image

CBP: persoonsgegevens Suwinet niet goed beveiligd

donderdag 4 december 2014, 09:56 door Redactie, 6 reacties

Het UWV en de gemeente Den Bosch hebben onvoldoende maatregelen getroffen om ervoor te zorgen dat persoonsgegevens die met Suwinet worden uitgewisseld adequaat zijn beveiligd, zo blijkt uit onderzoek van het College bescherming persoonsgegevens (CBP).

Suwinet is een speciale database waarin instanties als de Belastingdienst, de IB-groep, Kadaster, Rijksdienst Wegverkeer en het UWV hun persoonsgegevens met gemeenten uitwisselen. Via Suwinet kan veel informatie over iemand worden verkregen. Dit kan bijvoorbeeld gaan om gegevens over arbeidsverleden, opleiding, alimentatie, uitkering of boetes.Volgens het CBP is het van groot belang dat deze gegevens goed zijn beschermd en dat alleen de daartoe bevoegde medewerkers bij deze gevoelige gegevens kunnen.

Zowel bij het UWV als bij de gemeente Den Bosch zijn de maatregelen niet toereikend om deze bescherming te kunnen bieden. Veel van de vereiste plannen of procedures zijn niet up to date, niet compleet of niet afgemaakt. Zowel het UWV, als beheerder van Suwinet, als Den Bosch als afnemer van Suwinet hebben geen beveiligingsplan specifiek gericht op Suwinet. Ook worden beveiligingsincidenten niet centraal geanalyseerd en afgewikkeld. Zo kan geen lering worden getrokken en kunnen geen adequate maatregelen worden genomen.

Bij het UWV wordt niet goed gelogd wie welke gegevens raadpleegt. Het CBP merkt op dat het juist van belang is en wettelijk verplicht om alle raadplegingen bij te houden, omdat daarmee onbevoegde toegang kan worden opgespoord en daartegen stappen kunnen worden ondernomen. Verder bleek dat gemeente Den Bosch onvoldoende maatregelen had getroffen om onbevoegde toegang tot Suwinet tegen te gaan. Zo was het mogelijk om voor een andere functie toegangsrechten te creëren.

Ierland

Het Ierse ministerie van Sociale Zaken had ook toegang tot Suwinet om gegevens in te zien van Ieren die in Nederland hebben gewerkt of hier een uitkering hebben ontvangen om te beoordelen of zij recht hebben op een uitkering in Ierland. Het Ierse ministerie bleek echter ten onrechte toegang te hebben tot persoonsgegevens van alle personen in Suwinet. Het UWV heeft naar aanleiding van het onderzoek de gegevensverstrekking aan Ierland via Suwinet stopgezet.

De gemeente Den Bosch en het UWV hebben naar aanleiding van het onderzoek laten weten maatregelen te gaan treffen om de persoonsgegevens beter te beschermen. Het CBP zal de komende tijd controleren of het UWV en Den Bosch de overtredingen hebben beëindigd en kan zo nodig handhavende maatregelen inzetten.

Reacties (6)
04-12-2014, 10:02 door Anoniem
Lekker bezig weer. Krijgen al die gemeenten een eigen IB-standaard, doen ze er weer niks mee.
Oh die ambtenaren..
04-12-2014, 11:08 door Anoniem
Goh, wat een verrassing. Een database word misbruikt voor doeleinden anders als bedoeld.

Paar vragen:

1. Welke gegevens zouden in theorie doorgegeven kunnen zijn aan Ierland? ALLES????
2. Welke straffen krijgen het UWV/Overheid hiervoor? Welke ambtenaar heeft dit goedgevonden? Wie kunnen we hier aansprakelijk voor stellen bij het UWV? (Namen graag; ik wil een proces starten! en een UWV medewerker is NIET beschermd door het bosman-arrest; is immers geen ambtenaar!)
3. Welke sancties zijn er uitgedeeld? Ik lees hier niets over; en in potentie is dus alle gegevens in deze dbase (en die is veels te uitgebreid! alle overheidsgegevens staan erin!) van 17 miljoen nederlanders gelekt..

Of komt het UWV er hier mee weg met een 'oops' ?

