De gemeente gebruikt Suwinet voor het uitwisselen van persoonsgegevens met instanties als de Belastingdienst, de IB-groep, Kadaster, Rijksdienst Wegverkeer en het UWV. Via Suwinet kan veel informatie over iemand worden verkregen, zoals gegevens over arbeidsverleden, opleiding, alimentatie, uitkering of boetes.
Onderzoekers hebben vastgesteld dat het systeem kwetsbaarheden bevat die tot privacy risico’s kunnen leiden. Zij deden dit onderzoek in opdracht van het Ministerie van Sociale Zaken en Werkgelegenheid. In 2014 werd bekend dat ambtenaren in het jaar daarvoor 146 keer zonder geldige reden de privégegevens van bekende Nederlanders via het systeem hadden.
Onder andere dit was aanleiding voor Kamerleden om vragen te stellen in de Tweede Kamer. Tijdens het Algemeen Overleg WWB en de Participatiewet op 24 juni 2015 is het zgn. ‘Aanvalsplan beveiliging persoonsgegevens Suwinet’ aan de staatsecretaris overhandigd. De Tweede Kamer gaf aan dat hoge urgentie gegeven moet worden met het op orde brengen van de beveiliging van het Suwinet.
Suwinet heeft vaker onder vuur gelegen, vooral omdat gemeenten slordig zouden omgaan met de regels die gelden voor het gebruik ervan. Uit een onderzoek (2015) van de inspectie SZW bleek dat slechts zeventien procent van de gemeenten voldeed aan de normen voor het gebruik van Suwinet.
Daarop heeft de staatsecretaris van Sociale Zaken en Werkgelegenheid, mevrouw Klijnsma, in haar brief van 30 juni 2015 aangegeven dat zij de actiepunten uit het zgn. ‘aanvalsplan’ onderschrijft.
Enkele van deze actiepunten zijn:
1. Onderzoek door de Inspectie SZW vanaf 1 september 2015 bij alle gemeenten of zij voldoen aan de zgn. zeven normen
2. Afsluiten van gemeenten die hun zaken niet op orde hebben
PrO verzoekt u antwoord te geven op de volgende vragen:
1. Is de gemeente Oisterwijk voldoende voorbereid op het aangekondigde onderzoek van de inspectie SZW?
2. Kunt u aangeven per norm of Oisterwijk voldoet aan onderstaande zeven normen waarop de inspectie SZW de gemeente gaat beoordelen?
2.1. Is het informatiebeveiligingsbeleid en het beveiligingsplan van Suwinet goedgekeurd door het College van Burgemeester en wethouders?
2.2. Is dit informatiebeveiligingsbeleid en het beveiligingsplan van Suwinet voldoende uitgedragen in de organisatie?
2.3. Wordt het Informatiebeveiligingsbeleid en het beveiligingsplan van Suwinet jaarlijks geëvalueerd en indien nodig geactualiseerd?
2.4. Zijn de taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van Suwinet gegevens, applicaties, processen en infrastructuur duidelijk gescheiden belegd en beschreven?
2.5. Beheert en beheerst de Security Officer beveiligingsprocedures en -maatregelen in het kader van Suwinet zodanig dat de beveiliging van Suwinet overeenkomstig wettelijke eisen is geïmplementeerd?
2.6. Autoriseert en registreert de gemeente Oisterwijk de gebruikers die toegang hebben tot de Suwinet applicaties op basis van een formele procedure waarin is opgenomen:
Het verlenen van toegang tot de benodigde gegevens op basis van de uit te voeren functie/taken;
Het uniek identificeren van elke gebruiker tot één persoon;
Het goedkeuren van de aanvraag voor toegangsrechten door de manager of een gemandateerde;
Het tijdig aanpassen of wijzigen van de autorisatie bij functiewijziging of vertrek;
Het benaderen van de Suwi-databestanden door gebruikers mag alleen plaatsvinden via applicatieprogrammatuur (tenzij sprake is van calamiteiten)?
2.7. Vindt controle op verleende toegangsrechten en gebruik meerdere keren per jaar plaats:
Interne controle op rechten en gebruik van Suwinet
Analyseren van de door het BKWI verstrekte informatie over het gebruik van Suwigegevens?
Laat hier je email adres achter.
