Vervolgonderzoek Beveiliging en privacy in de SUWI-keten
Nota van bevindingen
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
Colofon
Programma Nummer Datum
Informatieprocessen Nvb-info-11/10 d december 2011
Pagina 2 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
Inhoud
Colofon—2 1 1.1 1.2 1.3
Samenvatting en conclusies—5 Inleiding en probleemstelling—5 Bevindingen—7 Conclusies—8
2 2.1 2.2 2.3 2.4
Probleemstelling en aanpak—11 Aanleiding en probleemanalyse—11 Doelstelling onderzoek—12 Vraagstelling—12 Onderzoeksaanpak—13
3 3.1 3.2 3.3 3.4
Bevindingen onderzoek—15 Door BKWI, IB en gemeenten getroffen maatregelen—15 Het verbeterproces rondom Suwinet als geheel—17 Beveiliging Suwinet door gemeenten zoals gezien door overige SUWI-partijen—18 Geen door alle SUWI-partijen gedeelde normen voor beveiliging—19
Pagina 3 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
Pagina 4 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
1
Samenvatting en conclusies
1.1
Inleiding en probleemstelling In de keten van werk en inkomen stellen de ketenpartners Uitvoeringsinstituut Werknemersverzekeringen (UWV), de Sociale Verzekeringsbank (SVB) en gemeenten, daarbij ondersteund door het Bureau Keteninformatisering Werk en Inkomen (BKWI) en de Stichting Inlichtingenbureau Gemeenten (IB), de persoonsgegevens van miljoenen Nederlanders via Suwinet-Inkijk aan elkaar beschikbaar in het kader van de wetsuitvoering. De toename van de elektronische gegevensuitwisseling, gecombineerd met de eisen die de burger stelt aan zorgvuldige omgang met persoonlijke gegevens, vormde voor de inspectie in 2008 aanleiding om na te gaan of partijen in de keten van werk en inkomen een veilig gebruik van Suwinet-Inkijk waarborgen. De burger mag immers verwachten dat de overheid er alles aan doet om misbruik of oneigenlijk gebruik van zijn gegevens te voorkomen. Bij eerdere onderzoeken van de Inspectie Werk en Inkomen (IWI) is melding gemaakt van incidenteel misbruik of oneigenlijk gebruik van gegevens in de uitvoering. Enkele voorbeelden hiervan zijn het tegen betaling informatie leveren aan een handelsinformatiebureau, het verstrekken van informatie over de vermogens- en inkomenspositie van een cliënt aan een drugsdealer en het (na een verkeersongeval) raadplegen van NAW-gegevens (gegevens over naam, adres en woonplaats) op basis van het kentekenregister. Ook is op basis van periodiek onderzoek door BKWI bekend dat oneigenlijk gebruik plaatsvindt door de raadpleging in Suwinet-Inkijk van gegevens van bekende Nederlanders. In wet- en regelgeving is vanaf 2002 de verantwoordelijkheid van UWV, SVB en gemeenten - en andere aangesloten organisaties - voor de beveiliging van persoonsgegevens in het domein van werk en inkomen duidelijk aangegeven. Het planmatig zorgdragen voor de beveiliging van Suwinet op basis van een beveiligingsplan is daarbij wettelijk voorgeschreven: in artikel 6.4 van de Regeling SUWI is bepaald dat partijen beschikken over een beveiligingsplan waarin is weergegeven op welke wijze zij aan die beveiliging invulling geven. Van de zbo’s is bekend dat zij over een beveiligingsplan Suwinet beschikken omdat dit deel uitmaakt van de verplichte jaarlijkse verantwoordingscyclus. De SUWI-partijen hebben in 2004 in het Algemeen Ketenoverleg (AKO) het initiatief genomen om gezamenlijk een gemeenschappelijke richtlijn en normenkader vast te stellen voor de inrichting van de beveiliging alsmede de jaarlijkse verantwoording daarvan naar het ministerie van SZW, IWI en naar elkaar (via de Samenvattende Rapportage van het BKWI). 1 Van de gemeenten was bekend dat slechts een deel ervan beschikte over zo’n beveiligingsplan. 2 Op verzoek van de toenmalige staatsecretaris van SZW heeft IWI de beschikbaarheid van beveiligingsplannen bij gemeenten op peildatum 1 januari 2009 volledig in kaart gebracht. Van 96 gemeenten bleek er geen beveiligingsplan Suwinet te zijn. Van de beschikbare beveiligingsplannen bleek geen enkel plan aan de normen te voldoen. De gemeenten maakten weliswaar veelvuldig gebruik van de voorbeeld1 2
Verantwoordingsrichtlijn voor de edp-audit van de Beveiliging Suwinet 1.0 van 29 oktober 2004. IWI-onderzoek Beveiligingsplannen Suwinet gemeenten, brief aan staatssecretaris SZW d.d. 29 april 2008, kenmerk 2008/1157. Pagina 5 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
plannen van BKWI, maar dit betreft met name de beknopte versie. BKWI gaf, in lijn met de opvatting van IWI, aan dat deze versie op zich niet volstaat maar onderdeel moet vormen van een algemeen beveiligingsplan. Gemeenten en ISD’en die hun plan in de tweede helft van 2008 hadden opgesteld, maakten twee keer zo vaak gebruik van het beknopte voorbeeldplan als gemeenten en ISD’en die hun beveiligingsplan al eerder hadden opgesteld. Gemeenten hadden het Suwinetinformatiebeveiligingsbeleid en het beveiligingsplan in de regel niet actief uitgedragen in de gemeentelijke organisatie en ook niet jaarlijks geëvalueerd en - indien nodig - geactualiseerd. In haar rapport over dit onderzoek kwam IWI in 2009 tot een aantal oordelen, die hier als volgt worden samengevat. De informatiebeveiliging van de SUWI-keten is niet op orde. Waarborgen voor informatiebeveiliging van persoonsgegevens via Suwinet-Inkijk ontbreken met name bij de gemeenten; de informatiebeveiliging van ZBO’s is over het algemeen goed geborgd, op enkele onvolkomenheden na. 3 Op 1 januari 2009 beschikte 78 procent van alle Nederlandse gemeenten over een beveiligingsplan; alle ZBO’s hadden een beveiligingsplan. De organisatorische invulling van de informatiebeveiliging vertoont bij veel gemeenten lacunes. Het instrumentarium van de logische toegangsbeveiliging wordt veelal onvoldoende benut. Autorisaties en de daaraan gekoppelde toegang tot informatie zijn breed en veelal niet actueel, zodat medewerkers veelal meer informatie kunnen krijgen dan voor hun functie nodig is. Het gebruik van Suwinet-Inkijk wordt in de regel niet gemonitord en ongeautoriseerde toegangspogingen worden niet gedetecteerd, waardoor oneigenlijk gebruik of misbruik waarschijnlijk niet wordt opgemerkt. Veel gemeenten kennen de BKWI-producten inzake monitoring niet, maar een aantal gemeenten is kritisch over de meerwaarde daarvan voor controle op misbruik. Volgens IWI kan BKWI zich op dat punt verbeteren. Als gemeenten meer de mogelijkheden van die producten zouden benutten, zouden zij een bijdrage kunnen leveren aan het vertrouwen in een goede informatiebeveiliging. In zijn bestuurlijke reactie op dat rapport concludeerde het bestuur van de SVB dat dit oordeel zou kunnen betekenen dat de SVB en de andere organisaties (binnen en buiten het SUWI-domein) die gegevens ter beschikking stellen voor Suwinet-Inkijk, hun gegevens ingevolge de Wet bescherming persoonsgegevens (WBP) niet meer ter beschikking kunnen stellen. 4 De staatssecretaris SZW heeft als reactie op het rapport van de inspectie de gemeenten zonder beveiligingsplan Suwinet opgedragen dit beveiligingsplan op te stellen. Tevens heeft de staatssecretaris aangegeven dat toepassing van het normenkader beveiliging Suwinet moet kunnen verschillen al naar gelang de grootte van de gemeente, en dat momenteel in die zin wordt gewerkt aan een gemeentelijke variant op het bestaande normenkader. 5 In 2011 is de inspectie nagegaan welke maatregelen BKWI, IB en gemeenten sinds het verschijnen van dit rapport in het voorjaar van 2009 hebben getroffen. Daarnaast heeft IWI deze maatregelen beoordeeld met het oog op een goed geborgde beveiliging van het Suwinet.
