Waarschuwing 205 gemeenten om beveiliging Suwinet
Staatssecretaris Tamara van Ark (Sociale Zaken en Werkgelegenheid, VVD) tikt 205 gemeenten op de vingers omdat zij in 2017 niet voldeden aan de veiligheidseisen omtrent Suwinet. In 2017 meldde Van Arks voorganger Jetta Klijnsma nog aan de Tweede Kamer dat de beveiligingsproblemen rondom Suwinet de wereld uit waren.
Staatssecretaris Tamara van Ark (Sociale Zaken en Werkgelegenheid, VVD) tikt 205 gemeenten op de vingers omdat zij in 2017 niet voldeden aan de veiligheidseisen omtrent Suwinet. In 2017 meldde Van Arks voorganger Jetta Klijnsma nog aan de Tweede Kamer dat de beveiligingsproblemen rondom Suwinet de wereld uit waren.
Gegevens uitwisselen
Via het Suwinet (vernoemd naar de Wet structuur uitvoeringsorganisaties werk en inkomen ofwel Wet suwi) kunnen gemeenten, de Sociale Verzekeringsbank en het UWV gegevens uitwisselen voor het uitvoeren van hun taken rondom sociale zekerheid. Bij de beveiligingscontrole van Suwinet is het aantal beveiligingsnormen waarop door de Inspectie SZW is gecontroleerd, voor het verantwoordingsjaar 2017 verhoogd van 7 naar 11. Voor het eerst is de ENSIA-systematiek gebruikt (Eenduidige Normatiek Single Information Audit) om de beveiliging van Suwinet te beoordelen. Die methode wordt ook gebruikt voor het toezicht op de beveiliging van DigiD en de Basisregistratie Personen (Brp) en is gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten.
4 of meer afwijkingen bij 63 gemeenten
Daaruit komt dat 173 gemeenten per eind 2017 voldeden aan alle beveiligingsnormen. 130 gemeenten voldeden niet aan tussen de 1 en 3 criteria. Bij 63 gemeenten was er sprake van 4 of meer afwijkingen. Bij 12 gemeenten werd een onbekend aantal beveiligingsgebreken vastgesteld. Als voorbeeld geeft Van Ark dat gemeenten in sommige gevallen bijvoorbeeld niet voldeden aan de verplichting om elke drie jaar het informatieveiligheidsbeleid Suwinet te actualiseren. Ook werd niet overal door het College van B&W een informatieveiligheidsbeleid vastgesteld. Soms hadden medewerkers meer toegangsrechten dan strikt noodzakelijk, werden toegangsrechten niet regelmatig genoeg herbeoordeeld, of werd log-informatie onvoldoende gecontroleerd op misbruik.
Afsluiting van Suwinet
Van Ark meldt de Tweede Kamer dat zij daarom het Interventieprotocol Suwinet in werking heeft gesteld. De 205 gemeenten met afwijkingen van de beveiligingsnormen hebben inmiddels een attentiebrief van het Bureau Keteninformatisering Werk en Inkomen (BKWI) ontvangen. Als die gemeenten hun beveiligingsproblemen niet oplossen, dreigt een officiële aanwijzing. Gemeenten die daarop nog steeds geen zaken op orde hebben gesteld, kunnen gemeenten van Suwinet worden afgesloten.
Destijds heeft de rechtsvoorganger van de Autoriteit Persoonsgegevens immers geadviseerd om de gegevensuitwisseling binnen Suwi (en BKWI) proportioneel te houden en te beperken tot de grootst gemene deler. Hier gaat het nog steeds mis.
Laat de staatssecretaris nu eindelijk UWV gegevensdiensten ter verantwoording roepen.