Externe deskundige verplicht bij onveilig Suwinet
Gemeenten krijgen nog één kans om de beveiliging van Suwinet, een programma waar gemeenten persoonsgegevens mee uitwisselen, op orde te brengen. Lukt dat niet, dan geldt de verplichting om een externe deskundige aan te stellen. De kosten daarvan zijn voor de gemeente.
Gemeenten krijgen nog één kans om de beveiliging van Suwinet, een programma waar gemeenten persoonsgegevens mee uitwisselen, op orde te brengen. Lukt dat niet, dan geldt de verplichting om een externe deskundige aan te stellen. De kosten daarvan zijn voor de gemeente.
Zorgen over gebrekkige beveiliging
Minister van Veiligheid en Justitie van der Steur liet in antwoord op Kamervragen van PvdA-Kamerlid Astrid Oosenbrug weten dat hij zich net als Oosenbrug zorgen maakt over de gebrekkige beveiliging van Suwinet. Volgens de minister hebben gemeenten en de VNG de afgelopen periode veel initiatieven genomen om de beveiliging van het programma te verbeteren. Zo kunnen zij aan de slag met een zelftest van de VNG, waarin de zeven essentiële normen van Suwinet staan beschreven.
Aanwijzingen voor falende gemeenten
Toch lijkt het ministerie er nog niet helemaal gerust op. De Staatssecretaris verstuurt momenteel de eerste brieven met een aankondiging dat er een 'aanwijzing' komt voor gemeenten die niet aan de normen voldoen, aldus Van der Steur. De gemeenten die niet aan de normen voldoen krijgen beperkt de tijd om de beveiliging op orde te brengen. Lukt dat niet, dan volgt er een aanwijzing die inhoudt dat de betreffende gemeente verplicht is om een externe deskundige aan te stellen. Deze moet de beveiliging van Suwinet op orde brengen. ‘Als uiterste consequentie kan een gemeente worden afgesloten van Suwinet’, zo sluit de minister af.
Ze daarnaast een daverende boete op te leggen, van laten we zeggen een ton voor iedere week dat ze in gebreke zijn en blijven.
En bovendien een expert aan te stellen die, op kosten van de gemeente, maar onder regie van het rijk, de zaken op orde maakt.
Daarnaast zou ik voor dat soort gemeenten ook nog een security-audit uit laten voeren, ook op andere ICT zaken, maar ook op de reguliere beveiliging.
En pas als dit naar tevredenheid van de opdrachtgever is afgerond, en de eventuele gecontsteerde lekken zijn gerepareerd de zaak weer vrijgeven voor de gemeente zelf.
Als dit er toe leidt dat burgers in die gemeente geïnconveniëerd worden, dan zou ik deze burgers doorverwijzen naar het college, de gemeenteraad en de gemeentesecretaris met eventuele ondersteundende directeuren.