3 4 5
Dit is ook de conclusie over het jaar 2010, zie de samenvattende rapportage van de beveiliging van de GeVS over 2010, BKWI 24 maart 2011 Brief SVB d.d. 22 april 2009, kenmerk RvB.195/09/ES-ptb, als bestuurlijke reactie SVB opgenomen in het IWIrapport “Beveiliging en privacy in de SUWI-keten”, R09/03, april 2009. Brief d.d. 4 juni 2009, Kamerstukken II 2008-2009, 26 448, nr. 402. Pagina 6 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
1.2
Bevindingen Sinds de verschijning van het IWI-rapport Beveiliging en privacy in de SUWI-keten hebben BKWI, IB en gemeenten diverse maatregelen getroffen om de beveiliging en privacy in de SUWI-keten te verbeteren. Het meest concrete resultaat is dat alle gemeenten sinds begin september 2010 een beveiligingsplan Suwinet hebben. Naar de beveiligingsplannen van gemeenten en de evaluatie en eventuele actualisering ervan heeft IWI in dit vervolgonderzoek niet opnieuw onderzoek gedaan; het is IWI dan ook onbekend of deze plannen voldoen aan de hieraan te stellen eisen of dat gemeenten deze plannen ook evalueren en indien nodig actualiseren. BKWI en IB hebben hun relatiemanagement met gemeenten geïntensiveerd, waardoor de producten van BKWI en IB meer onder de aandacht van gemeenten zijn gebracht. BKWI heeft zijn rapportages over het gebruik van Suwinet door individuele gemeenten verbeterd. BKWI constateert op grond van zijn gegevens en ervaringen dat gemeenten in toenemende mate aandacht besteden aan privacy en informatiebeveiliging. Ook heeft BKWI een monitor voor zorgvuldig gegevensgebruik door gemeentelijke sociale diensten ontwikkeld. De door BKWI ontwikkelde monitor is een hulpmiddel om meer zicht te krijgen op de beveiliging binnen gemeenten. Per gemeentelijke, intergemeentelijke of regionale sociale dienst (GSD, ISD, RSD) put de monitor aan de hand van een zevental indicatoren gegevens uit de interne registraties van BKWI over het gebruik van Suwinet-Inkijk door die dienst en geeft aan de hand van indicatoren aan of de dienst op het desbetreffende onderwerp goed, minder goed of niet goed presteert of lijkt te presteren. De monitor genereert per sociale dienst een overzicht over het gebruik van Suwinet-Inkijk, waarbij per indicator ook een kleursignaal wordt gebruikt (groen voor goed, oranje voor minder goed, en rood voor niet goed). Dit overzicht geeft een beeld van de vermoedelijke stand van zaken bij de sociale dienst, en wordt door een relatiebeheerder van BKWI besproken met die sociale dienst; veelal is daarbij ook de desbetreffende gemeente betrokken 6 . Het model is tevens in staat om op basis van de zeven gebruikte indicatoren een landelijk overzicht te maken van de vermoedelijke stand van zaken van beveiliging en gebruik van Suwinet-Inkijk in Nederland; daarbij wordt het gebied van de desbetreffende gemeentelijke, intergemeentelijke of regionale sociale dienst gekleurd op grond van een gemiddelde van (de kleuren van) de indicatoren. BKWI heeft uit de gemeenten waarvan op basis van de ontwikkelde monitor het ernstige vermoeden bestaat dat zij op het gebied van zorgvuldig gegevensgebruik niet goed (rood) functioneren, 100 gemeenten geselecteerd om hierover overleg te voeren. BKWI geeft aan dat de monitor alleen een waarschijnlijkheid aangeeft, maar ook dat, waar de monitor de kleur rood oplevert, er doorgaans bij de desbetreffende gemeente wel wat aan de hand is. De verwachting is dat deze monitor door middel van een gezamenlijke campagne waaraan ook het ministerie van SZW en de VNG deelnemen, in de tweede helft van 2011 onder de aandacht van gemeenten wordt gebracht. 7
6 7
Door de vorming van ISD’en en RSD’en vallen sociale dienst en gemeente niet steeds samen; BKWI heeft 346 afnemers van producten, terwijl er per 1 januari 2011 418 gemeenten zijn. Bestuurlijke reactie BKWI op conceptrapport IWI “De keten volgt klanten, toepassing van klantvolgsystemen”, brief d.d. 11 augustus 2011, kenmerk 2011/150. Pagina 7 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
1.3
Conclusies De genomen maatregelen sluiten aan op het in 2009 door IWI gegeven oordeel. Daarmee is de informatiebeveiliging van de SUWI-keten echter nog niet op orde. Dat ten minste honderd gemeenten in de monitor van BKWI niet goed presteren op het gebied van zorgvuldig gegevensgebruik, vindt de inspectie, ondanks de slag om de arm die BKWI houdt ten aanzien van de monitor, verontrustend. De staatssecretaris van SZW kondigde in 2009 aan dat partijen in onderling overleg werken aan een ‘flexibel toepasbaar normenkader’ (verantwoordingsrichtlijn en normenkader), waarbij rekening wordt gehouden met de grootte van de gemeente. Zo’n normenkader is er thans nog niet. 8 Het blijkt geen eenvoudige opgave om de SUWI-partijen, waaronder de 418 gemeenten, op één lijn te krijgen. Ondanks de inspanningen van de keteninstituties BKWI en IB ontbreken thans verdere waarborgen voor beveiliging van persoonsgegevens bij uitwisseling van die gegevens via Suwinet, met name bij gemeenten, die ieder voor zich verantwoordelijk zijn voor hun eigen gegevensverwerking via Suwinet. Omdat de gemeenten zich niet zichtbaar verantwoorden, hebben de overige SUWI-partijen (en ook niet-SUWIpartijen) die gegevens via Suwinet uitwisselen, daardoor geen zicht op de stand van zaken bij gemeenten wat betreft beveiliging en privacy van Suwinet. Gezien vanuit het model van de verbetercyclus (‘plan-do-check-act’-cyclus) kan worden geconstateerd dat door het ontbreken van een zichtbare verantwoording door de gemeenten de ‘check’-fase