Het UWV en de gemeente Den Bosch hebben onvoldoende maatregelen getroffen om ervoor te zorgen dat persoonsgegevens die met Suwinet worden uitgewisseld adequaat zijn beveiligd, zo blijkt uit onderzoek van het College bescherming persoonsgegevens (CBP).
Suwinet is een speciale database waarin instanties als de Belastingdienst, de IB-groep, Kadaster, Rijksdienst Wegverkeer en het UWV hun persoonsgegevens met gemeenten uitwisselen. Via Suwinet kan veel informatie over iemand worden verkregen. Dit kan bijvoorbeeld gaan om gegevens over arbeidsverleden, opleiding, alimentatie, uitkering of boetes.Volgens het CBP is het van groot belang dat deze gegevens goed zijn beschermd en dat alleen de daartoe bevoegde medewerkers bij deze gevoelige gegevens kunnen.
Zowel bij het UWV als bij de gemeente Den Bosch zijn de maatregelen niet toereikend om deze bescherming te kunnen bieden. Veel van de vereiste plannen of procedures zijn niet up to date, niet compleet of niet afgemaakt. Zowel het UWV, als beheerder van Suwinet, als Den Bosch als afnemer van Suwinet hebben geen beveiligingsplan specifiek gericht op Suwinet. Ook worden beveiligingsincidenten niet centraal geanalyseerd en afgewikkeld. Zo kan geen lering worden getrokken en kunnen geen adequate maatregelen worden genomen.
Bij het UWV wordt niet goed gelogd wie welke gegevens raadpleegt. Het CBP merkt op dat het juist van belang is en wettelijk verplicht om alle raadplegingen bij te houden, omdat daarmee onbevoegde toegang kan worden opgespoord en daartegen stappen kunnen worden ondernomen. Verder bleek dat gemeente Den Bosch onvoldoende maatregelen had getroffen om onbevoegde toegang tot Suwinet tegen te gaan. Zo was het mogelijk om voor een andere functie toegangsrechten te creëren.
Het Ierse ministerie van Sociale Zaken had ook toegang tot Suwinet om gegevens in te zien van Ieren die in Nederland hebben gewerkt of hier een uitkering hebben ontvangen om te beoordelen of zij recht hebben op een uitkering in Ierland. Het Ierse ministerie bleek echter ten onrechte toegang te hebben tot persoonsgegevens van alle personen in Suwinet. Het UWV heeft naar aanleiding van het onderzoek de gegevensverstrekking aan Ierland via Suwinet stopgezet.
De gemeente Den Bosch en het UWV hebben naar aanleiding van het onderzoek laten weten maatregelen te gaan treffen om de persoonsgegevens beter te beschermen. Het CBP zal de komende tijd controleren of het UWV en Den Bosch de overtredingen hebben beëindigd en kan zo nodig handhavende maatregelen inzetten.
Deze posting is gelocked. Reageren is niet meer mogelijk.