Ik begrijp dat het mogelijk is dat Ierland ALLE gegevens van NL heeft gedownload.... Hoe kunnen we hiervandaan die gegevens bekijken, en eventueel laten corrigeren als het niet blijkt te kloppen?


En waarom hebben we geen spoeddebat in de kamer hierover?? Neuuuu, niet nodig denkt men waarschijnlijk.. Maar dit is in potentie het grootste lek wat we ooit hebben gehad in NL.

Is er de mogelijkheid om een proces te starten tegen ierland om dit soort gegevens te laten invalideren/verwijderen?

Pffff.. Wat een typisch overheidspuinzooitje weer.... Lees me mee opstelten? Dit is het gevolg van alles maar lekker aan elkaar knopen; en niet snappen wie ergens in kan roeren.
04-12-2014, 12:00 door Preddie
En welke sancties heeft het CBP opgelegd ?

.... of is het weer het zelfde liedje; het loont om te besparen op beveiligingskosten want als je controle krijgt, krijg je toch geen boete. Elke jaar dat het CBP niet expliciet komt controleren hou je de centen lekker in je zak....

Het CBP begint steeds meer op een grap te lijken die puur en alleen voor de bühne in het leven is geroepen ....
04-12-2014, 15:43 door Anoniem
Er wordt heel negatief over de beveiliging gedaan bij gemeenten in de pers maar van de gemeenten die het wel gewoon goed doen hoor je nooit iets. Toegegeven, ze vormen wel de minderheid maar toch het is niet allemaal kommer en kwel. Jammer dat de positieve voorbeelden nooit het nieuws halen want dat is business as usual.
04-12-2014, 16:52 door Anoniem
Door Anoniem: Er wordt heel negatief over de beveiliging gedaan bij gemeenten in de pers maar van de gemeenten die het wel gewoon goed doen hoor je nooit iets. Toegegeven, ze vormen wel de minderheid maar toch het is niet allemaal kommer en kwel. Jammer dat de positieve voorbeelden nooit het nieuws halen want dat is business as usual.

Wat denk je van alle gewone organisaties die zich met wel beperkte middelen een slag in de rondte werken? Om aan alle eisen te voldoen - van diezelfde overheid die voor zichzelf keer op keer uitzonderingen maakt. Zeer frustrerend en uiteindelijk gevaarlijk voor burgers.

Lees het rapport: http://www.cbpweb.nl/Pages/pb_20141203_beveiliging-suwinet.aspx
De incompetentie die werkelijk van elke pagina van dat rapport spat, wat een beschamende vertoning. Als bedrijf zou je dit niet overleven, einde verhaal. Bij de overheid is dit business as usual, iedereen blijft zitten waar ie zit en met z'n ontslagbescherming van 9-16 uur (en niet op vrijdag bellen hoor). En UWV zelf maar boetes opleggen aan anderen die zich niet aan hun regelwoud houden. Hoe scheef willen we het hebben. En dit is Nederland.
05-12-2014, 08:55 door Anoniem
Tendieuze kop weer want er is helemaal niets mis met de beveiliging van Suwinet, het probleem is van organisatorische aard bij veel gemeenten. Overigens moet het CBP heel snel zwijgen want deze geeft toestemming voor verwerkingen waarvan je je moet afvragen of ze bij het CBP wel goed bij hun hoofd zijn. Het is altijd gemakkelijk wijzen naar wat een ander fout doet dan zelf eens het boetekleed aan trekken. Gooed, dat mogen veel gemeenten ook en daar wordt veel te weinig op gehandhaafd. Helaas is dat best moeilijk omdat het lastig is om gemeenten van Suwinet af te sluiten want Suwinet is nodig voor de uitvoering van wettelijke taken. Lastig een overheid die de wettelijke taken niet kan uitoefenen omdat een informatiebron is afgesloten. Ga dat maar eens aan de burger uitleggen. Bestuurlijke boetes zouden wel kunnen helpen maar dan moeten ze wel hoog genoeg zijn. Keerzijde is dat een gemeente dan ergens op gaat bezuinigen om de bestuurlijke boete weer terug te 'verdienen'. En we weten dat dergelijke bezuinigingen altijd de zwakkeren in deze maatschappij treffen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.