in de SUWI-keten ten minste gedeeltelijk ongevuld blijft. Daardoor kan er ook geen sprake zijn van een goed bijstellen van de beveiliging van Suwinet als geheel. Er zijn dus gebreken in het verbeterproces rondom Suwinet als geheel. Gemeenten besteden in toenemende mate aandacht aan privacy en informatiebeveiliging; dit is niet zichtbaar vanuit aangeleverde rapportages, maar wel vanuit: - de verzoeken die BKWI krijgt voor specifieke rapportages; - de bezoeken van de accountmanagers van BKWI en IB bij gemeenten; - de vragen vanuit het gemeentelijke veld aangaande de informatiebeveiliging en de inrichting van het interne controleproces. Tot het moment dat gemeenten zich evenals de andere partijen die gebruik maken van gegevensuitwisseling via Suwinet, gaan verantwoorden, ziet IWI risico’s voor de beveiliging van persoonsgegevens en ook voor het gebruik en draagvlak van het instrument Suwinet als geheel. IWI signaleert in dit verband verder dat nergens de taak is belegd om na te gaan of gemeenten volgens de normen van de Verantwoordingsrichtlijn hun beveiligingsbeleid en hun daaraan gekoppelde beveiligingsplan geregeld evalueren en zo nodig bijstellen. De door BKWI ontwikkelde monitor en de voor het najaar geplande campagne om deze bekendheid te geven vindt de inspectie uitstekende initiatieven. De monitor kan echter niet de functie vervullen van een verantwoording als bedoeld in artikel 6.4 (en 5.22) Regeling SUWI: hij geeft een beeld op basis van een beperkte waarneming. De in deze bepaling(en) bedoelde verantwoording is bovendien met een
8
Dit staat overigens los van de vraag of een op de grootte van de gemeente afgestemde toepassing van een normenkader in overeenstemming is met artikel 5.22 van het Besluit SUWI, waarin is geregeld dat gebruikers op uniforme wijze zorg dienen te dragen voor hun beveiliging. Pagina 8 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
aanzienlijke waarborg omkleed: zij dient voorzien te zijn van het oordeel of de verklaring van een onafhankelijke EDP-auditor. Zolang er geen normenkader in wet- en regelgeving is, waaraan alle partijen die gegevens uitwisselen via Suwinet, zich moeten houden, en er voor gemeenten geen verplichting is om zich te verantwoorden over de beveiliging van de gegevensuitwisseling via Suwinet (zoals die wel geldt voor UWV, SVB en IB), kan de sector Werk en Inkomen niet aantoonbaar maken dat er alles aan wordt gedaan om misbruik of oneigenlijk gebruik van persoonsgegevens van burgers te voorkomen.
Pagina 9 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
Pagina 10 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
2
Probleemstelling en aanpak
2.1
Aanleiding en probleemanalyse Vanuit signalen over incidenteel misbruik of oneigenlijk gebruik van persoonsgegevens, die de Inspectie heeft gekregen vanuit eerdere onderzoeken, is IWI in 2008 begonnen met het onderzoek “Beveiliging en privacy in de SUWI-keten”. Daarbij is het verzoek van de toenmalige staatssecretaris van SZW meegenomen om een nader onderzoek te doen naar de beveiligingsplannen van gemeenten. In haar rapport over dit onderzoek in 2009 kwam IWI tot een aantal oordelen, die hier als volgt worden samengevat. De informatiebeveiliging van de SUWI-keten is niet op orde. Waarborgen voor informatiebeveiliging van persoonsgegevens via Suwinet-Inkijk ontbreken met name bij de gemeenten; de informatiebeveiliging van ZBO’s is over het algemeen goed geborgd, op enkele onvolkomenheden na. 9 Op 1 januari 2009 beschikte 78 procent van alle Nederlandse gemeenten over een beveiligingsplan; alle ZBO’s hadden een beveiligingsplan. De organisatorische invulling van de informatiebeveiliging vertoont bij veel gemeenten lacunes. Het instrumentarium van de logische toegangsbeveiliging wordt veelal onvoldoende benut. Autorisaties en de daaraan gekoppelde toegang tot informatie zijn breed en veelal niet actueel, zodat medewerkers veelal meer informatie kunnen krijgen dan voor hun functie nodig is. Het gebruik van Suwinet-Inkijk wordt in de regel niet gemonitord en ongeautoriseerde toegangspogingen worden niet gedetecteerd, waardoor oneigenlijk gebruik of misbruik waarschijnlijk niet wordt opgemerkt. Veel gemeenten kennen de BKWI-producten inzake monitoring niet, maar een aantal gemeenten is kritisch over de meerwaarde daarvan voor controle op misbruik 10 . Volgens IWI kan BKWI zich op dat punt verbeteren. Als gemeenten meer de mogelijkheden van die producten zouden benutten, zouden zij een bijdrage kunnen leveren aan het vertrouwen in een goede informatiebeveiliging. Naar aanleiding van dat rapport concludeerde het bestuur van de SVB dat dit oordeel zou kunnen betekenen dat de SVB en de andere organisaties (binnen en buiten het SUWI-domein) die gegevens ter beschikking stellen voor Suwinet-Inkijk, hun gegevens ingevolge de Wet bescherming persoonsgegevens (WBP) niet meer ter beschikking kunnen stellen. 11 In zijn bestuurlijke reactie op de programmarapportage "De burger bediend in 2010" onderschrijft het BKWI de strekking en conclusies van die rapportage en merkt het ook op dat één onderwerp in die rapportage onderbelicht blijft, namelijk het vraagstuk van de (verantwoording rondom) privacy en beveiliging. Volgens het BKWI is dit vraagstuk, door de invoering van de integrale dienstverlening en de Wet eenmalige gegevensuitvraag werk en inkomen (WEU), die beide instrumenten zijn om de dienstverlening aan de burger te verbeteren, de laatste jaren pregnanter geworden, en behoeft het in de nabije toekomst aandacht.
