| Ingediend | 15 mei 2014 |
|---|---|
| Beantwoord | 4 juni 2014 (na 20 dagen) |
| Indieners | Paul Ulenbelt , Steven van Weyenberg (D66) |
| Beantwoord door | Jetta Klijnsma (staatssecretaris sociale zaken en werkgelegenheid) (PvdA) |
| Onderwerpen | organisatie en beleid sociale zekerheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2014Z08817.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20132014-2123.html |
Burgers moeten erop kunnen vertrouwen dat overheidsorganisaties zoals gemeenten zorgvuldig met de voor hen toegankelijke gegevens omgaan. Ik vind het niet acceptabel dat medewerkers van gemeenten en sociale diensten zonder enige noodzaak gegevens van bekende Nederlanders raadplegen.
De Inspectie SZW heeft niet onderzocht of er ook wordt gekeken in de gegevens van andere (niet bekende) Nederlanders.
Ik vind het niet acceptabel dat een medewerker, zoals een stagiair, zonder enige noodzaak via Suwinet gegevens van burgers raadpleegt. Gemeenten dienen zorgvuldig om te gaan met de gegevens die burgers aan hen toevertrouwen. Dit betekent dat een gemeente een medewerker alleen toegang mag geven tot gegevens die hij nodig heeft voor de uitoefening van zijn wettelijke taak.
De VNG heeft naar aanleiding van het onderzoek van de Inspectie SZW een uitgebreid pakket aan maatregelen in gang gezet om te komen tot een verantwoord gemeentelijk gebruik van Suwinet.
Het verbetertraject gegevensuitwisseling Suwinet is tweeledig:
Een aanpak die voorziet in een generiek kader voor informatieveiligheid in het algemeen. Dit traject is gebaseerd op de resolutie informatieveiligheid randvoorwaarde voor de professionele gemeenten.
Een specifiek traject gericht op de korte termijn verbetering voor het terrein werk en inkomen.
Het specifieke traject is erop gericht gemeenten bewust te maken van het belang van informatiebeveiliging via het organiseren van voorlichtingssessies, het uitgeven van publicaties2 en het versturen van ledenbrieven. De VNG faciliteert gemeenten in het doen van een zelfanalyse zodat helder is waar de verbeterpunten liggen. Met deze zelftest kan elke gemeente in kaart brengen of inzage in Suwinet op maat wordt aangeboden aan de medewerkers, of er goed op gebruik van Suwinet wordt toegezien en hoe de waarborgen daartoe organisatorisch zijn ingebed. Daarmee ziet de gemeente vervolgens aan welke van de zeven door de Inspectie SZW onderzochte normen zij wel of niet voldoet. De einduitkomst biedt richting voor het lokale verbeterpad bij een gemeente. Tot slot worden er tools voor gemeenten ontwikkeld, zoals beleidsplannen en een model autorisatiematrix.
Het College Bescherming Persoonsgegevens (CBP) is door mij geïnformeerd en volgt nauwlettend de ontwikkelingen van de beveiliging van Suwinet door gemeenten. Het CBP heeft een eigen verantwoordelijkheid en kan middels dwangsommen naleving bij gemeenten afdwingen.
In november 2013 heb ik een ronde tafel informatiebeveiliging geëntameerd met het CBP, de VNG en het UWV. Deze tafel zal in juli 2014 weer bijeenkomen.
Op 19 december 2013 heb ik een brief gestuurd aan alle colleges van B&W en gemeenteraadsleden waarin ik hen oproep om de beveiliging van het gebruik van Suwinet op orde te brengen. Ook in de verzamelbrief van december 2013 en april 2014 heb ik gemeenten gewezen op hun verantwoordelijkheid voor het op orde brengen van de beveiliging van het gebruik van Suwinet. Nu bijna alle nieuwe colleges van B&W zijn geïnstalleerd zal ik hen en de nieuwe gemeenteraadsleden eveneens wijzen op het belang van de beveiliging van het gebruik Suwinet en de noodzaak om maatregelen te treffen.
Met mijn collega Plasterk en de VNG ben ik in gesprek om nadere afspraken te maken over een gemeentebrede verantwoording op het terrein van informatiebeveiliging. Tot slot zal de Inspectie SZW in het najaar van 2014 starten met een vervolgonderzoek naar de beveiliging van Suwinet door gemeenten.
Onderzoek naar een escalatieprotocol heeft uitgewezen dat dit begin 2015 in werking kan treden. Overheidsinstanties die gebruik maken van Suwinet, waaronder gemeenten, kan dan de toegang tot Suwinet worden ontzegd. Dit is een uiterste maatregel omdat afsluiting betekent dat gemeenten voor hun werkzaamheden informatie aan klanten moeten gaan vragen.
Het onderzoek van de Inspectie SZW, waarop het artikel van het AD is gebaseerd, is uitgevoerd in 2012. Inmiddels zijn er door de VNG en gemeenten verbetermaatregelen getroffen. Voor de verbetermaatregelen verwijs ik naar het antwoord op vraag 4.
Deze mening deel ik.
Naar aanleiding van de bevingen van de Inspectie SZW ben ik met de Suwi-partijen aan het bekijken welke aanvullende maatregelen getroffen kunnen worden. Waar nodig worden de beveiligingseisen van Suwinet geactualiseerd en verhoogd. Ook voor het verminderen dan wel wegnemen van misbruik en/of onbedoeld gebruik van Suwinet door professionals in de uitvoering worden maatregelen getroffen. Uitgangspunt hierbij is dat medewerkers toegang kunnen krijgen tot niet meer gegevens dan strikt noodzakelijk voor de uitvoering van de aan hen toebedeelde taken. Onderdeel hiervan is dat ik de beheerder van Suwinet verzocht heb om het aantal zoeksleutels te beperken en alleen bij uitzondering het mogelijk te maken dat een andere zoeksleutel dan het BSN wordt gebruikt.
Deze maatregelen ondersteunen gemeenten en andere partijen die gebruik maken van gegevens die via Suwinet worden ontsloten om op een verantwoorde wijze om te gaan met privacy van burgers.
Maatschappelijk, overheidsbreed en in de sociale zekerheid als onderdeel daarvan, nemen het belang en de afhankelijkheid van informatie, gegevensstromen en technologie toe. Ik heb opdracht gegeven om te onderzoeken hoe op basis van onder andere technologische mogelijkheden een toekomstbestendige en beheersbare gegevensuitwisseling via Suwinet kan worden gerealiseerd met daarbij meer adequate mogelijkheden voor het beschermen van persoonsgegevens.