image

"Beveiliging Suwinet bij alle gemeenten op orde"

dinsdag 11 april 2017, 14:28 door Redactie, 16 reacties

De beveiliging van Suwinet is bij alle gemeenten op orde, zo heeft demissionair staatssecretaris van Sociale Zaken en Werkgelegenheid Jetta Klijnsma in een brief aan de Tweede Kamer laten weten. Suwinet is een besloten systeem waarmee verschillende overheidsorganisaties, zoals de Belastingdienst, de IB-groep en het UWV, maatschappelijk gevoelige persoonsgegevens uitwisselen in het kader van werk en inkomen.

In 2013 signaleerde de inspectie SZW ernstige tekortkomingen in de beveiliging van Suwinet bij gemeenten. Eind juni 2015 liet staatssecretaris Klijnsma de Tweede Kamer weten dat zij gemeenten die nalieten om de beveiliging op orde te brengen uiteindelijk van Suwinet zou gaan afsluiten. Op dat moment voldeden 198 gemeenten niet aan de zeven belangrijkste normen. Deze gemeenten werden vervolgens aangeschreven.

Volgens staatssecretaris Klijnsma hebben betrokken gemeenten de beveiliging verder verbeterd. Op verzoek van de staatssecretaris heeft de inspectie vorig jaar een steekproef gehouden onder 65 van de 198 gemeenten die niet aan de zeven belangrijkste normen voldeden. De inspectie concludeert dat alle gemeenten nu aan de zeven belangrijkste normen voldoen, aldus Klijnsma in haar brief (docx).

Privacy

Verder gaat de staatssecretaris in op maatregelen om de privacy van burgers te beschermen van wie de gegevens via Suwinet kunnen worden opgevraagd. Het gaat dan om het beperken van het aantal medewerkers met toegang tot Suwinet, het beperken van de gegevens die een medewerker van een persoon kan raadplegen, het beperken van het aantal personen waarvan een medewerker gegevens kan raadplegen en het beperken van het gebruik van zoeksleutels.

Daarnaast hebben het UWV, SVB en VNG onderzocht hoe de toegang tot het aantal personen waarvan een medewerker gegevens kan raadplegen kan worden beperkt. Zo gaan gemeenten en de SVB met whitelists werken. Bij de SVB betekent dit dat een medewerker via Suwinet toegang zal hebben tot ongeveer 400.000 personen op een totaal van 4 miljoen personen waarvoor de SVB diensten verleent. De SVB gaat deze stap dit jaar zetten.

Het UWV gaat in de toekomst met applicaties werken waarin medewerkers alleen de gegevens van personen zien die tot de 'caseload' van een medewerker behoren. Daar waar een dergelijke applicatie niet mogelijk is zal UWV de toegang op proces- of afdelingsniveau beperken. Het UWV zal deze maand laten weten wanneer het de privacymaatregelen gaat invoeren.

Image

Reacties (16)
11-04-2017, 14:32 door [Account Verwijderd]
[Verwijderd]
11-04-2017, 14:45 door Ron625
Het is 2x 1 april :-)
11 april heeft tenslotte 2 énen .......
11-04-2017, 14:58 door Anoniem
Op verzoek van de staatssecretaris heeft de inspectie vorig jaar een steekproef gehouden onder 65 van de 198 gemeenten die niet aan de zeven belangrijkste normen voldeden.

Correcte titel : Kleinsma vermoed dat beveiliging Suwinet op orde is.

Ze vermoed het op basis van een steekproef.
Weten doe je het pas als je alle (198) gemeenten die niet voldeden hebt gecontroleerd.
Niet gebeurd dus lijkt mij de bewering dat alle gemeenten voldoen onjuist.
11-04-2017, 15:02 door Anoniem
De eigen verzonnen normen. Hier duidelijk onherkenbaar gemaakt.
11-04-2017, 15:09 door karma4
Rotterdam heeft dd cultuur rond informatiebeveiliging niet op orde. Dat wordt vervolgens oa door de digicommisaris als een gangbaar iets gezien dat overal speelt.
Dan zou een implementatie van eendeelsysteem wat suwinet is beweren dat alles wel op orde is. De tegenspraak spat er vanaf.

Jette kleijnsma heeft wel vaker newspeak bedreven. Daar is ze goed in.
11-04-2017, 15:30 door Anoniem
Jette kleijnsma heeft wel vaker newspeak bedreven. Daar is ze goed in.
anders was het ook geen nieuws dummie
11-04-2017, 15:46 door Anoniem
geen pdf of opendocument standaard?
11-04-2017, 17:25 door karma4 - Bijgewerkt: 12-04-2017, 06:04
Door Anoniem:
Jette kleijnsma heeft wel vaker newspeak bedreven. Daar is ze goed in.
anders was het ook geen nieuws dummie
Was geen verwijzing naar news speak maar naar New speak. https://nl.wikipedia.org/wiki/Newspeak
In het laatste is de betekenis omgedraaid aan de oorspronkelijke.