9 10
11
Dit is ook de conclusie over het jaar 2010, zie de samenvattende rapportage van de beveiliging van de GeVS over 2010, BKWI 24 maart 2011 Op verzoek levert BKWI partijen al enkele jaren een compleet overzicht van alle raadplegingen die vanuit die organisatie zijn verricht, zodat elke organisatie zicht kan hebben op het rechtmatig gebruik van Suwinet binnen de eigen organisatie. Veel gemeenten maken echter geen gebruik van deze 'specifieke rapportages'. Brief SVB d.d. 22 april 2009, kenmerk RvB.195/09/ES-ptb, als bestuurlijke reactie SVB opgenomen in het IWIrapport “Beveiliging en privacy in de SUWI-keten”, R09/03, april 2009. Pagina 11 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
Ook in het regeerakkoord van het huidige kabinet is de verbetering van informatieveiligheid en bescherming van persoonsgegevens een onderwerp van aandacht. 12
Op 3 maart 2011 heeft de staatssecretaris van SZW aan de Staten-Generaal de rapporten aangeboden van de drie onderzoeken die voor het evalueren van de Wet eenmalige gegevensuitvraag werk en inkomen (WEU) in opdracht van SZW zijn uitgevoerd door een drietal onderzoeksbureaus. 13 In de aanbiedingsbrief wordt ook aandacht besteed aan het WEU-rapport en de programmarapportage “De burger bediend in 2010” van IWI. De staatssecretaris maakt er melding van dat er weinig zicht is op de beveiliging van het Digitaal Klantdossier (een nauwkeurig vastgelegde set klantgegevens die de op Suwinet aangesloten partijen met elkaar mogen uitwisselen) bij gemeenten, en dat gegevensleverende partijen onvoldoende vertrouwen ontlenen aan de wijze waarop de beveiliging in het gemeentelijk domein betreffende verantwoording, controle en bijsturing is geborgd. 14 Tegen deze achtergrond ziet IWI de beveiliging van Suwinet 15 bij gemeenten als een onderwerp dat opnieuw en vooralsnog voortdurend aandacht behoeft. 2.2
Doelstelling onderzoek Met dit onderzoek geeft IWI aan, wat BKWI, IB en gemeenten bijdragen aan de doelen van de wetgever op het gebied van beveiliging en bescherming van persoonsgegevens bij gegevensuitwisseling via Suwinet. Daarmee beoogt IWI de realisering van die doelen te bevorderen. De doelstelling van het onderzoek kan tegen de achtergrond van het bovenstaande als volgt worden geformuleerd: Het bevorderen van de beveiliging van persoonsgegevens die bij de uitvoering van de socialezekerheidswetten worden uitgewisseld via Suwinet, door de maatregelen te beoordelen, die BKWI, IB en gemeenten op het gebied van de beveiliging van gegevens en gegevensuitwisseling hebben getroffen naar aanleiding van het IWIrapport “Beveiliging en privacy in de SUWI-keten”.
2.3
Vraagstelling De vraagstelling voor het onderzoek luidt als volgt: Welke maatregelen hebben BKWI, IB en gemeenten getroffen naar aanleiding van het IWI-rapport “Beveiliging en privacy in de SUWI-keten” en hoe kunnen deze maatregelen worden beoordeeld in het licht van het oordeel van de inspectie uit 2009? IWI sluit aan op het toetsingskader dat is gebruikt bij haar onderzoek “Beveiliging en privacy in de SUWI-keten” en beoordeelt met name of de getroffen maatregelen aansluiten op haar oordeel uit 2009. 12 13 14
15
Kamerstukken II 2010-2011, 32 417, nr. 15, p. 39. Kamerstukken II 2009-2010, 32 674, nr. 1. Het begrip DKD wordt verschillend gebruikt. Het DKD is het elektronische dossier van de klant binnen het domein werk en inkomen. Daarnaast wordt het begrip soms gebruikt voor de gegevensuitwisseling door middel van dit dossier. Dit laatste wordt hier bedoeld. In de praktijk heeft men het hierbij echter over Suwinet-Inkijk en over webapplicaties die dit dossier inlezen. In deze rapportage worden de benamingen Suwinet en GeVS (Gemeenschappelijke elektronisch Voorzieningen SUWI) naast elkaar gebruikt; zij duiden hetzelfde aan: de gezamenlijke elektronische voorzieningen, genoemd in artikel 62, tweede lid, van de Wet SUWI. Pagina 12 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
Met dit vervolgonderzoek besteedt IWI tevens aandacht aan het belang van een zichtbare verantwoording (de ‘check’). Met het eerder onderstreepte belang van een adequaat beveiligingsplan (het onderzoek in 2009) zijn dan alle elementen in de verbetercyclus (‘plan-do-check-act’-cyclus) aan bod gekomen.
Schematisch:
Plan- (Geactualiseerd) Beveiligingsplan Suwinet
ActVerbetermaatregelen
Ondersteuning: BKWI Inlichtingenbureau
Rapport IWI 2009
DoUitvoering beveiligingsplan
CheckVerantwoording
De beveiliging van Suwinet als geheel kan alleen op orde zijn, wanneer de beveiliging van de aangesloten partijen en de onderlinge samenhang op orde zijn. Ging het onderzoek van IWI in 2009 vooral in op de ‘plan’ en de ‘do’ fase, dit onderzoek gaat vooral in op de ‘act-’ (getroffen verbetermaatregelen door BKWI, IB en gemeenten) en ‘check-’ (het belang van een zichtbare verantwoording voor de beveiliging van Suwinet als geheel) fase in relatie tot de door het BKWI en IB geboden ondersteuning aan gemeenten.
2.4
Onderzoeksaanpak In het onderzoek beziet IWI in hoeverre het samenstel van acties die BKWI, IB, en gemeenten naar aanleiding van het rapport “Beveiliging en privacy in de SUWIketen” hebben getroffen, aansluit op de oordelen van IWI in 2009. Om een beeld te krijgen van de getroffen maatregelen op gemeentelijk terrein heeft IWI contact gezocht met vertegenwoordigers van gemeenten, namelijk Divosa en VNG. In de tweede plaats heeft IWI geïnventariseerd welke maatregelen BKWI en IB hebben aangekondigd. Vervolgens hebben de onderzoekers op basis van documen-
Pagina 13 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
ten en gesprekken beoordeeld in hoeverre deze maatregelen aansluiten op de oordelen van IWI in 2009. Voorts is vanuit een stelseloptiek gekeken naar verdere ontwikkelingen die zich op het gebied van beveiliging en privacy bij de SUWI-partijen hebben voorgedaan. 16 Hiervoor zijn vertegenwoordigers van BKWI, het Inlichtingenbureau, Divosa en de VNG geconsulteerd. Daarnaast heeft IWI gesprekken gevoerd met bij Suwinet betrokken partijen, met name SVB en RDW, vanwege die hierboven vermelde reactie van de SVB over het niet meer beschikbaar kunnen stellen van persoonsgegevens, en het ontvangen signaal dat ook andere organisaties, met name de RDW, de inhoud van deze reactie zouden delen. Het onderzoek heeft plaatsgevonden in de periode van april tot en met juni 2011 en bestrijkt de periode van 2009 tot en met juni 2011; bij het schrijven van de nota van bevindingen is tevens gebruik gemaakt van de programmarapportage van IWI “De keten volgt klanten, toepassing van klantvolgsystemen” en de bestuurlijke reacties daarop.
16
Met “privacy”wordt hier steeds gedoeld op “bescherming van persoonsgegevens in de zin van de WBP en andere wetten die de bescherming van persoonsgegevens regelen, met name de Wet SUWI en de daarop gebaseerde regelgeving, die in het domein van werk en inkomen primair geldt en waarop de WBP aanvullende regels geeft op de gebieden waarop de Wet SUWI geen regels geeft. Pagina 14 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
3
Bevindingen onderzoek
In dit onderzoek heeft IWI zich in de eerste plaats gericht op de vraag, welke maatregelen BKWI, IB en gemeenten hebben getroffen naar aanleiding van het IWIonderzoek uit 2009; paragraaf 3.1 geeft de bevindingen weer. Vervolgens heeft IWI bezien welke effect deze maatregelen hebben op het niveau van het stelsel van de GeVS, en beschreven wat zij op dat terrein in het kader van haar onderzoek verder heeft waargenomen. Als uitgangspunt daarbij heeft IWI het model van de verbetercyclus gehanteerd. In paragraaf 3.2 besteedt IWI aandacht aan het verbeterproces rondom Suwinet als geheel. Paragraaf 3.3 geeft aan hoe de overige SUWI-partijen de beveiliging van Suwinet door gemeenten zien. Tot slot komt de bevinding dat er geen door alle SUWI-partijen gedeelde normen zijn voor de beveiliging van Suwinet.
3.1
Door BKWI, IB en gemeenten getroffen maatregelen Alle gemeenten een beveiligingsplan Als toezichteffect van het onderzoek van IWI kan worden gezien het feit dat op 1 september 2010 alle gemeenten een beveiligingsplan hebben. 17 Dit resultaat is, naast de druk de het Ministerie van SZW op dit onderwerp heeft gezet, mede te danken aan de inspanningen van het CP-ICT, inmiddels opgegaan in het Kwaliteitsinstituut Nederlandse Gemeenten (KING). Als algemene norm geldt de eis dat een organisatie zijn beveiligingsbeleid regelmatig evalueert en zo nodig bijstelt. 18 Deze norm is gebaseerd op artikel 13 WBP. In de Verantwoordingsrichtlijn voor de edp-audit van de beveiliging Suwinet is deze norm aldus vertaald, dat het informatiebeveiligingsbeleid en het beveiligingsplan van Suwinet jaarlijks worden geëvalueerd en indien nodig worden bijgesteld. Naar de beveiligingsplannen van gemeenten en de evaluatie en eventuele actualisering ervan heeft IWI niet opnieuw onderzoek gedaan; het is IWI onbekend of gemeenten deze plannen ook evalueren en indien nodig actualiseren. IWI signaleert overigens dat nergens de taak is belegd om na te gaan of gemeenten volgens de norm van de Verantwoordingsrichtlijn hun beveiligingsbeleid en hun daaraan gekoppelde beveiligingsplan eenmaal per jaar evalueren en zo nodig bijstellen. Model risico-inventarisatie BKWI en intensivering relatiemanagement BKWI en IB met gemeenten In het kader van zijn beheerstaken rondom het Suwinet is BKWI al geruime tijd bezig met de ontwikkeling van een model risico-inventarisatie over het gebruik van Suwinet-Inkijk door gemeenten; dit model wordt thans door BKWI ook aangeduid als “een monitor voor zorgvuldig gegevensgebruik”. 19 Per gemeentelijke, intergemeentelijke of regionale sociale dienst (GSD, ISD, RSD) put het model aan de hand van een zevental indicatoren gegevens uit de interne registraties van BKWI over het gebruik van Suwinet-Inkijk door die dienst en geeft aan de hand van de indicatoren 17
18 19
Zie ook ZENC, Evaluatie van de Wet eenmalige gegevensuitvraag werk en inkomen (WEU), perceel 3: Onderzoek naar de inrichting, de werking net het beheer van de elektronische infrastructuur, in opdracht van het Ministerie van SZW, 29 november 2010, pag. 40. G.W. van Blarkom, drs. J.J. Borking, Beveiliging van persoonsgegevens, Achtergrondstudies en Verkenningen nr. 23, Registratiekamer, Den Haag, april 2001, p. 32. “Bestuurlijke reactie BKWI op conceptrapport IWI “De keten volgt klanten, toepassing van klantvolgsystemen”, brief d.d. 11 augustus 2011, kenmerk 2011/150. Pagina 15 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
aan of de dienst op het desbetreffende onderwerp goed, minder goed of niet zo goed presteert of lijkt te presteren. De monitor toont per sociale dienst een overzicht van het gebruik van Suwinet-Inkijk, waarbij per indicator ook een kleursignaal wordt gebruikt (groen voor goed, oranje voor minder goed, en rood voor niet goed). Dit overzicht geeft een beeld van de vermoedelijke stand van zaken bij de sociale dienst, en wordt door een relatiebeheerder van BKWI besproken met die sociale dienst; veelal is daarbij ook de desbetreffende gemeente betrokken 20 . Het model is tevens in staat om op basis van de zeven gebruikte indicatoren een landelijk overzicht te maken van de vermoedelijke stand van zaken van beveiliging en gebruik van Suwinet-Inkijk in Nederland; daarbij wordt het gebied van de desbetreffende gemeentelijke, intergemeentelijke of regionale sociale dienst gekleurd op grond van een gemiddelde van (de kleuren van) de indicatoren. Het model is door BKWI in de eerste plaats ontwikkeld voor de prioritering van zijn accountmanagement, maar het werkt ook positief op het privacybewustzijn van sociale diensten. Het model geeft niet de werkelijke situatie bij een GSD weer, maar de vermoedelijke stand van zaken, die BKWI met de desbetreffende