van deze brief zal worden verstuurd aan de Staatssecretaris van Sociale Zaken en Werkgelegenheid. Hoogachtend,
mr. U. van de Pol Collegelid
BLAD
6
DATUM ONS KENMERK
22 november 2001 z2001-1488
Bijlage De concept-regeling SUWI en de bijbehorende toelichting Artikel 2.4, onder f, spreekt over “welke andere waarnemingen zij bij de uitvoering van artikel 28 van de Wet SUWI met betrekking tot de belanghebbende heeft gedaan die relevant kunnen zijn voor de beslissing op de aanvraag door B&W onderscheidenlijk het UWV”. Deze bepaling verdient nadere specificatie. Wat wordt precies bedoeld met waarnemingen die relevant kunnen zijn voor de beslissing op de aanvraag? Betreft het hier het vastleggen van het gedrag van de aanvrager? In artikel 3.1 is neergelegd dat het UWV aan de verzekerde een registratiemelding verstrekt. Artikel 3.2 regelt dat het UWV aan de verzekerde en aan de uitkeringsgerechtigde eenmaal per jaar een statusoverzicht verstrekt. Het UWV is hiertoe ingevolge artikel 33, vierde en vijfde lid SUWI, verplicht. In de artikelen 33 en 34 van de WBP wordt de informatieplicht naar de geregistreerde geregeld. Formeel bezien betreft het hier twee afzonderlijke wettelijke verplichtingen. Materieel gezien kan het CBP zich voorstellen dat het registratieoverzicht en het statusoverzicht zo worden ingericht dat met het verstrekken hiervan tevens wordt voldaan aan de informatieverplichtingen die de WBP stelt. In artikel 5.5, derde lid, onder b, wordt gesproken over nieuwe experimenten met informatieuitwisseling als bedoeld in artikel 3, tweede lid, van het Besluit Inlichtingenbureau gemeenten. De Registratiekamer heeft in haar advies over het Besluit Inlichtingenbureau gemeenten, ten aanzien van dit artikel gesteld dat het uitvoeren van ‘andere taken’ door het IB wordt begrensd door het vereiste van doelbinding. “De Registratiekamer is van oordeel dat de huidige ruime omschrijving van het nevendoel, te weten diensten ten behoeve van gemeenten op het gebied van informatievoorziening en gegevensuitwisseling, onvoldoende is bepaald.” en “In deze omstandigheden acht zij het noodzakelijk in de tekst van het besluit een koppeling aan te brengen tussen de kerntaken van het IB uit het eerste lid en de overige taken. Deze dienen niet alleen maar “in het verlengde te liggen” hiervan te liggen. Het criterium dient te zijn da deze hiermee noodzakelijk zijn verbonden.” (Registratiekamer, z2001-0762, Den Haag, 1 augustus 2001). Het CBP is van oordeel dat het woord ‘experimenten’ in artikel 5.5, derde lid, onder b, van de conceptregeling zich niet verdraagt met de strakke vereisten van doelbindingen en verenigbaarheid ingevolge de WBP. In artikel 5.11, vierde lid, wordt gesproken over het overdragen van persoonsgegevens aan het Steinmetzarchief van het Nederlandse Instituut voor Wetenschappelijke Informatiediensten. Gesteld wordt dat bij de overdracht de richtlijnen van het Steinmetzarchief in acht worden genomen. Het CBP wil u er op wijzen dat in casu voldoen te dient te worden aan vereisten van artikel 9, derde lid, WBP. In artikel 5.16 is neergelegd dat de uitvoeringsorganisatie de taak heeft om te zorgen voor een deugdelijke administratie teneinde te kunnen garanderen dat tijdig en op de juiste wijze aan de informatieverplichtingen in de regeling kan worden voldaan. Het CBP wil u er op attenderen dat ook in de WBP eisen ten aanzien van de kwaliteit van de verwerking van persoonsgegevens zijn neergelegd.
