Nieuws

Ambtenaar SVB terecht ontslagen wegens misbruik Suwinet

maandag 5 december 2016, 12:22 door Redactie, 13 reacties

Laatst bijgewerkt: 05-12-2016, 15:06

De Sociale Verzekeringsbank (SVB) heeft een ambtenaar terecht op staande voet ontslagen omdat hij ten onrechte Suwinet had geraadpleegd. Dat heeft het Gerechtshof Amsterdam bepaald. Eerder oordeelde de rechter nog in het voordeel van de ambtenaar en stelde dat het ontslag onterecht was.

Die beslissing is nu in hoger beroep teruggedraaid. Suwinet is een besloten systeem waarmee verschillende overheidsorganisaties, zoals de Belastingdienst, de IB-groep en het UWV, maatschappelijk gevoelige persoonsgegevens uitwisselen in het kader van werk en inkomen. Via Suwinet kan veel informatie over iemand worden verkregen. Dit kan bijvoorbeeld gaan om gegevens over arbeidsverleden, opleiding, alimentatie, uitkering of boetes.

In het verleden is verschillende keren misbruik van Suwinet gemaakt. Zo bleken gemeenteambtenaren via Suwinet zonder noodzaak de gegevens van bekende Nederlanders te raadplegen en is de verblijfplaats van een (ex)partner in een blijf-van-mijn-lijf huis achterhaald. Ook in deze zaak bleek dat de ambtenaar misbruik van zijn bevoegdheden te hebben gemaakt om gegevens via Suwinet op te vragen.

De ambtenaar bekende zijn acties en werd uiteindelijk op staande voet ontslagen. De ambtenaar ging tegen die beslissing in beroep en kreeg gelijk van de kantonrechter. Volgens de kantonrechter had de ambtenaar kunnen voorzien dat het opvragen van Suwinet-gegevens voor niet-zakelijke redenen tot disciplinaire maatregelen zou kunnen leiden, maar had hij met de meeste zware sanctie, ontslag op staande voet, geen rekening hoeven te houden.

Het gerechtshof oordeelde echter dat de ambtenaar hiervoor wel ontslagen mag worden. "SVB is een publieke uitvoerder van een aantal sociale verzekeringswetten en aanverwante regelingen. Bij haar berusten privé-gegevens van de burger. De burger moet erop kunnen vertrouwen dat zijn gegevens veilig zijn bij SVB en strikt vertrouwelijk worden gehanteerd. SVB heeft dit uitgangspunt ook naar haar werknemers gecommuniceerd", zo laat het hof weten. "Daarbij komt dat bij het inloggen op het Suwi-net telkens de tekst verschijnt dat op misbruik maatregelen volgen en dat die maatregelen blijkens de tekst van de Gedragscode kunnen variëren van een waarschuwing tot ontslag. De omstandigheid dat daarbij niet expliciet is aangegeven dat daaronder ook ontslag op staande voet valt, doet daar niet aan af."

NL-Alert controlebericht in heel Nederland uitgezonden

Telefoonfabrikant verruilt Chinese updatesoftware voor Google

Reacties (13)

05-12-2016, 13:00 door MathFox

Ik heb het vonnis gelezen en vraag me af waarom niet eerder is opgemerkt dat de medewerker Suwinet misbruikte... Ze schijnt al maanden- (jaren?) lang onterecht gegevens opgevraagd te hebben.
Een gat bij de interne controle van de SVB?

05-12-2016, 13:13 door Anoniem

@Mathfox: Suwinet is helemaal niet ontworpen met een fijnmazige autorisatiestructuur, gebruikerscontrole en audit mogelijkheden als uitgangspunten. Wellicht zijn daar intussen een paar lapmiddelen op losgelaten maar ideaal zal het nooit worden.

05-12-2016, 13:18 door Anoniem

Het ontslag vond niet plaats op het moment van het incident maar weken later. Dat is per definitie geen ontslag op staande voet. Hoe kan een rechter dit goedkeuren?