dienst bespreekt; pas aan de hand van zo’n gesprek kan BKWI een betere indicatie krijgen van de stand van zaken op het gebied van beveiliging en gebruik van SuwinetInkijk. Ook het IB neemt een deel van de gesprekken met gemeenten voor zijn rekening; BKWI en IB werken nauw samen ter bevordering van het privacybewustzijn bij gemeenten. Eind mei 2011 had BKWI gesprekken gevoerd met ongeveer veertig van de honderd gemeenten die daartoe geselecteerd zijn op basis van het model (gemeenten waar het model de kleur rood aangaf) en de schaal van de gemeente (grote gemeenten het eerst). Uit de gesprekken trekt BKWI de conclusie dat het model doorgaans een goede indicatie geeft. Als er veel rood is, is er vaak wel wat aan de hand, volgens BKWI; soms is het “rood” zijn van een gemeente het gevolg van bewuste keuzes van deze gemeente op het gebied van autorisaties, terwijl er wel voldoende aandacht is voor beveiliging en privacy. In de gesprekken met gemeenten worden, indien nodig, verbeterafspraken gemaakt; na een afgesproken tijd, bijvoorbeeld na twee maanden, belt BKWI met de desbetreffende gemeente om na te gaan hoe het staat met de verbeteractie(s). BKWI is nog bezig met de validatie van het model. Er komt op korte termijn ook een eerste evaluatie. Alleen gemeenten die door BKWI/IB worden bezocht, krijgen een factsheet. De factsheets en het daarop gebaseerde landelijk overzicht worden nog niet op internet gezet bij wijze van benchmark, want BKWI vindt het model (op het moment dat het IWI-onderzoek wordt gedaan) daarvoor nog niet betrouwbaar genoeg. De verwachting is dat deze monitor door middel van een gezamenlijke campagne waaraan ook het ministerie van SZW en de VNG deelnemen, in de tweede helft van 2011 onder de aandacht van de doelgroep wordt gebracht. 21 Verbetering informatiebeveiliging gemeenten door acties BKWI en IB Naar aanleiding van het IWI-rapport van 2009 hebben BKWI en IB hun relatiemanagement met gemeenten geïntensiveerd; het model risico-inventarisatie draagt daaraan bij. Bij hun gesprekken met gemeenten hebben BKWI en IB speciale aandacht 20 21
Door de vorming van ISD’n en RSD’n vallen sociale dienst en gemeente niet steeds samen; BKWI heeft 346 afnemers van producten, terwijl er per 1 januari 2011 418 gemeenten zijn. Bestuurlijke reactie BKWI op conceptrapport IWI “De keten volgt klanten, toepassing van klantvolgsystemen”, brief d.d. 11 augustus 2011, kenmerk 2011/150.
Pagina 16 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
besteed aan het laten aansluiten van de toegekende autorisaties bij de functie die door een gemeentemedewerker wordt uitgeoefend. Tijdens bezoeken worden vaak al ter plekke door de gemeente autorisaties aangepast; sommige gemeenten hebben naar aanleiding van bezoeken van de accountmanagers de werkwijze aangepast, waarop ze autorisaties toewijzen aan medewerkers. Gemeenten besteden in toenemende mate aandacht aan privacy en informatiebeveiliging; dit is niet zichtbaar vanuit de aangeleverde rapportages, maar wel vanuit: - de verzoeken die BKWI krijgt voor specifieke rapportages; - de bezoeken van de accountmanagers van BKWI en IB bij gemeenten; - de vragen vanuit het gemeentelijke veld aangaande de informatiebeveiliging en de inrichting van het interne controleproces. Naar aanleiding van het onderzoek van IWI heeft BKWI zijn rapportages aangepast over het gebruik van het Suwinet door gemeenten. De rapportages gaan nu over een periode van drie maanden in plaats van één maand, en tabellen en grafieken erin zijn voorzien van toelichtingen.
3.2
Het verbeterproces rondom Suwinet als geheel Het Suwinet is een stelsel van elektronische voorzieningen waarvoor de zorg primair is opgedragen aan het UWV, de SVB en gemeenten. 22 Het BKWI, een afzonderlijk en herkenbaar organisatieonderdeel van het UWV, voert de in artikel 5.21 van het Besluit SUWI beschreven beheerstaken ten aanzien van het Suwinet. Het IB heeft een in hoofdzaak intermediaire taak tussen enerzijds de gemeenten en anderzijds de instanties waarmee gemeenten via Suwinet gegevens uitwisselen; daarbij blijven de gemeenten verantwoordelijk voor hun eigen gegevensverwerking, zowel de interne als die via Suwinet, het IB is ingevolge artikel 5.24 van het Besluit SUWI voor gemeenten bewerker in de zin van de WBP. UWV, SVB en IB dienen zich jaarlijks te verantwoorden over hun gegevensverwerking (artikel 5.22 Regeling SUWI) en over het gebruik en de inrichting van Suwinet (artikel 6.4 Regeling SUWI). BKWI rekent het tot zijn verantwoordelijkheid om jaarlijks een Samenvattende rapportage van de beveiliging van de Gezamenlijke elektronische Voorzieningen Suwi te publiceren, waarin de Security Officer van BKWI jaarlijks, ten behoeve van SZW en de IWI, een totaaloverzicht samenstelt over de beveiliging van de gegevensuitwisseling via de GeVS. 23 Deze rapportage geeft als enige een totaaloverzicht over de beveiliging van de gegevensuitwisseling via de GeVS. Daarnaast voorziet deze Samenvattende rapportage de registratiehouders van informatie over de beveiliging van de GeVS als “veilig” instrument voor het uitwisselen van gegevens. BKWI heeft van de gemeentelijke, intergemeentelijke en regionale sociale diensten geen rapportage ontvangen. Deze zijn niet wettelijk of contractueel verplicht tot toezending daarvan. Daarom geeft de samenvattende rapportage geen volledig beeld. IWI neemt wel waar dat onderscheiden actoren, met name BKWI en IB, zich inspannen om verbetering van de beveiliging van Suwinet te bewerkstelligen. BKWI kan als beheerder van de GeVS met zijn model risico-inventarisatie aan de hand van een aantal indicatoren mogelijke beveiligingsrisico’s bij onderscheiden gemeentelijke 22 23
Artikel 62, tweede lid, Wet SUWI. De wettelijke basis van die samenvattende rapportage is echter met het intrekken van Bijlage XIV van de Regeling SUWI komen te vervallen. Pagina 17 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
sociale diensten (of samenwerkingsverbanden daarvan) in beeld brengen; BKWI maakt hiervan gebruik bij zijn accountmanagement ten aanzien van gemeenten, waarbij het gezamenlijk optrekt met IB. Deze monitor kan echter niet de functie van een verantwoording als bedoeld in artikel 6.4 Regeling SUWI overnemen: hij geeft een beeld op grond van een beperkte waarneming. De verantwoording, bedoeld in deze bepaling, is met een aanzienlijke waarborg omkleed: zij dient voorzien te zijn van het oordeel of de verklaring van een onafhankelijke EDP-auditor. Een structureel en geborgd proces, gericht op de verbetering van de beveiliging van Suwinet, waarin alle relevante actoren een duidelijk omschreven plaats en rol hebben, heeft IWI echter niet waargenomen. Omdat er geen zicht is op de beveiliging van Suwinet aan de kant van gemeenten, is een verbetering daarvan ook niet rechtstreeks waar te nemen.
