Kamervraag 2016Z01342

Het bericht dat veel gemeenten de beveiliging van persoonsgegevens in Suwinet niet op orde hebben

Ingediend 25 januari 2016
Beantwoord 22 februari 2016 (na 28 dagen)
Indiener Astrid Oosenbrug (PvdA)
Beantwoord door Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA), Ard van der Steur (minister justitie en veiligheid) (VVD)
Onderwerpen bestuur gemeenten organisatie en beleid sociale zekerheid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2016Z01342.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20152016-1613.html
  • Vraag 1
    Kent u het bericht «Onnacceptabele risico's Suwinet blijven in stand»?1

    Ja.

  • Vraag 2
    Deelt u de mening dat het zorgelijk is dat vanwege de gebrekkige beveiliging van persoonsgegevens die met Suwinet worden uitgewisseld die gegevens in verkeerde handen kunnen vallen? Zo nee, waarom niet?

    Die mening deel ik. Over de privacy van burgers moet goed worden gewaakt. Zeker door overheden die toegang hebben tot gevoelige informatie. Daarom vinden VNG, UWV, SVB en de Staatssecretaris van Sociale Zaken en Werkgelegenheid het van groot belang dat deze partijen zorgvuldig omgaan met de informatie van burgers die zij tot hun beschikking hebben. Om deze partijen te bewegen zorgvuldig met deze informatie om te gaan is een escalatieprotocol «afsluiten Suwinet» opgesteld. Dit protocol is op 1 oktober 2015 aan de Tweede Kamer gestuurd.
    Gemeenten en de VNG hebben de afgelopen periode veel initiatieven genomen om de beveiliging van Suwinet te verbeteren (https://vng.nl/onderwerpenindex/werk-en-inkomen/suwinet). De VNG ondersteunt gemeenten met voorlichtingsmateriaal en heeft voorlichtingsbijeenkomsten voor gemeenten georganiseerd. Met behulp van de door de VNG ontwikkelde zelftest kunnen gemeenten zelf controleren of zij aan de 7 essentiële normen van Suwinet voldoen. De zelftest is de eerste stap in het escalatieprotocol.

  • Vraag 3
    Deelt u de mening dat overheden ook als het om bescherming van persoonsgegevens gaat een voorbeeldfunctie hebben en dat handhaving door de Autoriteit Persoonsgegevens eigenlijk niet eens nodig zou moeten zijn? Zo ja, hoe gaat u de desbetreffende gemeenten daar op aanspreken? Zo nee, waarom niet?

    Ik vind het van groot belang dat overheden zorgvuldig omgaan met de informatie van burgers die zij tot haar beschikking heeft. Wat betreft het gebruik van SUWInet kan dat nog verbeterd worden. De bescherming van persoonsgegevens is een grondrecht en het is niet acceptabel dat de overheid hierin tekortschiet. De Staatssecretaris van Sociale Zaken en Werkgelegenheid heeft gemeenten diverse malen gewezen op hun verantwoordelijkheid inzake de beveiliging van Suwinet. In 2015 heeft de Staatssecretaris de Inspectie SZW opdracht gegeven om onderzoek te doen naar de beveiliging van Suwinet bij alle gemeenten. Op dit moment verstuurt de Staatssecretaris de eerste brieven met een aankondiging tot een aanwijzing aan gemeenten die niet voldoen aan alle 7 normen. De betreffende gemeente krijgt een beperkte tijd om de beveiliging op orde te brengen. Indien een gemeente daarin niet slaagt volgt een aanwijzing. Deze aanwijzing kan eruit bestaan dat de Staatssecretaris gemeenten verplicht om een externe deskundige aan te stellen die de beveiliging van Suwinet op orde moet brengen. De kosten van deze externe deskundige zijn voor rekening van de gemeente. Als uiterste consequentie kan een gemeente worden afgesloten van Suwinet.

  • Vraag 4
    Verbeteren gemeenten ook zonder daar eerst onderzoek van de Autoriteit Persoonsgegevens voor af te wachten zelf de beveiliging van Suwinet? Zo ja, kunt u daar voorbeelden van geven? Zo nee, wat gaat u doen om gemeenten daartoe aan te zetten?

    Zie antwoord vraag 2.

  • Vraag 5
    Wordt er opgetreden tegen ambtenaren die misbruik maken van de gegevens in Suwinet bijvoorbeeld door zonder noodzaak de gegevens van bekende Nederlanders te raadplegen of de verblijfplaats van een (ex)partner in een blijf-van-mijn-lijf huis te achterhalen? Zo ja, door wie en met welke sancties? Zo nee, waarom niet?

    Organisaties dienen een Security Officer aan te stellen en die laten sturen, toezien op en waarborgen van veilig gebruik van Suwinet. De Security Officer controleert onder meer op het verlenen van de autorisaties en het gebruik van Suwinet. Via algemene en specifieke rapportages, die opgevraagd kunnen worden bij de beheerder van Suwinet, kan achterhaald worden welke BSN wordt opgevraagd door een medewerker. Op basis van deze informatie kan opgetreden worden bij misbruik en oneigenlijk gebruik. Het is aan de betreffende organisatie passende maatregelen te nemen bij misbruik en oneigenlijk gebruik van Suwinet variërende van een reprimande tot ontslag op staande voet.

  • Vraag 6
    Heeft de Autoriteit Persoonsgegevens inmiddels voldoende sanctiemiddelen en personele capaciteit om tegen schendingen van de persoonlijke levenssfeer op te treden? Zo nee, waarom niet en wat gaat u doen om dat te verbeteren?

    Per 1 januari 2016 is – vooruitlopend op de Europese verordening gegevensbescherming – de uitbreiding van de boetebevoegdheid in werking getreden. Op grond van het gewijzigde artikel 66 van de Wet bescherming persoonsgegevens (Wbp) kan de Autoriteit persoonsgegevens bij overtreding van de Wbp een bestuurlijke boete opleggen. In de regel gaat aan het opleggen van een bestuurlijke boete een bindende aanwijzing vooraf, tenzij de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid. Bij de bindende aanwijzing kan de Autoriteit een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd. Het niet nakomen van de bindende aanwijzing kan met een bestuurlijke boete worden bestraft. Samen met de reeds bestaande bevoegdheid, tot het opleggen van een last onder dwangsom, heeft de Autoriteit mijns inziens voldoende bevoegdheden voor het uitoefenen van haar handhavende taken. Voor wat betreft de personele capaciteit merk ik het volgende op. Mijn departement heeft geregeld contact met de Autoriteit over de budgettaire en capacitaire kaders. In die gesprekken is van de zijde van de Autoriteit geen mededeling gedaan waaruit blijkt dat wordt gekampt met een ernstig capacitair tekort. Ook uit de begroting van de Autoriteit voor het jaar 2017 blijkt niet van een tekort dat er toe zou leiden dat de taken in onvoldoende mate kunnen worden uitgevoerd.


Kamervraag document nummer: kv-tk-2016Z01342
Volledige titel: Het bericht dat veel gemeenten de beveiliging van persoonsgegevens in Suwinet niet op orde hebben
Kamerantwoord document nummer: ah-tk-20152016-1613
Volledige titel: Antwoord op vragen van het lid Oosenbrug over het bericht dat veel gemeenten de beveiliging van persoonsgegevens in Suwinet niet op orde hebben