Toevoeging het rapport 2015 https://www.inspectieszw.nl/Images/Suwinet-veilig-omgaan-met-elkaars-gegevens_tcm335-365900.pdf De normen: 1.3 1.4 1.5 2.2 2.3 13.1 13.5 zijn de 7 normen waarna gekeken is met een vergelijk tov 2013. Lees zelf en denk er eens over hoe manipuleerbaar een resultaat is en hoeveel het zegt. Het complete verhaal is vernieuwd per 1 april 2017, dit is het: https://www.bkwi.nl/_Resources/Persistent/452839ba4df373fc47b945af6c04514759f015f5/Specifiek%20Suwinet-normenkader%20Afnemers.1.01.2017.pdf Als je die wereld kent is het bijna onmogelijk dat alles perfect is. Niet voor niets waren er maar 7 uit gehaald.

Sorry Ron, PDF is er niet aan de orde. Eerst de beveiligingsnormen als open standaarden bir tnk iso27k.
11-04-2017, 19:15 door Anoniem
Correcte titel : Kleinsma vermoed dat beveiliging Suwinet op orde is.
Correcte zin: Kleinsma vermoedt dat beveiliging Suwinet op orde is.
11-04-2017, 19:34 door Ron625
Door Anoniem: geen pdf of opendocument standaard?
De tweede-kamer is de enige overheid, die zich consequent niet aan de OpenStandaard regels houdt.
Het zou na het eerste kwartaal 2017 opgelost zijn, maar 2020 is ook na het eerste kwartaal van 2017. :-)
11-04-2017, 22:23 door Anoniem
Grappig een Word Document heeft allerlei properties die je zo kan opvragen, PDF heeft daar minder last van.
Kortom er staat meta data in het DOCX bestandje die wellicht ongewenst naar buiten komt op deze manier ?
12-04-2017, 10:19 door Anoniem
IB-groep heet al enige jaren DUO (dienst uitvoering onderwijs).
12-04-2017, 10:47 door Anoniem
Dus; op basis van een steekproef in 2016 onder alleen die gemeenten die in 2013 (!!) een non-compliance scoorden op een van de 7 normen (van de 28 in totaal) wordt geconstateerd dat anno 2017 alle gemeenten voldoen aan de normen.

Ofwel: men heeft geen idee of de normen anno 2017 nog steeds worden nageleefd door gemeenten die in 2013 'compliant' waren (met ref. naar de opmerking van karma hierboven). Men heeft geen idee hoe het met de andere normen staat en men heeft geen idee hoe het met de overige gemeenten met eerdere gebreken is gesteld.

Kortom: dit rammelt niet aan één, maar aan álle kanten, ongelooflijk dat een staatsecretaris op basis hiervan durft te stellen dat alle gemeenten compliant zijn én dat de beveiliging daarmee is geborgd (ook nogal een aanname).

Als het geen overheidsinstantie was die onze gegevens moest beschermen zou je erom lachen, dit is om te huilen, wat een amateurisme.
12-04-2017, 12:51 door Anoniem
Door Anoniem: Dus; op basis van een steekproef in 2016 onder alleen die gemeenten die in 2013 (!!) een non-compliance scoorden op een van de 7 normen (van de 28 in totaal) wordt geconstateerd dat anno 2017 alle gemeenten voldoen aan de normen.

Kortom: dit rammelt niet aan één, maar aan álle kanten, ongelooflijk dat een staatsecretaris op basis hiervan durft te stellen dat alle gemeenten compliant zijn én dat de beveiliging daarmee is geborgd (ook nogal een aanname).
Precies. Als je ISO27001 gecertificeerd bent, word je elk jaar geaudit of het nog op orde is en krijg je elke 3 jaar een volledige audit voor hercertificering.
Alleen dan kunnen alle partijen er zeker van zijn dat het constant echt op orde is. Niet met een steekproef...
Kortom: we weten al burger nog steeds niet zeker of onze gegevens juist behandeld worden.
12-04-2017, 14:23 door Ron625 - Bijgewerkt: 12-04-2017, 21:28
Door Anoniem:Kortom: we weten al burger nog steeds niet zeker of onze gegevens juist behandeld worden.
We kunnen er rustig van uitgaan, dat onze gegevens niet juist behandeld worden.
13-04-2017, 07:28 door Anoniem
Wat Klijnsma beweerd is gewoon waar, alle gemeenten voldoen aan de 7 kritische Suwinet normen. Alleen zijn dat de normen die als meest kritisch zijn bestempeld maar helaas zijn er nog meer normen waar gemeenten aan moeten voldoen.
Gelukkig valt Suwinet straks onder de BIG, of straks BIO, en dat moeten gemeenten meer gaan doen dan alleen de 7 normen implementeren.
Wat overigens wel apart is dat de Security Officer minstens 2 keer per jaar het gebruik van de gegevens moet beoordelen en daarover moet rapporteren. Daar bestaan verschillende opvattingen over en de meest gehanteerde is dat er een algemeen rapport wordt opgevraagd bij BKWI waaruit eventuele afwijkingen worden gehaald die specifiek worden onderzocht. Ik weet niet of er mensen hier zijn die zo'n algemeen Suwinet rapport van BKWI ooit gezien hebben maar als je daar überhaupt iets over het daadwerkelijke gebruik uit kan halen is dat knap. Dat rapport is waardeloos om onderzoeken mee te moeten doen en dat zegt meteen iets over de waarde van het aan de 7 normen voldoen, erg weinig dus.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.