3.3
Beveiliging Suwinet door gemeenten zoals gezien door overige SUWIpartijen (Accountmanagers van) BKWI en IB geven aan dat gemeenten zich overwegend positief opstellen ten aanzien van beveiliging en privacy, maar dat ze hier (meer) ondersteuning bij nodig hebben. Echter, zorg over de beveiliging van de gegevens van de eigen klanten heeft geleid tot de opmerking van de SVB in 2009 dat het ontbreken van waarborgen voor informatiebeveiliging met name bij gemeenten zou kunnen betekenen dat de SVB en de andere organisaties (binnen en buiten het SUWI-domein) die gegevens ter beschikking stellen voor Suwinet-Inkijk, hun gegevens ingevolge de Wet bescherming persoonsgegevens (WBP) niet meer ter beschikking kunnen stellen. 24 Uit dit vervolgonderzoek blijkt overigens dat het voor de SVB geen punt van overweging is geweest om geen gegevens meer beschikbaar te stellen aan de GeVS.25 Het UWV voelt eenzelfde verantwoordelijkheid voor de bescherming van de persoonsgegevens van zijn klanten, omdat het als bronhouder van gegevens hoe dan ook verantwoordelijk wordt gehouden als die data oneigenlijk worden gebruikt. Ook al, zo vindt het UWV, is het wellicht niet wettelijk verantwoordelijk, het zal wel door politiek en burgers worden aangesproken en voelt ook een morele verantwoordelijkheid om zorgvuldig met de gegevens van burgers om te gaan. Ook bij de RDW, die de ervaring heeft dat incidenten met kentekengegevens zich altijd hebben voorgedaan bij gemeenten, wordt dit zo beleefd. Er is kortom nog steeds zorg bij de bij de overige SUWI-partijen over de beveiliging van Suwinet door gemeenten, zo maakt dit onderzoek duidelijk.
24 25
Brief SVB d.d. 22 april 2009, kenmerk RvB.195/09/ES-ptb, als bestuurlijke reactie SVB opgenomen in het IWIrapport “Beveiliging en privacy in de SUWI-keten”, R09/03, april 2009. Gevraagd kan worden hoever de verantwoordelijkheid van een verantwoordelijke in de zin van de WBP reikt. Artikel 13 en de memorie van toelichting daarbij zien niet verder dan de eigen organisatie van de verantwoordelijke: een verantwoordelijke kan immers geen technische en organisatorische maatregelen treffen in andermans organisatie. Voorts kan worden gesteld dat een duidelijk wettelijk gebod tot het leveren van gegevens aan gemeenten niet terzijde kan worden gesteld met een beroep op een extensieve interpretatie van artikel 13 van de WBP, die ten aanzien van de Wet SUWI en de WWB c.a. wel geldt als algemene wet, maar wel op de gebieden die niet zijn geregeld in de bijzondere wet. Pagina 18 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
3.4
Geen door alle SUWI-partijen gedeelde normen voor beveiliging Nog geen flexibel naar gemeentegrootte toepasbaar normenkader Beveiliging van het Suwinet wordt ingekaderd door met name het Besluit SUWI en de Regeling SUWI met bijlagen. Deze kaderstelling levert echter geen duidelijkheid op over concrete verplichtingen van gemeenten inzake de maatregelen die zij dienen te treffen ter beveiliging van hun aandeel in het gebruik van Suwinet. Artikel 5.22, eerste lid, van het Besluit SUWI bepaalt: “De gebruikers dragen op uniforme wijze zorg voor de beveiliging van de gegevensverwerking door middel van de elektronische voorzieningen tegen inbreuken op de beschikbaarheid, de integriteit en de vertrouwelijkheid.” Artikel 5.22 van de Regeling SUWI bepaalt dat het UWV, de SVB en het IB jaarlijks rapporteren over de opzet en werking van het stelsel van maatregelen en procedures, gericht op het waarborgen van een exclusieve, integere, beschikbare en controleerbare gegevensverwerking. Zo’n rapportage dient voorzien te zijn van een verklaring van getrouwheid of een oordeel van een EDP-auditor. Deze rapportage gaat over de interne gegevensverwerking. UWV, SVB, gemeenten en het IB dienen op grond van artikel 6.4 van de Regeling SUWI zorg te dragen voor de beveiliging van de gegevensuitwisselingen via de GeVS en in een beveiligingsplan weer te geven op welke wijze zij hieraan invulling geven. Op grond van het derde lid van artikel 6.4 zijn alleen UWV, SVB en IB verplicht daarover te rapporteren, met een verklaring of een oordeel van een EDP-auditor. In de Regeling SUWI in art 6.4 werden in samenhang met de tot 15 september 2008 geldende Bijlage XIV normen gesteld voor de beveiliging van het Suwinet. Met ingang van 15 september 2008 kwam Bijlage XIV te vervallen door de Regeling tot wijziging van de van de Regeling SUWI in verband met eenmalige gegevensuitvraag werk en inkomen. 26 De bijlagen bij de Regeling SUWI moeten worden gezien als algemeen geldende voorschriften. 27 Zo ook de Bijlage XIV. Met het vervallen van de Bijlage XIV werden de daarin opgenomen concrete beveiligingsnormen geschrapt. 28 Op basis van de Bijlage XIV is er in 2004 een Verantwoordingsrichtlijn voor de edp-audit van de Beveiliging Suwinet tot stand gekomen, die door het AKO (Algemeen Ketenoverleg) op 29 oktober 2004 vastgesteld en de instemming had van het ministerie van SZW en IWI; een nieuwe versie van deze Verantwoordingsrichtlijn werd uitgebracht in 2007. 29 Met de Regeling tot wijziging van de Regeling SUWI in verband met eenmalige gegevensuitvraag werk en inkomen werd op 15 september 2008 een nieuwe Bijlage I bij de Regeling SUWI van kracht, met het opschrift: “Stelselontwerp & Beveiliging Kaders en uitgangspunten aangaande de Gezamenlijke elektronische Voorzieningen Suwi (GeVS). De toelichting op de Regeling tot wijziging van de Regeling SUWI in verband met eenmalige gegevensuitvraag werk en inkomen gaat ervan uit dat de Verantwoordingsrichtlijn is blijven gelden: 26 27 28
29
