Vergroot contrast

AP: gemeenten beëindigen overtredingen beveiliging Suwinet

Elf gemeenten hebben de eerder door de Autoriteit Persoonsgegevens (AP) geconstateerde overtredingen met betrekking tot de beveiliging van persoonsgegevens die met Suwinet worden uitgewisseld beëindigd. De gemeenten voldoen nu aan de belangrijkste beveiligingsnormen voor Suwinet, constateert de AP. Zo hebben ze een door het management goedgekeurd beveiligingsplan voor Suwinet, zijn de toegangsrechten goed geregeld in een formele procedure en wordt het gebruik van Suwinet gecontroleerd. Door deze maatregelen wordt het risico verkleind dat persoonsgegevens van burgers in verkeerde handen komen.

Onderzoek Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens deed in 2015 onderzoek naar de beveiliging van persoonsgegevens die met Suwinet worden uitgewisseld. De toezichthouder constateerde toen dat het bij een aantal onderzochte gemeenten ontbrak aan een formele autorisatieprocedure waarin is beschreven hoe toegangsrechten worden toegekend, gewijzigd en beëindigd. Daarmee wordt vastgesteld wie wel en ook wie níet bij de gevoelige gegevens mogen.

Verder was er bij sommige gemeenten geen beveiligingsplan specifiek voor Suwinet. Andere gemeenten hadden wel een beveiligingsplan, maar droegen dit onvoldoende uit in de organisatie of evalueerden het plan niet.

Suwinet

Suwinet is een besloten systeem waarmee verschillende overheidsorganisaties maatschappelijk gevoelige persoonsgegevens uitwisselen in het kader van werk en inkomen. Via Suwinet kan veel informatie over iemand worden verkregen. Dit kan bijvoorbeeld gaan om gegevens over arbeidsverleden, opleiding, alimentatie, uitkering of boetes.
 
Het is van groot belang dat deze gegevens goed zijn beschermd en dat alleen de daartoe bevoegde medewerkers bij deze gevoelige gegevens kunnen. In het verleden is verschillende keren misbruik van Suwinet gemaakt.

Zo bleken gemeenteambtenaren via Suwinet zonder noodzaak de gegevens van bekende Nederlanders te raadplegen en is de verblijfplaats van een (ex)partner in een blijf-van-mijn-lijf huis achterhaald. Adequate beveiligingsmaatregelen kunnen ervoor zorgen dat dergelijke incidenten worden voorkomen.

Onderzochte gemeenten

De Autoriteit Persoonsgegevens heeft onderzoek gedaan bij de gemeenten (in alfabetische volgorde:) Baarle-Nassau, Brielle, Brummen, Delft, Eindhoven, Enschede, Heerenveen, Midden-Drenthe, Moerdijk, Nunspeet, Werkendam, Woudenberg en Zutphen.

Delft en Eindhoven voldeden in januari van dit jaar al aan de onderzochte wettelijke vereisten voor de beveiliging van Suwinet. De anderen elf gemeenten hebben na het onderzoek van de AP maatregelen getroffen en daarmee de resterende overtredingen beëindigd.

Gerelateerd nieuws