"Beveiliging Suwinet bij alle gemeenten op orde"
De beveiliging van Suwinet is bij alle gemeenten op orde, zo heeft demissionair staatssecretaris van Sociale Zaken en Werkgelegenheid Jetta Klijnsma in een brief aan de Tweede Kamer laten weten. Suwinet is een besloten systeem waarmee verschillende overheidsorganisaties, zoals de Belastingdienst, de IB-groep en het UWV, maatschappelijk gevoelige persoonsgegevens uitwisselen in het kader van werk en inkomen.
In 2013 signaleerde de inspectie SZW ernstige tekortkomingen in de beveiliging van Suwinet bij gemeenten. Eind juni 2015 liet staatssecretaris Klijnsma de Tweede Kamer weten dat zij gemeenten die nalieten om de beveiliging op orde te brengen uiteindelijk van Suwinet zou gaan afsluiten. Op dat moment voldeden 198 gemeenten niet aan de zeven belangrijkste normen. Deze gemeenten werden vervolgens aangeschreven.
Volgens staatssecretaris Klijnsma hebben betrokken gemeenten de beveiliging verder verbeterd. Op verzoek van de staatssecretaris heeft de inspectie vorig jaar een steekproef gehouden onder 65 van de 198 gemeenten die niet aan de zeven belangrijkste normen voldeden. De inspectie concludeert dat alle gemeenten nu aan de zeven belangrijkste normen voldoen, aldus Klijnsma in haar brief (docx).
Privacy
Verder gaat de staatssecretaris in op maatregelen om de privacy van burgers te beschermen van wie de gegevens via Suwinet kunnen worden opgevraagd. Het gaat dan om het beperken van het aantal medewerkers met toegang tot Suwinet, het beperken van de gegevens die een medewerker van een persoon kan raadplegen, het beperken van het aantal personen waarvan een medewerker gegevens kan raadplegen en het beperken van het gebruik van zoeksleutels.
Daarnaast hebben het UWV, SVB en VNG onderzocht hoe de toegang tot het aantal personen waarvan een medewerker gegevens kan raadplegen kan worden beperkt. Zo gaan gemeenten en de SVB met whitelists werken. Bij de SVB betekent dit dat een medewerker via Suwinet toegang zal hebben tot ongeveer 400.000 personen op een totaal van 4 miljoen personen waarvoor de SVB diensten verleent. De SVB gaat deze stap dit jaar zetten.
Het UWV gaat in de toekomst met applicaties werken waarin medewerkers alleen de gegevens van personen zien die tot de 'caseload' van een medewerker behoren. Daar waar een dergelijke applicatie niet mogelijk is zal UWV de toegang op proces- of afdelingsniveau beperken. Het UWV zal deze maand laten weten wanneer het de privacymaatregelen gaat invoeren.
11 april heeft tenslotte 2 énen .......
Correcte titel : Kleinsma vermoed dat beveiliging Suwinet op orde is.
Ze vermoed het op basis van een steekproef.
Weten doe je het pas als je alle (198) gemeenten die niet voldeden hebt gecontroleerd.
Niet gebeurd dus lijkt mij de bewering dat alle gemeenten voldoen onjuist.
Dan zou een implementatie van eendeelsysteem wat suwinet is beweren dat alles wel op orde is. De tegenspraak spat er vanaf.
Jette kleijnsma heeft wel vaker newspeak bedreven. Daar is ze goed in.
In het laatste is de betekenis omgedraaid aan de oorspronkelijke.
Toevoeging het rapport 2015 https://www.inspectieszw.nl/Images/Suwinet-veilig-omgaan-met-elkaars-gegevens_tcm335-365900.pdf De normen: 1.3 1.4 1.5 2.2 2.3 13.1 13.5 zijn de 7 normen waarna gekeken is met een vergelijk tov 2013. Lees zelf en denk er eens over hoe manipuleerbaar een resultaat is en hoeveel het zegt. Het complete verhaal is vernieuwd per 1 april 2017, dit is het: https://www.bkwi.nl/_Resources/Persistent/452839ba4df373fc47b945af6c04514759f015f5/Specifiek%20Suwinet-normenkader%20Afnemers.1.01.2017.pdf Als je die wereld kent is het bijna onmogelijk dat alles perfect is. Niet voor niets waren er maar 7 uit gehaald.
Sorry Ron, PDF is er niet aan de orde. Eerst de beveiligingsnormen als open standaarden bir tnk iso27k.
Het zou na het eerste kwartaal 2017 opgelost zijn, maar 2020 is ook na het eerste kwartaal van 2017. :-)
Kortom er staat meta data in het DOCX bestandje die wellicht ongewenst naar buiten komt op deze manier ?
Ofwel: men heeft geen idee of de normen anno 2017 nog steeds worden nageleefd door gemeenten die in 2013 'compliant' waren (met ref. naar de opmerking van karma hierboven). Men heeft geen idee hoe het met de andere normen staat en men heeft geen idee hoe het met de overige gemeenten met eerdere gebreken is gesteld.
Kortom: dit rammelt niet aan één, maar aan álle kanten, ongelooflijk dat een staatsecretaris op basis hiervan durft te stellen dat alle gemeenten compliant zijn én dat de beveiliging daarmee is geborgd (ook nogal een aanname).
Als het geen overheidsinstantie was die onze gegevens moest beschermen zou je erom lachen, dit is om te huilen, wat een amateurisme.
Kortom: dit rammelt niet aan één, maar aan álle kanten, ongelooflijk dat een staatsecretaris op basis hiervan durft te stellen dat alle gemeenten compliant zijn én dat de beveiliging daarmee is geborgd (ook nogal een aanname).
Alleen dan kunnen alle partijen er zeker van zijn dat het constant echt op orde is. Niet met een steekproef...
Kortom: we weten al burger nog steeds niet zeker of onze gegevens juist behandeld worden.
Gelukkig valt Suwinet straks onder de BIG, of straks BIO, en dat moeten gemeenten meer gaan doen dan alleen de 7 normen implementeren.
Wat overigens wel apart is dat de Security Officer minstens 2 keer per jaar het gebruik van de gegevens moet beoordelen en daarover moet rapporteren. Daar bestaan verschillende opvattingen over en de meest gehanteerde is dat er een algemeen rapport wordt opgevraagd bij BKWI waaruit eventuele afwijkingen worden gehaald die specifiek worden onderzocht. Ik weet niet of er mensen hier zijn die zo'n algemeen Suwinet rapport van BKWI ooit gezien hebben maar als je daar überhaupt iets over het daadwerkelijke gebruik uit kan halen is dat knap. Dat rapport is waardeloos om onderzoeken mee te moeten doen en dat zegt meteen iets over de waarde van het aan de 7 normen voldoen, erg weinig dus.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