Dit is een uitspraak van een rechtbank voor civiel recht, terwijl het hier om een ambtenaar gaat. Zou dit niet moeten worden gedaan door de bestuursrechter?

05-12-2016, 14:06 door Anoniem

Door MathFox: Ik heb het vonnis gelezen en vraag me af waarom niet eerder is opgemerkt dat de medewerker Suwinet misbruikte... Ze schijnt al maanden- (jaren?) lang onterecht gegevens opgevraagd te hebben.
Een gat bij de interne controle van de SVB?

Controle vindt (vond - ben er alweer een hele tijd weg) alleen plaats bij opvragen van gegevens van personen die niet in de eigen database van de SVB staan. Hoe zou je dat ook anders moeten doen? Voortdurend iemand over de schouder van alle medewerkers laten meekijken?

Overigens vraag ik me af of het gelinkte vonnis wel over dezelfde persoon gaat. Uit alles blijkt dat die persoon een man is, maar het artikel spreekt consequent van 'haar'.

05-12-2016, 14:36 door Anoniem

Het hof neemt voorts in aanmerking dat het overtreden van genoemde norm zich niet heeft beperkt tot een enkel incident, maar dat sprake is van een omvangrijk, voortdurend en langdurig misbruik van de toegang tot het Suwi-net waarbij [geïntimeerde] zonder redelijke grond vertrouwelijke persoonlijke en financiële informatie van anderen heeft bekeken

Dit is klare taal, en dus onbegrijpelijk dat de kantonrechter deze zwaarwegende feiten heeft genegeerd.

05-12-2016, 15:01 door Anoniem

De SVB is geen beheerder van Suwinet dus is afhankelijk van gegevens die door de beheerder worden verstrekt. Overigens zijn SVB-medewerkers geen ambtenaren, dus vallen wel degelijk onder civiel recht.

05-12-2016, 21:16 door Anoniem

Ach ja, 1 medewerker, met waarschijnlijk net zoveel onderbetaling van verrichte diensten, net zoveel kans en hoop op een vaste baan (NOT! krijg de pleuris, jij bent slechts een middel tot mijn doel), net zoveel waardering voor getoonde inzet (NOT! voor tig anderen, ik kruiwagen wel mijn werkelijk geliefden en dierbaarden naar voren ongeacht wat jij doet of presteert), kan het best moeilijk zijn om werkelijke loyaliteit te tonen. Zij zijt slecht tijdelijk wegwerpmateriaal om een tijdelijk gat te vullen. Totdat ik mijn zin krijg.

Ja, dat doet mensen echt denken dat zij zich in moeten zetten voor de zaak,

Gevolg is dat zij uiterst vatbaar zijn voor misbruik. Want ja, iemand die jouw bij voorbaat gaat dumpen om wat voor reden dan ook roept niet echt op tot loyaliteit. Dan liever een extra zakcentje verdienen op andere wijze.

Een oude wijsheid. Men krijgt wat men zaait.

Stel mensen kansloos bloot aan iets als Suwinet en er zal misbruik plaats vinden. Geheel en al voorstelbaar. Zeer begrijpelijk. Niets menselijk vreemd aan.

Waarom snapt men dit niet?

05-12-2016, 23:00 door Joep Lunaar

Door Anoniem: Het ontslag vond niet plaats op het moment van het incident maar weken later. Dat is per definitie geen ontslag op staande voet. Hoe kan een rechter dit goedkeuren?

Rechter keurt niets goed, maar oordeelt dat ontslag rechtmatig was. Op staande voet betreft moment van constatering, niet van de handeling.

Dit is een uitspraak van een rechtbank voor civiel recht, terwijl het hier om een ambtenaar gaat. Zou dit niet moeten worden gedaan door de bestuursrechter?

Neen, de bestuursrechter oordeelt over het handelen van een organisatie in haar hoedanigheid als bestuursorgaan. Dus als de SVB een kinderbijslagbesluit neemt kun je dat bij de bestuursrechter aanvechten, maar in deze ging het om de arbeidsovereenkomst tussen werkgever SVB en werknemer. (SVB is een "zelfstandige uitvoeringsorganisatie").

