| Ingediend | 24 juni 2015 |
|---|---|
| Beantwoord | 2 oktober 2015 (na 100 dagen) |
| Indieners | Jeroen van Wijngaarden (VVD), Anoushka Schut-Welkzijn (VVD) |
| Beantwoord door | Martin van Rijn (staatssecretaris volksgezondheid, welzijn en sport) (PvdA), Klaas Dijkhoff (staatssecretaris justitie en veiligheid) (VVD) |
| Onderwerpen | organisatie en beleid sociale zekerheid werk |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2015Z12285.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20152016-184.html |
Ja.
Ik deel de analyse dat ook gevoelige persoonsgegevens via SUWInet worden ontsloten. De gemeenschappelijke elektronische voorziening SUWI (ook wel SUWInet genoemd) is een elektronische infrastructuur die is ontwikkeld om ervoor te zorgen dat de SUWI-partijen (UWV, SVB en gemeentelijke sociale diensten) gegevens met elkaar kunnen uitwisselen voor de uitoefening van hun wettelijke taak (WW, Participatiewet, IOAW, IOAZ e.a.). Er worden alleen gegevens uitgewisseld voor zover daar een wettelijke grondslag voor is.
In de Privacy Impact Asssesment (PIA) die ik heb laten uitvoeren en waar ik uw Kamer per brief op 5 februari jl. over heb geïnformeerd is geconstateerd dat er in de afgelopen jaren een aantal samenhangende kwetsbaarheden is ontstaan die elkaar op een negatieve manier beïnvloeden en daarmee tot privacyrisico’s leiden. In de brief van 5 februari jl. (Kamerstuk 26 448, nr. 530) heb ik de actielijnen geschetst waarlangs verbetermaatregelen worden genomen.
Persoonsgegevens van burgers dienen te allen tijde beschermd te zijn met passende organisatorische en technische maatregelen. Bij het SUWInet dienen de maatregelen te worden getroffen in de keten die loopt van het aanleveren van gegevens door bronleveranciers, het transporteren van gegevens naar afnemers tot en met het gebruik van de gegevens door afnemers. Op SUWInet aangesloten organisaties dienen de beveiliging van het gebruik van SUWInet op orde te hebben. Het escalatieprotocol, dat ik u dit najaar toestuur, omvat een aantal stappen met als ultimum remedium het afsluiten van een organisatie van het SUWInet.
Iedere op SUWInet aangesloten organisatie dient beleid te voeren betreffende misbruik van gegevens door medewerkers. Bij misbruik door medewerkers is de uiterste sanctie hierbij ontslag. Er zijn mij gevallen bekend van gemeenten, SVB en UWV waar medewerkers zijn ontslagen omdat zij zonder noodzaak via SUWInet gegevens raadpleegden.
Ik deel uw analyse dat het onrechtmatig raadplegen van deze gegevens in strijd is met de wet. Uw analyse dat het in strijd is met de openbare orde deel ik niet. Hier is geen sprake van onrust of ongeregeldheden op het terrein van de openbare orde. Naar aanleiding van het onderzoek van de Inspectie SZW in 2013 heb ik alle colleges van burgemeester en wethouders een brief gestuurd en hen gewezen op het feit dat zij de beveiliging van SUWInet op orde moeten brengen. Na de gemeenteraadsverkiezingen heb ik de nieuwe colleges eenzelfde brief gestuurd en hen op hun verantwoordelijkheid gewezen.
In september 2015 start de Inspectie SZW het onderzoek naar de beveiliging van SUWInet bij alle gemeenten. In de brief met de aankondiging van dit onderzoek wordt nogmaals aandacht gevraagd voor de bescherming van gegevens van personen, waarbij specifiek aandacht wordt gevraagd voor de bescherming van gegevens van kwetsbare personen.
Ingevolge artikel 5.22 van het besluit SUWI zijn gemeenten verplicht om verantwoording af te leggen over de beveiliging van SUWInet. De verantwoording moet zijn voorzien van een oordeel van een EDP-auditor en dient eens per jaar voor 15 maart opgesteld te worden. In de verantwoordingsrichtlijn SUWI is opgenomen waarover gerapporteerd dient te worden. Dit betreft onder meer het informatiebeveiligingsbeleid, de evaluatie daarvan en de taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van SUWInet gegevens.
Op 5 juni jl. heeft het CBP aangekondigd onderzoek te gaan doen naar de beveiliging van SUWInet bij gemeenten. Het CPB zal uw Kamer informeren over de voortgang van het onderzoek. In mijn brief van 30 juni jl. heb ik opgemerkt dat ik de Tweede Kamer aanstaande oktober zal informeren over de voortgang van het programma «Borging veilige gegevensuitwisseling via SUWInet». Hierbij zal ik ook ingaan op het verbetertraject dat door BKWI is ingezet naar aanleiding van het eerdere onderzoek van het CBP naar de toegang van niet-SUWI-partijen tot SUWInet.
Ik heb naar aanleiding van het onderzoek van Inspectie SZW een zogenaamde tafel informatiebeveiliging georganiseerd met bestuurders van UWV, SVB, VNG en CBP. Het BKWI is een organisatieonderdeel van UWV. Met het UWV voer ik periodiek overleg over BKWI.
Burgers kunnen via de gemeente bij BKWI een verzoek indienen voor geheimhouding van hun persoonlijke gegevens (o.a. adresgegevens). Gemeenten kunnen dan via de beheerder (BKWI) van SUWInet het BSN op een Blacklist laten plaatsen. Opvragingen van deze BSN worden dan binnen SUWInet geblokkeerd en medewerkers van gemeenten, UWV en SVB krijgen geen gegevens te zien van deze BSN. Naar aanleiding van de motie Van Weyenberg / Voortman om te onderzoeken welke mogelijke andere bronnen er zijn waaruit iemands adres kan worden opgemaakt, in bijzonder de polisadministratie van UWV, en met een integrale oplossing te komen, zal ik bezien hoe meer bekendheid aan burgers kan worden gegeven over de mogelijkheid gegevens binnen de (digitale) overheid geheim te houden. In een recent overleg met de Federatie Opvang, de VNG en het UWV is afgesproken om voor vrouwen die bedreigt worden een correspondentieadres op te nemen. UWV, VNG en de Federatie Opvang werken deze afspraak momenteel verder uit. Zodra dit gereed is, zal ik uw Kamer hierover informeren.
Iemand die wil weten wanneer en door wie zijn gegevens zijn geraadpleegd kan hiertoe een schriftelijk verzoek doen bij de beheerder van SUWInet, het BKWI. Dit verzoek moet voorzien zijn van naam, BSN, contactgegevens en een handtekening. Tevens dient een kopie van een geldig identiteitsbewijs, waarmee BSN en handtekening kunnen worden geverifieerd, meegestuurd te worden.
Ik beschik niet over informatie in welke mate gemeenten incassobureaus of andere derden toegang geven tot SUWInet. De uitvoeringspraktijk zoals aan de orde gekomen in de uitzending van ARGOS wijs ik af. Op grond van de Wet bescherming persoonsgegevens is het toegestaan om een derde partij gegevens te laten verwerken, waarbij het college van B&W verantwoordelijke blijft. Hiervoor dient een bewerkersovereenkomst te worden gesloten. In het geval een gemeente een incassobureau inschakelt, mogen alleen die gegevens worden verstrekt aan het incassobureau die nodig zijn voor het incassobureau om de vorderingen te kunnen innen. Het is dus niet toegestaan dat incassobureaus toegang krijgen tot meer gegevens dan noodzakelijk voor de uitoefening van hun taak. Op grond hiervan is rechtstreeks toegang tot SUWInet niet toegestaan.
De VNG heeft in juli 2015 in de notitie «uitbesteden en toegang tot SUWInet» aangegeven dat het autoriseren van medewerkers die onder het gezag staan van een partij waaraan is uitbesteed, zich niet verhoudt tot de Wet bescherming persoonsgegevens. De autorisaties aan deze medewerkers dienen te worden ingetrokken. In de brief die ik naar alle gemeenten zal versturen met daarin het escalatieprotocol, alsmede in de eerstvolgende verzamelbrief, zal ik gemeenten wijzen op het gebruik van de bewerkingsovereenkomst bij het verwerken van gegevens en het feit dat rechtstreeks toegang tot SUWInet voor incassobureaus niet is toegestaan.