Regeling tot wijziging van de van de Regeling SUWI in verband met eenmalige gegevensuitvraag werk en inkomen, Stcrt 2008, 110. Aanwijzingen voor de regelgeving (AR) 94, en de toelichting bij AR 102. Ook kwam daarmee bijvoorbeeld de wettelijke basis te ontvallen aan de Samenvattende rapportage van de beveiliging van de Gezamenlijke elektronische Voorzieningen SUWI van de Security Officer van BKWI. De basis van deze samenvattende rapportage is immers niet artikel 6.4 van de Regeling SUWI, maar was Hoofdstuk I, paragraaf 3 Verantwoording en controle, van de Bijlage XIV. Volgens opgave van BKWI is recent een nieuwe versie van de Verantwoordingsrichtlijn vastgesteld. De problematiek rond verantwoording door gemeenten is daarmee niet opgelost. Het normenkader is vooralsnog niet gewijzigd. Naar verwachting wordt een nieuw normenkader in de eerste helft van 2012 vastgesteld. Pagina 19 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
“Voor wat betreft de gegevensuitwisseling in het kader van de Gemeenschappelijke Elektronische Voorzieningen Suwi gelden de, door de Suwi-partijen gezamenlijk geformuleerde, normenkaders en afspraken welke op basis van bijlage I zijn verwoord in de Verantwoordingsrichtlijn Privacy & Beveiliging Gezamenlijke elektronische Voorzieningen Suwi.” 30 In de inleiding van de nieuwe Bijlage I werd een soort overgangsrecht geformuleerd: “Vigerend beleid dat door de SUWI-partijen gezamenlijk is geformuleerd (op basis en naar aanleiding van de voorgaande bijlagen) blijft zijn geldigheid behouden voorzover in lijn met de richting en de uitgangspunten zoals in deze bijlage neergelegd.” 31 Het is niet duidelijk of hiermee de Verantwoordingsrichtlijn ook ten aanzien van gemeenten gelding heeft. Omdat gemeenten zich op grond van de Regeling SUWI niet hoeven te verantwoorden over hun beveiliging en hun beveiliging in het kader van Suwinet, nemen zij, of een aantal van hen, het standpunt in dat zij ook niet zijn gebonden aan de Verantwoordingsrichtlijn voor de edp-audit van de Beveiliging Suwinet en het daarin opgenomen normenkader, zeker nadat de Bijlage XIV bij de Regeling SUWI, waarop de Verantwoordingsrichtlijn was gebaseerd, was komen te vervallen. 32 Als de Verantwoordingsrichtlijn voor de gemeenten van toepassing is gebleven, blijft de klacht van gemeenten, dat het normenkader dat is geïncorporeerd in de Verantwoordingsrichtlijn, inflexibel is (“het is voor Amsterdam hetzelfde als voor Ameland”). De eis van artikel 5.22 van het Besluit SUWI is, dat de gebruikers van de GeVS op uniforme wijze zorgdragen voor hun beveiliging. De vervallen Bijlage XIV vermeldde hierover: De daadwerkelijke beveiligingsmaatregelen rond de gegevensuitwisseling dienen bij alle organisaties van een gelijkwaardig niveau te zijn. Het beveiligingsniveau dat wordt nagestreefd mag niet sterk afwijken van het niveau dat door de afzonderlijke Suwi-organisaties wordt gehanteerd. Zowel te zwakke als te sterke beveiliging ten opzichte van de omgeving van Suwinet kan tot onwerkbare situaties leiden. De staatssecretaris van SZW heeft in de brief van 4 juni 2009, waarmee hij het onderzoek BPS van IWI aan de Tweede kamer aanbood, met betrekking tot het normenkader gesteld dat “ervaring leert dat bij toepassing van een dergelijk normenkader in redelijkheid en billijkheid rekening moet worden gehouden met de omvang van de gemeentelijke organisatie.” 33 De staatssecretaris maakt er daarbij ook melding van dat er momenteel wordt gewerkt aan een gemeentelijke variant van het normenkader. Zo’n normenkader is er tot dusverre niet gekomen. Model “gezamenlijk maken van afspraken” onder druk De Bijlage I bij de Regeling SUWI legt de nadruk op “gezamenlijk overleg” tussen de SUWI-partijen om te komen tot afspraken over het stelsel en beveiliging Suwinet. In 2009 maakte de staatssecretaris er melding van dat er werd gewerkt aan een gemeentelijke variant van het normenkader, waarin rekening zou worden gehouden met de omvang van de gemeentelijke organisatie. Er wordt thans voortgang ge30 31 32 33
Regeling tot wijziging van de van de Regeling SUWI in verband met eenmalige gegevensuitvraag werk en inkomen, Stcrt. 2008, 110, Artikelsgewijze toelichting, onderdeel N. Wijziging van de van de Regeling SUWI in verband met eenmalige gegevensuitvraag werk en inkomen, Stcrt. 2008, 110. Dit standpunt is te lezen in de reactie van Divosa op het IWI-rapport “Beveiliging en privacy in de SUWI-keten” uit 2009 (zie daarvoor de desbetreffende bijlage bij dat rapport). Kamerstukken II 2008–2009, 26 448, nr. 402. Pagina 20 van 21
Nota van bevindingen Vervolgonderzoek Beveiliging en privacy in de SUWI-keten | december 2011
boekt bij het formuleren van een nieuwe verantwoordingsrichtlijn, waarbij het de bedoeling is dat de normen van die nieuw richtlijn gaan gelden voor gemeenten, maar daarin is nog geen nieuw normenkader opgenomen, dat zal gelden voor gemeenten. Er zijn tot op heden geen voor het hele SUWI-domein geldende beveiligingsnormen die flexibel kunnen worden toegepast door gemeenten. Het IB heeft aangegeven dat het, voor het maken van afspraken omtrent het inlezen van DKD gegevens door gemeenten, het meest eenvoudig zou zijn als hiertoe bijlage I van de regeling SUWI zou worden aangepast; hiermee zou een centraal en uniform beleid kunnen worden gemaakt. De beleidslijn dat vanwege deregulering SUWI-partijen dit onderwerp onderling moeten regelen, betekent dat met afzonderlijke gemeenten afspraken moeten worden gemaakt. Dit is belastend voor het BKWI. Op grond hiervan kan worden geconstateerd dat het model om het GeVS-stelsel en de beveiliging ervan vorm te laten geven door gezamenlijke afspraken van de SUWI-partijen, onder druk komt te staan.
Pagina 21 van 21