Als een ambtenaar zijn aanstelling in het geding is kom je wel weer bij een bijzondere bestuursrechter terecht, maar het aantal mensen dat voor een (semi)publieke organisatie werkt en ook ambtenaar is neemt rap af. Bovendien wordt het ambtenarenrecht steeds meer gelijk getrokken met het normale arbeidsrecht.

06-12-2016, 12:14 door Anoniem

Door Anoniem: Het ontslag vond niet plaats op het moment van het incident maar weken later. Dat is per definitie geen ontslag op staande voet. Hoe kan een rechter dit goedkeuren?

Als een suprieur de werkneem(st)er onstlaat bij het ontdekken of -al dan niet samen- evalueren van het incident, dan lijkt mij dat nog steeds ontslag op staande voet, oftwel direct en niet met een termijn.

06-12-2016, 14:59 door Anoniem

Door Anoniem: Ach ja, 1 medewerker, met waarschijnlijk net zoveel onderbetaling van verrichte diensten, net zoveel kans en hoop op een vaste baan (NOT! krijg de pleuris, jij bent slechts een middel tot mijn doel), net zoveel waardering voor getoonde inzet (NOT! voor tig anderen, ik kruiwagen wel mijn werkelijk geliefden en dierbaarden naar voren ongeacht wat jij doet of presteert), kan het best moeilijk zijn om werkelijke loyaliteit te tonen. Zij zijt slecht tijdelijk wegwerpmateriaal om een tijdelijk gat te vullen. Totdat ik mijn zin krijg.

Vreemde reactie, betrokkene was al vanaf 1983 in vaste dienst, lees de uitspraak eerst, dan weet je waar je het over hebt.

07-12-2016, 07:07 door Lex Borger

Heel jammer dat zo'n incident plaatsvindt. Het is een persoonlijk drama voor de medewerker, zelfs als het allemaal correct is afgehandeld.

Maar wat is de 'root cause'?
De vraag is nu dus in hoeverre dit voorkomen had kunnen worden. Heeft een bedrijf de ethische plicht de medewerkers tegen zichzelf te beschermen als dit simpel mogelijk is met een goed autorisatiebeheersysteem?

07-12-2016, 09:01 door Anoniem

Door Anoniem:

Ik heb al meerdere malen aangegeven bij instanties die privégegevens behandelen: Bij elke toegang van account zou er een email verzonden moeten worden. (in dit geval naar de IT afdeling die controle houd op gebruikers maar in het algemeen ook naar mij) Bij bv het online patient dossier vind ik dat telkens mijn account wordt geraadpleegd er mij een email moet worden gezonden. Zo kan ik zien welk persoon (dokter, apotheekmedewerker, ziekenhuismedewerker) mijn gegevens bekijkt en zo kan ik zien of dat terecht is. Als ik geen behandeling onderga of medicijnen gebruik hoeft er ook niet in mijn dossier gekeken te worden. Ik vind het persoonlijk niet erg emails te ontvangen als ik onder behandeling ben hierdoor heb ik grip op mijn privégegevens en kan ik zelf de veiligheid waarborgen. Zo zou dit op alle systemen moeten zijn waarbij het om het prive HOUDEN van gegevens belangrijk is. Dus laat de apotheek medewerker maar verklaren waarom hij/zij mijn account bezocht heeft. De dokter heeft geheimhouden verplicht opgelegd maar de apotheker kan daar iets milder mee omgaan. Ik weet het uit eerste hand: werkte bij NUTS verzekeringen en moet eerlijk toegeven dat het verleidelijk is om te snuffelen en alle gegevens in te zien. (Nu ik het belang ervan in zie zou ik dit zelf nooit meer doen.. en ook nooit meer gedaan)

07-12-2016, 12:14 door Anoniem

..de IT afdeling die controle houd op gebruikers..

Dat is geen taak voor een IT-afdeling.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer