Hilversum

Gemeenten, het  UWV en de Sociale Verzekeringsbank wisselen voor de uitkeringsverstrekking, handhaving en bijvoorbeeld re-integratiedoeleinden persoonsgegevens uit via een speciaal netwerk (Suwinet). De inspectie SZW van het Ministerie van Sociale Zaken en Werkgelegenheid heeft een rapport gemaakt over het veilig gebruik van dit systeem. Het gaat daarbij niet of technische veiligheid, maar over de afspraken, organisatie, en toezicht op dat gebruik.  Wat blijkt? Hilversum  voldoet slechts aan één van de gestelde normen. En dat stelt de SP-fractie niet gerust. Zeker niet in het licht van de verdergaande samenwerkingsplannen in het sociaal domein. Want met de uitvoering van de jeugdwet, de WMO en de participatiewet zullen de gemeenten over nog meer en nog gevoeliger persoonsgegevens beschikken dan nu al het geval is. Zijn privacy gevoelige gegevens wel veilig in de handen van onze en andere (regio) gemeenten? Hoe gaat de gemeente werken aan verbeteringen en waarborgen om de privacy van inwoners te beschermen?

Waar gaat het over?
Via een speciaal netwerk (Suwinet)  kunnen overheidsorganisaties gegevens van burgers en bedrijven digitaal bij elkaar opvragen en naar elkaar sturen.

Om dit zorgvuldig te doen zijn er 7 normen opgesteld (te verdelen in 3 groepen):

Beleidsplan:

1. De gemeente moet beleid en een plan opstellen voor informatiebeveiliging, dat is goedgekeurd door het management van de gemeente
2. Dat plan moet actief worden uitgedragen binnen de organisatie (via werkoverleg, presentaties etc.)
3. Het beleid en het plan moeten jaarlijks worden geëvalueerd en eventueel geactualiseerd

Organisatie:

4. Gebruik, inrichten, beheer en beveiliging moeten worden uitgevoerd door afzonderlijke instanties/personen
5. Er moet een werknemer zijn aangesteld die de beveiliging bevordert, en daarover adviseert en rapporteert (een 'security officer'). Deze werknemer moet deskundig zijn in informatiebeveiliging.

Toegangsbeveiliging:

6. Er moet een formele procedure zijn waarmee rechten en toegang tot het systeem worden geregeld (functies/taken, etc.).
7. Er moet meerdere keren per jaar worden gecontroleerd op de rechten en het juiste gebruik van het systeem

Gemeente Hilversum voldoet slecht aan één norm
De gemeente Hilversum voldoet alleen aan punt 6 - een formele procedure om mensen toegang te geven  en voldoet volgens de rapportage niet aan de andere normen.

Dat baart ons zorgen, burgers moeten ervan op aan kunnen dat hun privacy gevoelige gegevens in de handen van de overheid veilig zijn, en daarom hebben we het college de volgende vragen gesteld

1. Wanneer is de vragenlijst door de gemeente ingevuld? Hoe accuraat is deze nog?
2. We voldoen niet aan de eisen m.b.t. een beveiligingsbeleid en beveiligingsplan. Is er een beleidsplan? Zo ja - waarom voldoet het niet?  Zo nee, waarom niet?
3. Welke stappen gaat de wethouder nemen om er voor te zorgen dat er een beveiligingsbeleid en beveiligingsplan komt dat voldoet aan de eisen (goedgekeurd, uitgedragen, en met een jaarlijkse evaluatie)?
4.  Hoe zijn de taken m.b.t. het gebruik, beheer, en inrichten van Suwinet nu geregeld?
5. Welke stappen worden ondernomen om in de nabije toekomst de taken gescheiden onder te brengen?
6. Aangezien we geen security officer hebben - hoe wordt nu toezicht gehouden?
7. Op welke termijn kan een security officer worden aangesteld?
8. We zijn opgelucht dat er i.i.g. een formele procedure is voor het registeren/autoriseren van gebruikers van Suwinet. Wel willen we graag nog een bevestiging dat deze procedure ook voorziet in het tijdig intrekken van rechten (bv bij vertrek van een werknemer).
9. Wanneer wordt gestart met het regelmatig (meerdere maken per jaar) controleren van het gebruik van Suwinet?
10. Het rapport meldt dat bij een aantal gemeentes (18%) is geconstateerd dat oneigenlijk/onrechtmatig gebruik is gemaakt van Suwinet (door het toetsen of gegevens van bekenden Nederlanders werden opgevraagd). Valt Hilversum onder die gemeenten? Zo ja, heeft de gemeente daarvoor een verklaring?
11. Een aantal gemeentes hebben in het verleden misbruik van gegevens geconstateerd. Valt Hilversum onder die gemeenten? Zo ja, hoe is daartegen opgetreden?
12. BKWI (Bureau Keteninformatisering Werk & Inkomen) voert een campagne 'Zorgvuldig Gebruik Suwinet', met o.a. workshops. Draait de gemeente mee in deze campagne? Volgen werknemers deze workshops?
13. Is er reeds een gesprek geweest met een accountmanager van BKWI? Zo ja - wat kwam hier uit?
14. Maakt de gemeente gebruik van geheimhouding- of integriteitsverklaringen voor alle werknemers die toegang hebben tot Suwinet? Indien ja, gelden deze ook voor extern personeel?
15. Zijn er taken overgedragen aan externe partijen? Zo ja - welke, en hoe is de controle daarop?
16. Wordt er regionale samengewerkt en overlegd op het gebied van beveiligingsbeleid dan wel beveiligingsprocedures? Zo ja met welke gemeenten? En wat zijn de afspraken?
17. Tenslotte willen we graag de door gemeente Hilversum ingevuld antwoorden op de door inspectie SZW opgegeven vragenlijst ontvangen.
18. Op welke wijze maakt de gemeente afspraken met regiogemeenten waarmee we samenwerken in het kader van de decentralisaties? Is er een plan van aanpak beleid, beheer en organisatie in het kader van privacy gevoelige gegevens? Zo nee, waarom niet? Zo ja? Wie is daar verantwoordelijk voor? En kunnen wij dit plan van aanpak ontvangen?

Wij zijn benieuwd naar de antwoorden van het Hilversums college.. Wordt vervolgd

Lees hier het rapport