BLAD
7
DATUM ONS KENMERK
22 november 2001 z2001-1488
In de toelichting staat dat alle verstrekte gegevens en (een afschrift van de) bewijsstukken door het CWI worden overgedragen aan het UWV en de GSD-en. De vraag die zich vervolgens voordoet is welke gegevens er achterblijven in de administratie van het CWI en welke bewaartermijn daarvoor wordt gehanteerd. Het beheer van autorisaties, aangevuld met specifieke beoordeling van logverslagen over toegang tot bestanden en het nemen van actie naar aanleiding van ongeoorloofde acties, vormt een kritisch punt uit oogpunt van vertrouwelijkheid. Omtrent logging is alleen geregeld dat er periodieke rapportages worden opgesteld, maar niet aan wie die worden voorgelegd en hoe daarmee wordt omgegaan. Het beheer van autorisaties en de controle op de naleving daarvan is voor een belangrijk deel decentraal belegd bij de verschillende Suwipartijen. Bij het toezicht op de implementatie en de naleving verdient dit punt extra aandacht. Voor zover logging herleidbaar is naar individuele personen is sprake van een personeelsvolgsysteem, waar – onder meer ingevolge de WOR - verschillende privacyaspecten zijn verbonden. Stelselontwerp Suwinet (Bijlage XII): Door het ontbreken van een mechanisme waardoor een gebruiker uitsluitend toegang krijgt tot die persoonsgegevens die bij een bepaald sofi-nummer behoren waarmee de betrokken functionaris een relatie heeft, is de controle op de toegang tot persoonsgegevens door middel van logging essentieel. In paragraaf 5.2.1 van het Stelselontwerp Suwinet wordt als eis voor gegevenstransport via openbare netwerken versleuteling genoemd. Naast versleuteling gelden er nog andere eisen waaraan bij transport via openbare netwerken moet worden voldaan. De koppeling tussen de kolomnetwerken van elk van de Suwipartijen en Internet vormt in dit kader een extra risico. Het SOAP-verkeer tussen CWIntake en de overzichtsapplicatie enerzijds en de XML-pagina’s anderzijds wordt niet beveiligd met behulp van het pakket SelectAccess. De vraag rijst op welke wijze deze beveiliging dan wel geregeld wordt. In Bijlage XII Stelselontwerp Suwinet wordt op pagina 10 gesproken over de minimale benodigde groep van gegevens die voor ontvangende partijen vastgesteld en beheerst dient te worden vanuit oogpunt van privacy. Het CBP gaat er vanuit dat hier sprake is van een omissie en dat het hier gaat om de maximale groep gegevens. In het Stelselontwerp Suwinet wordt aangegeven dat bij het testen gebruik wordt gemaakt van testdata die bestaat uit anonieme gegevens. Het gebruik van bestaande persoonsgegevens die geanonimiseerd wordt brengt risico’s met zich meer in verband met mogelijkheid van indirecte herleiding. In dat geval is nog steeds sprake van persoonsgegevens in de zin van de WBP. Zo wordt het weghalen van sofi-nummer, naam en adres van personen niet aangemerkt als anonimiseren. Het verdient aanbeveling om ten behoeve van het testen daadwerkelijk fictieve testgegevens aan te maken en te gebruiken.
BLAD
8
DATUM ONS KENMERK
22 november 2001 z2001-1488
Bijlage XV Ontwerp elektronische voorziening IB 1. 0 Met bijlage XV, wordt ingegaan op de bewaartermijn die het IB hanteert ten aanzien van de gegevens die zij verwerkt op grond van de Abw, IOAW en IOAZ. Onderbouwd dient te worden waarom voor een dergelijke lange bewaartermijn (maximaal 2 jaar nadat het signaal is beëindigd) is gekozen. Daarbij doet zich de vraag voor welke bewaartermijnen gehanteerd worden ten aanzien van de gegevens die door het IB worden verwerkt op grond van de wet SUWI.
BLAD
9
