image

Gemeenten verbeteren beveiliging persoonsgegevens Suwinet

donderdag 21 januari 2016, 10:42 door Redactie, 4 reacties

Nederlandse gemeenten hebben de beveiliging verbeterd van gegevens die via Suwinet worden uitgewisseld. Dat concludeert de Autoriteit Persoonsgegevens na onderzoek bij 13 gemeenten. Suwinet is een speciale besloten database waarin instanties als de Belastingdienst, de IB-groep, Kadaster, Rijksdienst Wegverkeer en het UWV maatschappelijk gevoelige persoonsgegevens met gemeenten uitwisselen.

Het systeem is bedoeld om te controleren of iemand recht heeft op een uitkering of om fraude met uitkeringen op te sporen. Het radioprogramma Argos publiceerde vorig jaar juni onderzoek waaruit bleek dat de meeste gemeenten de beveiliging van Suwinet nog steeds aan hun laars lappen en het voorkomt dat gemeenteambtenaren de salarisgegevens van bekende Nederlanders raadplegen en dat er adresgegevens van vrouwen in blijf-van-mijn-lijfhuizen aan gewelddadige ex-partners worden verstrekt. Ook zouden commerciële incassobureaus het systeem gebruiken.

Eind juni vorig jaar liet staatssecretaris Klijnsma de Tweede Kamer weten dat zij gemeenten die nalaten om de beveiliging op orde te brengen uiteindelijk van Suwinet zal afsluiten. "Een aantal gemeenten voldoet nu aan de onderzochte normen. Maar we zien ook gemeenten waar het nog steeds niet goed gaat", zegt Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens. "Hoe positief de ontwikkeling op sommige plaatsen ook is, het is onacceptabel dat elders het risico blijft bestaan dat gegevens in verkeerde handen komen. Als dit niet verandert, is het onvermijdelijk dat wij gaan handhaven".

Toegangsrechten

De Autoriteit Persoonsgegevens onderzocht of de gemeenten voldoen aan de belangrijkste beveiligingsnormen. Zo moet er een door het management goedgekeurd beveiligingsplan zijn voor Suwinet, moeten de toegangsrechten goed zijn geregeld in een formele procedure en moet het gebruik van Suwinet worden gecontroleerd. Twee van de onderzochte gemeenten, Delft en Eindhoven, voldoen inmiddels aan de onderzochte wettelijke vereisten voor de beveiliging van Suwinet.

Andere gemeenten voldeden bij sluiting van het onderzoek niet aan alle onderzochte eisen. Zo ontbrak het bij een aantal onderzochte gemeenten aan een formele autorisatieprocedure waarin is beschreven hoe toegangsrechten worden toegekend, gewijzigd en beëindigd. Tomesen: "Daarmee stel je vast wie wel en vooral ook wie niet bij deze gevoelige gegevens mogen". Verder was er bij sommige gemeenten geen beveiligingsplan specifiek voor Suwinet. Andere gemeenten hebben wel een beveiligingsplan, maar droegen dit onvoldoende uit in de organisatie of evalueerden het plan niet.

Een aantal gemeenten heeft na het onderzoek maatregelen getroffen of aangekondigd maatregelen te nemen om de resterende overtredingen te beëindigen. De Autoriteit Persoonsgegevens zal de komende tijd beoordelen of de gemeenten de overtredingen hebben beëindigd en kan zonodig handhavende maatregelen inzetten. Naast Delft en Eindhoven werden ook de gemeenten Enschede, Nunspeet, Zutphen, Baarle-Nassau, Brielle, Brummen, Heerenveen, Midden-Drenthe, Moerdijk, Werkendam en Woudenberg onderzocht.

Reacties (4)
21-01-2016, 10:45 door Anoniem
Aangezien Suwinet nog steeds niet veilig is, gaan er dus sinds 1 januari heel veel meldingen naar de AP over gegevens die via Suwinet gelekt zijn? Want Suwinet is nu nog steeds één groot datalek, zij het iets minder groot dan het was.

En die gegevens die eerst niet goed afgeschermd zijn, hoe gaat men die nu weer geheim maken? En worden de mensen over wie het ging op de hoogte gesteld en gecompenseerd?
21-01-2016, 11:31 door Anoniem
Door Anoniem: Aangezien Suwinet nog steeds niet veilig is, gaan er dus sinds 1 januari heel veel meldingen naar de AP over gegevens die via Suwinet gelekt zijn? Want Suwinet is nu nog steeds één groot datalek, zij het iets minder groot dan het was.

En die gegevens die eerst niet goed afgeschermd zijn, hoe gaat men die nu weer geheim maken? En worden de mensen over wie het ging op de hoogte gesteld en gecompenseerd?


Nee, die regelgeving is er toch niet voor de overheid ....
21-01-2016, 19:31 door karma4
Door Anoniem: Nee, die regelgeving is er toch niet voor de overheid ....
kletskoel, zie: http://wetten.overheid.nl/BWBR0011468/geldigheidsdatum_20-01-2016 de veiligheidsdiensten zijn wel uitgesloten de gemeentes vallen er gewoon onder. De BRP mogen ze niet op proces richtlijn beoordelen, die is namelijk wettelijk voorgeschreven. De uitvoering mogenze wel beoordelen. Doen ze dat en beweer je zo iets.

Zorgelijker zijn de "zelfregulerings convenanten" ofwel we zijn de verantwoordelijke controleur maan nemen genoegen met papieren beloftes. Dat speelt oa bij de finacials (DNB).
22-01-2016, 02:29 door Anoniem
IB-groep? Zij heten al jaren DUO?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.