Vergroot contrast

CBP: Persoonsgegevens Suwinet niet goed beveiligd

Het UWV en de gemeente ’s-Hertogenbosch hebben onvoldoende maatregelen getroffen om te zorgen voor een adequate beveiliging van de persoonsgegevens die met Suwinet worden uitgewisseld, zo blijkt uit onderzoek van het College bescherming persoonsgegevens (CBP). “Zonder een afdoende beveiligingsplan, zonder adequate analyse en afwikkeling van beveiligingsincidenten en zonder volledige logging is er een onacceptabel risico dat gegevens in verkeerde handen komen”, aldus Jacob Kohnstamm, voorzitter van het CBP.

Suwinet is een besloten systeem waarmee verschillende overheidsorganisaties maatschappelijk gevoelige persoonsgegevens uitwisselen in het kader van werk en inkomen. Kohnstamm: ”Adequate beveiliging van persoonsgegevens bij de overheid is des te belangrijker gezien de naderende verschuiving van taken van het Rijk naar gemeenten”.

Het UWV en ’s-Hertogenbosch hebben naar aanleiding van het onderzoek laten weten maatregelen te gaan treffen om de persoonsgegevens beter te beschermen. Het CBP zal de komende tijd controleren of het UWV en ’s-Hertogenbosch de overtredingen hebben beëindigd en kan zo nodig handhavende maatregelen inzetten.

Beveiliging persoonsgegevens

Via Suwinet kan veel informatie over iemand worden verkregen. Dit kan bijvoorbeeld gaan om gegevens over arbeidsverleden, opleiding, alimentatie, uitkering of boetes. Het is van groot belang dat deze gegevens goed zijn beschermd en dat alleen de daartoe bevoegde medewerkers bij deze gevoelige gegevens kunnen.

Zowel bij het UWV als bij de gemeente ’s-Hertogenbosch zijn de maatregelen niet toereikend om deze bescherming te kunnen bieden. Veel van de vereiste plannen of procedures zijn niet up to date, niet compleet of niet afgemaakt.

Zowel het UWV, als beheerder van Suwinet, als ’s-Hertogenbosch als afnemer van Suwinet hebben geen beveiligingsplan specifiek gericht op Suwinet. Ook worden beveiligingsincidenten niet centraal geanalyseerd en afgewikkeld. Zo kan geen lering worden getrokken en kunnen geen adequate maatregelen worden genomen.

Logging

Bij het UWV wordt niet goed gelogd wie welke gegevens raadpleegt. Het is juist van belang en wettelijk verplicht om alle raadplegingen bij te houden, omdat daarmee onbevoegde toegang kan worden opgespoord en daartegen stappen kunnen worden ondernomen.

Autorisatie

Niet alle medewerkers binnen een gemeente mogen persoonsgegevens via Suwinet raadplegen. Een gemeente moet ervoor zorgen dat alleen bevoegde medewerkers bij deze gegevens kunnen.

Bij de gemeente ‘s-Hertogenbosch bleken ook voor een andere functie toegangsrechten te kunnen worden gecreëerd. Hiermee heeft deze gemeente onvoldoende maatregelen getroffen om onbevoegde toegang tot Suwinet tegen te gaan.

Inzage door Ierland

Het Ierse ministerie van Sociale Zaken had ook toegang tot Suwinet. Het Ierse ministerie mocht weliswaar bijvoorbeeld gegevens inzien van Ieren die in Nederland hebben gewerkt of hier een uitkering hebben ontvangen om te beoordelen of zij recht hebben op een uitkering in Ierland, maar het Ierse ministerie bleek ten onrechte toegang te hebben tot persoonsgegevens van álle personen in Suwinet.

Het UWV heeft naar aanleiding van het onderzoek de gegevensverstrekking aan Ierland via Suwinet stopgezet.