Eén van de systemen die de overheid gebruikt voor het uitwisselen van gegevens bevat kwetsbaarheden die tot privacyrisico's kunnen leiden, zo hebben onderzoekers vastgesteld. De onderzoekers deden in opdracht van het Ministerie van Sociale Zaken en Werkgelegenheid onderzoek naar Suwinet.
Suwinet is een speciale database waarin instanties als de Belastingdienst, de IB-groep, Kadaster, Rijksdienst Wegverkeer en het UWV hun persoonsgegevens met gemeenten uitwisselen. Via Suwinet kan veel informatie over iemand worden verkregen. Dit kan bijvoorbeeld gaan om gegevens over arbeidsverleden, opleiding, alimentatie, uitkering of boetes. Vorig jaar werd bekend dat ambtenaren in het jaar daarvoor 146 keer zonder geldige reden de privégegevens van bekende Nederlanders via het systeem hadden opgevraagd.
Uit het onderzoek blijkt dat er de afgelopen jaren een aantal samenhangende kwetsbaarheden zijn ontstaan die elkaar op een negatieve manier beïnvloeden en daarmee tot privacyrisico’s leiden. Deze kwetsbaarheden bevinden zich voornamelijk op het gebied van beveiliging, transparantie en verantwoording, en governance en toezicht. Op het gebied van beveiliging zijn daarbij twee grote problemen ontdekt.
Zo is er een mismatch tussen risicoprofiel en beveiligingsmaatregelen. Het risicoprofiel van de over Suwinet uitgewisselde gegevens is fors toegenomen. De beveiliging van de gegevens heeft daar niet op alle punten gelijke tred mee gehouden. Het gaat dan met name om de methoden voor authenticatie en autorisatie van gebruikers. Deze is te laag waardoor de toegang tot de gegevens onvoldoende kan worden afgeschermd en medewerkers niet kunnen ontkennen dat zij bepaalde handelingen hebben verricht omdat hun identiteit met onvoldoende zekerheid is vastgesteld.
Verder blijkt dat informatiebeveiliging bij gemeenten te wensen overlaat. "Veel gemeenten vormen een (veel te) zwakke schakel binnen de beveiliging in Suwinet", aldus de onderzoekers. Die stellen verder dat de ontdekte kwetsbaarheden kunnen leiden tot onbevoegd en oneigenlijk gebruik van gegevens waardoor de privacy van klanten in het geding komt en partijen in de keten of Suwinet zelf reputatieschade kunnen oplopen.
De onderzoekers doen verschillende aanbevelingen, waaronder het gebruik van sterkere authenticatie-oplossingen en het ontwikkelen van beveiligingsbeleid voor nieuwe ontwikkelingen zoals het nieuwe werken, maar ook het implementeren van goede logging en monitoring en het verzwaren van de aansluitvoorwaarden. Verder wordt er in de verbeterpunten op gewezen dat de mens de zwakke schakel blijft. "Dit vereist vanuit beveiligingsperspectief continu aandacht." Het rapport (pdf) werd vorig jaar april opgeleverd, maar is nu pas openbaar gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.