Nieuws

UWV stopt overtredingen Suwinet na onderzoek toezichthouder

donderdag 7 april 2016, 15:35 door Redactie, 5 reacties

UWV en de gemeente ’s-Hertogenbosch zijn na onderzoek van de Autoriteit Persoonsgegevens gestopt met overtredingen bij het uitwisselen van persoonsgegevens via Suwinet. Suwinet is een speciale besloten database waarin instanties als de Belastingdienst, de IB-groep, Kadaster, Rijksdienst Wegverkeer en het UWV maatschappelijk gevoelige persoonsgegevens met gemeenten uitwisselen.

Het systeem, dat door het UWV wordt beheerd, is bedoeld om te controleren of iemand recht heeft op een uitkering of om fraude met uitkeringen op te sporen. De Autoriteit Persoonsgegevens constateerde in 2014 dat niet alle raadplegingen van Suwinet werden gelogd. Inmiddels heeft het UWV afspraken gemaakt met afnemers van Suwinet. Zij leveren gegevens over hun gebruik van Suwinet aan het UWV. Hierdoor kan de instantie op onbevoegde toegang controleren en kunnen zonodig maatregelen worden getroffen. Het UWV zal de Autoriteit Persoonsgegevens voor het eind van dit jaar over de uitvoering van deze afspraken informeren.

De gemeente ’s-Hertogenbosch is een afnemer van Suwinet. Niet alle medewerkers binnen een gemeente mogen persoonsgegevens via Suwinet raadplegen. Een gemeente moet ervoor zorgen dat alleen bevoegde medewerkers bij deze gegevens kunnen. De Autoriteit Persoonsgegevens stelde in 2014 vast dat er binnen de gemeente 's-Hertogenbosch voor teveel functies toegangsrechten konden worden gecreëerd. De gemeente heeft het autorisatiebeleid nu aangepast.

Ook hebben het UWV en de gemeente ’s-Hertogenbosch inmiddels een beveiligingsplan specifiek gericht op Suwinet. Daarnaast zijn er procedures voor het analyseren en afwikkelen van incidenten. Volgens de Autoriteit Persoonsgegevens zijn daarmee de overtredingen beëindigd. Begin dit jaar publiceerde de toezichthouder de resultaten van onderzoek naar het gebruik van Suwinet bij 13 gemeenten. Daaruit bleek dat twee gemeenten aan de onderzochte wettelijke vereisten voor de beveiliging van Suwinet voldeden.

Oekraïense autoriteiten halen Linuxbotnet uit de lucht

FBI: exploit werkt alleen op iPhone 5c met iOS 9

Reacties (5)

07-04-2016, 15:52 door Anoniem

Lees effe op de web site van BKWI hoe het echt zit met Suwinet redactie...

07-04-2016, 16:10 door Anoniem

Zij leveren gegevens over hun gebruik van Suwinet aan het UWV. Hierdoor kan de instantie op onbevoegde toegang controleren en kunnen zonodig maatregelen worden getroffen.

En dit is veilig? Ik kan ook een lijstje met namen opsturen. Elke dag weer. Daarmee toon je niets aan. Het is wel weer heel erg vertrouwen op de blauwe ogen... Want in de lijst staat dat peitje 10 keer is ingelogd op Stuwinet. Maar in werkelijkheid heeft pietje zijn login gedeelt met klaasje en jantje. En die mogen er niet bij.

En dat ga je echt tegen met zulke lijstjes...

07-04-2016, 22:33 door Anoniem

Ik herinner nog even aan de reactie van de minister van binnenlandse zaken van vorige maand over de veiligheid bij de gemeenten:

Alle gemeenten implementeren momenteel de maatregelen en normen uit de BIG. Mij zijn dus geen gemeenten bekend die informatiebeveiliging in het algemeen of de beveiliging van persoonsgegevens in het bijzonder niet op orde zouden hebben.

De AP constateerde in 2014 na een controle bij slechts 13 van 390 gemeenten dat er bij 11 gemeenten de WBP werd overtreden. Sinds die tijd is er slechts 1x melding gemaakt dat het probleem na meer dan een jaar is opgelost. Hoe kan de minister dan glashard beweren dat de beveiliging op orde zou zijn? En als het bij 84% mis was in een steekproef, waarom zijn de andere 377 gemeenten dan niet gecontroleerd. Het resultaat van destijds kan niet tot de conclusie leiden dat er geen signalen zijn dat er niets gemeld is over onvoldoende beveiliging van persoonsgegevens, het kan evenmin tot de conclusie leiden dat de beveiliging van de persoonsgegevens voldoende is. De minister heeft de volksvertegenwoordiging niet de waarheid verteld.

08-04-2016, 15:05 door Anoniem

Er worden hier een aantal zaken door elkaar gehaald want er is Suwinet-Inlezen en er Suwinet-Inkijk. Van het laatste is het BKWI, dochter van het UWV, wettelijk verplicht om alle handelingen te loggen, indien er dus blijkbaar zaken niet werden gelogd zijn deze de fout ingegaan. Van Suwinet-Inlezen is er geen rapportage verplichting van gemeenten aan BKWI of UWV omdat het om gegevens vanuit de eigen gemeentelijke systemen gaat. De Gemeenten, en specifiek de sociale diensten, hebben geen rapportage verplichting aan het UWV maar aan het eigen college over het gebruik van Suwinet-Inkijk, en dat college rapport weer aan de minister SZW.
Suwinet-Inlezen wordt alleen door gemeentelijke belastingdiensten gebruikt voor het vaststellen van het derden beslag. Er zijn een paar gemeenten die dat gebruiken maar ook die rapporteren daar niet over aan het UWV maar aan hun eigen college.
In 2015 wilde de AP het UWV een boete opleggen omdat het UWV van Suwinet-Inlezen niet kon vaststellen wat er met de gegevens gebeurde, wat niet onlogisch is want het UWV heeft geen toegang tot gemeentelijke systemen. De AP eiste dat gemeenten verplicht aan het UWV inzage moesten geven over de verwerking van de eigen gegevens. De VNG is hier tegen in verzet gekomen omdat gemeenten verantwoording afleggen aan het eigen college en niet aan een beheerder van het UWV, het BKWI. Gemeenten zijn zelf ook bronhouder dus is het vreemd dat een bronhouder over de eigen gegevens aan een beheerder van het UWV verantwoording zou moeten gaan afleggen. Juridisch klopt daar helemaal niets van dus zowel het UWV als de AP bevinden zich op bijzonder glad ijs. De eerste en beste gemeente die hiervoor naar de rechter stapt krijgt daarvan gegarandeerd gelijk en zo'n blamage zou niet goed zijn voor het vertrouwen in het UWV en de AP, vandaar dat de boete ook niet is aangezegd.

09-04-2016, 16:58 door Anoniem

Als jij of ik zouden doen wat de overheid doet hadden we al lang en breed in de gevangenis gezeten. En de overheid doet dat dagelijks.
Een lijstje met namen die een inlogcode hebben: en dan is het goed; en ondertussen weet iedereen de inlogcode van de ander.
En je heb geen recht om uit die systemen te komen (probeer het maar eens)
Zelfs van je kind wordt alles vastgelegd door school, consultatiebureau, logopedie (gaat via de gemeente) ook al wil je dat niet.
We zijn een nummertje in een veestapel van een dictatuur geworden.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer